Apple ha rilasciato un importante aggiornamento di sicurezza per iOS, il sistema operativo adottato dallo smartphone iPhone, dal lettore multimediale iPod Touch e dal tablet iPad. L’update denominato iOS 4.3.4 si compone di tre patch fondamentali e richiede come requisito minimo la presenza di iOS 3.0 per iPhone 3GS ed iPhone 4, di iOS 3.1 per l’iPod Touch di terza e quarta generazione, di iOS 3.2 per l’iPad.
I primi due aggiornamenti vanno a chiudere una grave falla nella gestione dei file PDF da parte del browser Safari. Secondo il bollettino diffuso da Apple questo bug può essere sfruttato per creare file PDF in grado di generare il chash dell’applicazione o l’esecuzione di codice arbitrario. Questa falla negli ultimi giorni è stata al centro delle attenzioni di sviluppatori ed esperti di sicurezza perché utilizzata per il jailbreak dei dispositivi basati su iOS 4.3.3 tramite la semplice visualizzazione di un documento PDF opportunamente artefatto. Il tool JailbreakMe è stato il primo a comparire in rete, ma era alta la preoccupazione che la stessa modalità operativa potesse essere utilizzata anche all’interno di attacchi virali.
La terza correzione riguarda un errore nella conversione dei tipi di dati che può generare l’esecuzione di codice arbitrario. Sempre seconda la descrizione di Apple questo bug può essere utilizzato per innalzare il livello di accesso al sistema da parte dell’utente e del software che venga eseguito con i medesimi privilegi. In questo caso si tratta di una falla teoricamente utilizzabile all’interno di virus e malaware in genere.
Contestualmente ad iOS 4.3.4, Apple ha aggiornato anche il precedente ramo 4.2.X destinato ai terminali iPhone 4 CDMA venduti sul mercato statunitense e su numerosi mercati asiatici. L’aggiornamento in questo caso è denominato iOS 4.2.9 e non è compatibile con nessuna versione di iPod ed iPad. La sua installazione richiede come requisito minimo la presenza di iOS 4.2.5 mentre le correzioni apportate sono le medesime risolte in iOS 4.3.4.