Apple ha rilasciato una serie di patch di sicurezza per affrontare tre vulnerabilità zero-day attivamente sfruttate che influenzano iOS, iPadOS, macOS, watchOS e Safari. Questo porta il totale delle vulnerabilità zero-day scoperte nei suoi software quest’anno a 16.
Dettagli delle vulnerabilità
Le vulnerabilità di sicurezza sono le seguenti:
- CVE-2023-41991: Un problema di convalida del certificato nel framework di sicurezza che potrebbe permettere a un’applicazione maligna di bypassare la convalida della firma.
- CVE-2023-41992: Una vulnerabilità di sicurezza nel Kernel che potrebbe permettere a un attaccante locale di elevare i propri privilegi.
- CVE-2023-41993: Un difetto in WebKit che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di contenuti web appositamente creati.
Apple non ha fornito dettagli aggiuntivi, ma ha riconosciuto che “il problema potrebbe essere stato attivamente sfruttato contro versioni di iOS precedenti alla 16.7”.
Riconoscimenti e contesto
Bill Marczak del Citizen Lab presso la Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group (TAG) di Google sono stati accreditati per aver scoperto e segnalato queste vulnerabilità. Ciò indica che potrebbero essere state utilizzate come parte di spyware altamente mirato rivolto a membri della società civile a rischio di minacce informatiche.
La rivelazione arriva due settimane dopo che Apple ha risolto altre due vulnerabilità zero-day attivamente sfruttate, che sono state collegate come parte di una catena di exploit iMessage zero-click denominata BLASTPASS per distribuire uno spyware mercenario noto come Pegasus.
Successivamente, sia Google che Mozilla hanno rilasciato correzioni per contenere una vulnerabilità di sicurezza che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di un’immagine appositamente creata.
Implicazioni più ampie
Esiste una prova che suggerisce che sia CVE-2023-41064, una vulnerabilità di overflow del buffer nell’Image I/O di Apple, sia CVE-2023-4863, un overflow del buffer heap nella libreria di immagini WebP, potrebbero riferirsi allo stesso bug. Rezilion, in un’analisi pubblicata giovedì, ha rivelato che la libreria libwebp è utilizzata in diversi sistemi operativi, pacchetti software, applicazioni Linux e immagini di container, evidenziando che l’ambito della vulnerabilità è molto più ampio di quanto inizialmente supposto.
Mentre Apple ha correttamente corretto il bug nel libwebp, la patch potrebbe impiegare del tempo per raggiungere tutti i dispositivi e le applicazioni che utilizzano la libreria, data la sua ampia diffusione.