Il produttore di dispositivi di Cupertino ha confermato lo sfruttamento attivo di CVE-2022-42827, avvertendo in un avviso scarno che la falla espone gli iPhone e gli iPad ad attacchi di esecuzione di codice arbitrario. “Un’applicazione potrebbe essere in grado di eseguire codice arbitrario con i privilegi del kernel. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato attivamente”, ha dichiarato in una nota che documenta le vulnerabilità di sicurezza. Come di consueto, Apple non ha rilasciato dettagli sullo sfruttamento attivo né ha fornito indicatori di compromissione o altri dati per aiutare gli utenti iOS a cercare segni di infezione. L’azienda ha descritto il bug sfruttato come un problema di scrittura fuori dai limiti che è stato risolto con un miglioramento del controllo dei limiti e ha detto che è stato segnalato da un ricercatore anonimo. Finora, quest’anno, sono stati documentati almeno otto (8) attacchi zero-day contro i dispositivi Apple, mentre i team di sicurezza dell’azienda si affannavano a coprire le falle nelle sue piattaforme di punta macOS, iOS e iPadOS. L’ultimo aggiornamento di iOS 16.1 include anche patch per almeno altri quattro problemi che espongono i dispositivi iOS ad attacchi di esecuzione di codice.
Questi includono:
- CVE-2022-42813 — CFNetwork — L’elaborazione di un certificato creato male può portare all’esecuzione di codice arbitrario. Esisteva un problema di convalida dei certificati nella gestione di WKWebView. Il problema è stato risolto migliorando la convalida. Segnalato da Jonathan Zhang di Open Computing Facility,
- CVE-2022-42808 — Kernel — Un utente remoto potrebbe essere in grado di causare l’esecuzione di codice del kernel. Un problema di scrittura fuori dai limiti è stato risolto migliorando il controllo dei limiti. Segnalato da Zweig del Kunlun Lab,
- CVE-2022-42823 — WebKit — L’elaborazione di contenuti Web creati in modo malevolo può portare all’esecuzione di codice arbitrario. È stato risolto un problema di confusione di tipo con una migliore gestione della memoria. Segnalato da Dohyun Lee (@l33d0hyun) di SSD Labs,
- CVE-2022-32922 — WebKit PDF — L’elaborazione di contenuti Web creati in modo malevolo può portare all’esecuzione di codice arbitrario. È stato risolto un problema di use-after-free con una migliore gestione della memoria. Segnalato da Yonghwi Jin di Theori.