Non è la prima volta che accade, ma ci risiamo! 

Era il lontano 2016 quando il codice sorgente del malware alla base della botnet Mirai fu sottratto agli autori e finì pubblicato sulla piattaforma github (https://github.com/jgamblin/Mirai-Source-Code). Questo è evidente portò ad una più rapida evoluzione del fenomeno: la possibilità di avere questa piattaforma software consentitì a differenti attori di produrre una propria variante del malware Mirai (Moobot, Satori, Masuta, ecc), ognuna con proprie funzionalità e caratteristiche che le rese uniche e sempre più aggressive. Il risultato: l’esplosione di milioni di infezioni. 

Il terreno di cultura per queste infezioni è stato ed è il mondo IoT, ormai proverbialmente noto per essere refrattario ai più ordinari e semplici principi di sicurezza. 

Medesimo destino sembra ora aver portato un'altra vecchio gloria del mondo del malware orientato all’IoT al medesimo approdo. 

Correva il 2021 quando i laboratori Alien Labs della AT&T scoprivano il primo malware realizzato nel linguaggio di programmazione golang (Mirai era in C), il linguaggio di programmazione open-source di

ePO, ePolicy Orchestrator, è lo strumento enterprise di McAfee per il governo della sicurezza in una infrastruttura IT: è un punto focale per l’amministrazione della sicurezza per host ed endpoint, capace si integrare analisi e reazione alle minacce. Proprio nel comparto della protezione dell’endpoint, ePO dialoga con l’agente di McAfee Endpoint Security, ossia McAfee Agent. 

Quindi, se vogliamo, è questo lo strumento che agisce per la sicurezza: ma cosa accade se proprio questa componente ha un difetto tale da consentire un attacco proprio attraverso di essa? 

Di difetti, ossia vulnerabilità, McAfee Agent ne ha esattamente due, così come sono state censite sul database NIST NVD con identificativo CVE-2021-31854, CVE-2022-0166: il NIST non ha ancora eseguito una analisi sulle vulnerabilità, quindi stiamo alle dichiarazioni del vendor che classifica entrambe con uno score alto (7.7 per la CVE-2021-31854 e 7.8 per la CVE-2022-0166). 

Una prima vulnerabilità (CVE-2021-31854) nasce dalla possibilità di iniettare codice nel programma cleanup.exe che fa parte del processo di installazione/disinstallazione/aggiornamento dell’agent: un

Con gli ultimi aggiornamenti per macOS Monterey 12.2 (https://support.apple.com/en-us/HT213054), iOS 15.3 e iPadOS 15.3 (https://support.apple.com/en-us/HT213053), ha rimosso il rischio di sfruttamento di tutta una serie di vulnerabilità censite per i suoi prodotti (da CVE-2022-22578 a CVE-2022-22579, da CVE-2022-22583 a CVE-2022-22587 e da CVE-2022-22589 a CVE-2022-22594). 

Particolare interesse destano la CVE-2022-22594 (in quanto ne avevamo già parlato e attendevamo la pubblicazione della patch) e la CVE-2022-22587. Entrambe sono state (o sono) vulnerabilità 0-day; entrambe hanno infatti mostrato un ritardo nella pubblicazione dei dettagli “durante” le azioni correttive implementate da Apple. Per la prima avevamo ancora evidenze nel sistema bugzilla del progetto di uno stato transitorio tra scoperta e soluzione, mentre le seconda è ancora associata (nel momento che scriviamo) ad un CVE indicato come “riservato” sul sito di MITRE (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22587), quindi senza alcuna attribuzione. Entrambi i fenomeni sono caratteristici della riservatezza alla pubblicazione dovuta nel caso di uno 0-day rilevato da ricercatori indipendenti al vendor relativo. 

La CVE-2022-22594 trova finalmente correzione alla violazione della Same Origin Policy

Nel cuore del browser dei sistemi di Apple batte un sistema comune a più del 50% dei browser utilizzati sul pianeta: WebKit. Questo ovviamente non per esclusivo merito di Apple (che non detiene quella fascia di mercato), ma per il fatto che questo sistema è frutto della collaborazione di differenti società di sviluppo software. Ricordiamo tra queste Samsung (con il suo Dolphin ed in generale il suo sistema Tizen), Amazon (con il suo Kindle), KDE e fino al 2013 anche Google (con il suo Chrome), che però ha creato un suo sviluppo autonomo del medesimo progetto (ora denominato Blink). 

Naturalmente il progetto comune non contempla un destino comune, in quanto le differenti tecnologie su cui è destinato necessitano di sviluppo autonomo, aprendo lo spazio a che problematiche differenti affliggano le differenti implementazioni. 

È il caso appunto del problema di confidenzialità che è stato riscontrato in questo sistema su dispositivi Apple, che date le convergenze delle tecnologie nei differenti sistemi non ha più importanza indicare se macOS, iOS o iPadOS, ma bensì la generazione: si tratta di generazione 15 per melafonini e pad e 12 per sistemi desktop. 

Tutto nasce da una questione: i programmi utente, pure sul