Nuove vulnerabilità di sicurezza minacciano i chip Apple: cosa c'è da sapere
Università tecniche statunitensi e tedesche scoprono "SLAP" e "FLOP". Queste due vulnerabilità di sicurezza minacciano tutti i chip Apple dall'M2 in poi e alcuni processori A. Apple reagisce con esitazione.
"SLAP" e "FLOP" sono i nomi delle due vulnerabilità di sicurezza che attualmente minacciano la sicurezza di diversi dispositivi Apple. Questo è stato annunciato all'inizio della settimana. Tutti i dispositivi dotati di un chip M2 o più recenti potrebbero essere potenzialmente colpiti. Tuttavia, queste due vulnerabilità potrebbero essere sfruttate anche nei processori mobili A15 e più recenti.
Cosa fanno esattamente "SLAP" e "FLOP"?
"SLAP" sta per "Speculation Attacks via Load Address Prediction" e riguarda il cosiddetto "Load Address Predictor". Questo "Load Address Predictor" è responsabile della previsione dell'indirizzo di memoria di cui il processore avrà bisogno successivamente. La vulnerabilità "SLAP" fa sì che faccia previsioni errate. Ciò significa che il codice maligno introdotto tramite "SLAP" può accedere ad aree di memoria in cui non dovrebbe trovarsi. In teoria, questo potrebbe consentire agli aggressori di accedere ai dati presenti sui tuoi dispositivi.
Il "FLOP" sta per "False Load Output Predictions" e si riferisce al "Load Value Predictor". Questo cerca di prevedere quali valori verranno restituiti dalla memoria in cui il processore ha memorizzato i dati. I chip moderni fanno in modo che le operazioni vengano eseguite in modo più veloce ed efficiente. Tuttavia, se il "FLOP" entra in gioco, potrebbe fornire valori errati al "Load Value Predictor" e quindi aggirare i meccanismi di sicurezza. In teoria, è quindi possibile un attacco end-to-end a Safari. Oppure, ad esempio, tramite i contenuti delle e-mail caricati da server esterni via HTTP.
Se ti interessano i dettagli tecnici - come ad esempio dove può avvenire l'accesso - puoi trovarli nel rapporto degli scopritori qui.
Apple sembra rilassata
Apple classifica le due vulnerabilità come "nessun rischio immediato per gli utenti". Sebbene l'azienda sia stata messa al corrente dei problemi dall'Università Ruhr di Bochum e da un'università dello stato americano della Georgia nel settembre 2024, non ha ancora provveduto a patchare le vulnerabilità. Al momento, a quanto pare, non è stata ancora sfruttata attivamente, ma in teoria potrebbe accadere in qualsiasi momento.
Fonte: Florian Bodoky
In attesa della patch, potresti, ad esempio, disabilitare la funzione JavaScript in Safari (Safari>Preferenze>Sicurezza>Deseleziona JavaScript). Tuttavia, questa operazione è utile solo per gli utenti esperti, perché: Aiuta a contrastare gli attacchi, ma a volte causa problemi con molti siti web. Vale quindi la pena di controllare regolarmente se Apple ha disponibile degli aggiornamenti.
Immagine di copertina: Shutterstock
A 149 persone piace questo articolo
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
