Categorie
Multilingua

Apple corregge un zeroday sfruttato con la patch di iOS 16.1

Tempo di lettura: 2 minuti. Cupertino ha distribuito un importante aggiornamento di iOS con la correzione di almeno 20 difetti di sicurezza documentati, tra cui una falla del kernel che viene già attivamente sfruttata in natura.

Tempo di lettura: 2 minuti.

Il produttore di dispositivi di Cupertino ha confermato lo sfruttamento attivo di CVE-2022-42827, avvertendo in un avviso scarno che la falla espone gli iPhone e gli iPad ad attacchi di esecuzione di codice arbitrario. “Un’applicazione potrebbe essere in grado di eseguire codice arbitrario con i privilegi del kernel. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato attivamente”, ha dichiarato in una nota che documenta le vulnerabilità di sicurezza. Come di consueto, Apple non ha rilasciato dettagli sullo sfruttamento attivo né ha fornito indicatori di compromissione o altri dati per aiutare gli utenti iOS a cercare segni di infezione. L’azienda ha descritto il bug sfruttato come un problema di scrittura fuori dai limiti che è stato risolto con un miglioramento del controllo dei limiti e ha detto che è stato segnalato da un ricercatore anonimo. Finora, quest’anno, sono stati documentati almeno otto (8) attacchi zero-day contro i dispositivi Apple, mentre i team di sicurezza dell’azienda si affannavano a coprire le falle nelle sue piattaforme di punta macOS, iOS e iPadOS. L’ultimo aggiornamento di iOS 16.1 include anche patch per almeno altri quattro problemi che espongono i dispositivi iOS ad attacchi di esecuzione di codice.

Questi includono:

  • CVE-2022-42813 — CFNetwork — L’elaborazione di un certificato creato male può portare all’esecuzione di codice arbitrario. Esisteva un problema di convalida dei certificati nella gestione di WKWebView. Il problema è stato risolto migliorando la convalida. Segnalato da Jonathan Zhang di Open Computing Facility,
  • CVE-2022-42808 — Kernel — Un utente remoto potrebbe essere in grado di causare l’esecuzione di codice del kernel. Un problema di scrittura fuori dai limiti è stato risolto migliorando il controllo dei limiti. Segnalato da Zweig del Kunlun Lab,
  • CVE-2022-42823 — WebKit — L’elaborazione di contenuti Web creati in modo malevolo può portare all’esecuzione di codice arbitrario. È stato risolto un problema di confusione di tipo con una migliore gestione della memoria. Segnalato da Dohyun Lee (@l33d0hyun) di SSD Labs,
  • CVE-2022-32922 — WebKit PDF — L’elaborazione di contenuti Web creati in modo malevolo può portare all’esecuzione di codice arbitrario. È stato risolto un problema di use-after-free con una migliore gestione della memoria. Segnalato da Yonghwi Jin di Theori.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version