Apple ha rilasciato di recente la nuova versione 3.1.3 del sistema operativo iPhone OS, utilizzato su tutti i device “iPhone” e “iPod Touch”.
L’update è molto importante perché va a patchare ben 5 vulnerabilità di sicurezza, tra le quali alcune che possono consentire ad un potenziale attaccante di prendere possesso da remoto del dispositivo.
Apple ha confermato che ben tre delle falle in questione consentono l’esecuzione di codice arbitrario sui dispositivi.
Affinché tuttavia l’attacco abbia successo è necessario che l’utente vittima compia una delle seguenti azioni:
- apra un particolare file audio MP4 modificato (CVE-2010-0036);
- apra una immagine in formato TIFF appositamente creata (CVE-2009-2285);
- acceda ad un server FTP fasullo (CVE-2009-3384).
La quarta vulnerabilità (CVE-2010-0038) riguarda la possibile rivelazione di informazioni previo bypass del sistema di locking del dispositivo, sfruttando un bug nella gestione dei messaggi di controllo USB. È chiaro che è necessario che l’attaccante in questo caso abbia accesso fisico al device.
L’ultima falla (CVE-2009-2841) riguarda un potenziale caricamento di contenuti audio e video non desiderati da parte di “Mail”.
