Con iOS 14.5.1, Apple ha apportato importanti correzioni alla sicurezza di WebKit, il motore che gestisce Safari e altri browser Web su iOS. Tuttavia, alcuni ricercatori sottolineano che esiste ancora un exploit in WebKit nelle ultime versioni di iOS e macOS.
Come sottolineato dalla società di sicurezza Theori, la vulnerabilità è correlata ad AudioWorklet, che gestisce l’output audio sulle pagine web e causa il crash di Safari. Con i comandi giusti, gli aggressori possono utilizzare questo exploit per eseguire codice dannoso su iPhone, iPad e Mac.
Tuttavia, ciò che incuriosisce davvero i ricercatori è che questa vulnerabilità è stata rivelata quasi tre settimane fa da sviluppatori esterni ad Apple, come si è visto nel repository WebKit su GitHub. Malgrado ciò, Apple non ha ancora incluso la correzione nelle ultime versioni dei suoi sistemi operativi. “Non ci aspettavamo che Safari fosse ancora vulnerabile settimane dopo che la patch è diventata pubblica“, ha detto uno dei ricercatori.
Come ha sottolineato da Theori, la finestra tra una patch pubblica e la sua inclusione nelle versioni ufficiali dovrebbe essere molto stretta, ma per qualche motivo Apple deve ancora riconoscere e risolvere il problema. Apple sta attualmente lavorando su iOS 14.7 e altri aggiornamenti software, ed è probabile che la correzione arrivi con un prossimo update.