Apple ha rilasciato aggiornamenti di sicurezza di emergenza per correggere due vulnerabilità zero-day attivamente sfruttate su iPhone più vecchi e alcuni modelli di Apple Watch e Apple TV. Le due vulnerabilità, ora tracciate come CVE-2023-42916 e CVE-2023-42917, sono state scoperte all’interno del motore di browser WebKit, sviluppato da Apple e utilizzato dal browser web Safari dell’azienda su tutte le sue piattaforme (ad esempio, macOS, iOS, iPadOS). Queste vulnerabilità possono consentire agli aggressori di accedere a dati sensibili e di eseguire codice arbitrario tramite pagine web appositamente create per sfruttare bug di corruzione della memoria e fuori limite su dispositivi non aggiornati. Apple ha affrontato gli zero-day in iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 e watchOS 10.2 con una migliore convalida degli input e blocco.
CISA aggiunge nuove Vulnerabilità al Catalogo
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una nuova vulnerabilità al suo Catalogo delle Vulnerabilità Conosciute Sfruttate, basandosi su prove di sfruttamento attivo. La vulnerabilità aggiunta è CVE-2023-6448, che riguarda una password predefinita insicura nei PLC e HMI Vision di Unitronics. Questi tipi di vulnerabilità sono frequenti vettori di attacco per attori cyber malintenzionati e rappresentano rischi significativi per l’impresa federale. La Direttiva Operativa Vincolante (BOD) 22-01 stabilisce il Catalogo delle Vulnerabilità Conosciute Sfruttate come un elenco vivente di CVE conosciuti che rappresentano un rischio significativo per l’impresa federale. La BOD 22-01 richiede alle agenzie del Ramo Esecutivo Civile Federale (FCEB) di rimediare alle vulnerabilità identificate entro la data di scadenza per proteggere le reti FCEB contro minacce attive.
Implicazioni per la Sicurezza
Mentre la BOD 22-01 si applica solo alle agenzie FCEB, la CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando priorità alla tempestiva risoluzione delle vulnerabilità del catalogo come parte della loro pratica di gestione delle vulnerabilità. La CISA continuerà ad aggiungere vulnerabilità al catalogo che soddisfano i criteri specificati.