Apple ha rilasciato aggiornamenti di sicurezza per iOS, iPadOS, macOS, tvOS, watchOS e il browser web Safari per affrontare tre nuove vulnerabilità zero-day che vengono attivamente utilizzate in natura. Queste tre vulnerabilità sono elencate come segue: CVE-2023-32409 – un bug WebKit che potrebbe essere sfruttato da un attore maligno per uscire dal sandbox Web Content. È stato corretto con controlli di confine migliorati. CVE-2023-28204 – un problema di lettura fuori dai limiti in WebKit che potrebbe essere abusato per divulgare informazioni sensibili durante l’elaborazione dei contenuti web. È stato risolto con una convalida dell’input migliorata. CVE-2023-32373 – un bug use-after free in WebKit che potrebbe portare a un’esecuzione di codice arbitrario durante l’elaborazione dei contenuti web maliziosamente progettati. È stato affrontato con una gestione della memoria migliorata.
Clément Lecigne del Threat Analysis Group (TAG) di Google e Donncha Ó Cearbhaill del Security Lab di Amnesty International sono stati accreditati per la segnalazione di CVE-2023-32409, mentre un ricercatore anonimo è stato riconosciuto per la segnalazione degli altri due problemi. Nota, entrambi CVE-2023-28204 e CVE-2023-32373 sono stati risolti come parte degli aggiornamenti di risposta rapida alla sicurezza – iOS 16.4.1 (a) e iPadOS 16.4.1 (a) – rilasciati all’inizio di questo mese.
Attualmente non ci sono ulteriori dettagli tecnici sulle vulnerabilità, la natura degli attacchi o l’identità degli attori minacciosi che potrebbero sfruttarli. Tuttavia, tali debolezze sono state storicamente utilizzate come parte di intrusioni altamente mirate per distribuire software spia sui dispositivi di dissidenti, giornalisti e attivisti per i diritti umani, tra gli altri.
Gli ultimi aggiornamenti sono disponibili per i seguenti dispositivi:
iOS 16.5 e iPadOS 16.5 – iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi
iOS 15.7.6 e iPadOS 15.7.6 – iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
macOS Ventura 13.4 – macOS Ventura
tvOS 16.5 – Apple TV 4K (tutti i modelli) e Apple TV HD
watchOS 9.5 – Apple Watch Series 4 e successivi
Safari 16.5 – macOS Big Sur e macOS Monterey
Dal inizio del 2023, Apple ha affrontato un totale di sei vulnerabilità “zero-day” attivamente sfruttate. A febbraio, l’azienda ha corretto una vulnerabilità WebKit (CVE-2023-23529) che avrebbe potuto consentire l’esecuzione di codice remoto. Poi, il mese scorso, ha rilasciato correzioni per un paio di difetti (CVE-2023-28205 e CVE-2023-28206) che hanno permesso l’esecuzione di codice con privilegi elevati. Lecigne e Ó Cearbhaill sono stati accreditati per aver segnalato questi problemi di sicurezza.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.