Apple ha rilasciato aggiornamenti di sicurezza d’emergenza per risolvere due nuove vulnerabilità zero-day utilizzate negli attacchi per compromettere iPhone, Mac e iPad.
Le due vulnerabilità zero-day e gli aggiornamenti di sicurezza
Il primo problema di sicurezza (identificato come CVE-2023-28206) riguarda una scrittura fuori limite in IOSurfaceAccelerator che può causare corruzione di dati, crash o esecuzione di codice. Un attacco riuscito permette agli aggressori di utilizzare un’applicazione appositamente creata per eseguire codice arbitrario con privilegi kernel sui dispositivi bersaglio. La seconda vulnerabilità zero-day (CVE-2023-28205) è una debolezza WebKit che consente la corruzione di dati o l’esecuzione di codice arbitrario quando si riutilizza la memoria liberata. Questa falla può essere sfruttata indirizzando le vittime verso pagine web dannose sotto il controllo degli aggressori, potendo così eseguire codice sui sistemi compromessi.
Dispositivi interessati e azioni di Apple
Apple ha corretto le due vulnerabilità zero-day in iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1 attraverso il miglioramento della validazione degli input e della gestione della memoria. I dispositivi interessati includono iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi, iPad mini di quinta generazione e successivi e Mac con macOS Ventura.
Tre vulnerabilità zero-day risolte dall’inizio dell’anno
Nonostante Apple sia a conoscenza delle segnalazioni di sfruttamento delle vulnerabilità, l’azienda non ha ancora pubblicato informazioni sugli attacchi. Tuttavia, ha rivelato che le due falle sono state segnalate da Clément Lecigne del Google’s Threat Analysis Group e Donncha Ó Cearbhaill dell’Amnesty International’s Security Lab, dopo averle trovate sfruttate in attacchi mirati. Si raccomanda di installare questi aggiornamenti d’emergenza il prima possibile per bloccare eventuali tentativi di attacco.