La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto una nuova vulnerabilità, identificata come CVE-2022-48618, al suo catalogo di vulnerabilità note sfruttate attivamente. Questa vulnerabilità riguarda diversi prodotti Apple, tra cui iPhone, Mac, Apple TV e Apple Watch, e consente agli aggressori di bypassare l’autenticazione tramite Pointer Authentication. Apple ha affrontato il problema con controlli migliorati sui dispositivi che eseguono versioni software aggiornate.
Nel frattempo, Apple ha rilasciato una patch di sicurezza per il suo nuovo dispositivo Vision Pro per correggere una vulnerabilità in WebKit, il motore di navigazione alla base di Safari e altre applicazioni web, che se sfruttata potrebbe consentire l’esecuzione di codice maligno. La stessa vulnerabilità, tracciata come CVE-2024-23222, era stata precedentemente corretta in altri dispositivi Apple che si affidano a WebKit.
CISA ha ordinato alle agenzie federali statunitensi di correggere la vulnerabilità entro il 21 febbraio, evidenziando la serietà del rischio che rappresenta per l’infrastruttura federale. Anche se non è chiaro se gli aggressori abbiano sfruttato specificamente il Vision Pro utilizzando questa vulnerabilità, è noto che i bug di WebKit sono spesso presi di mira da attori malevoli, come i produttori di spyware, per accedere ai dati personali degli utenti.
Questi sviluppi sottolineano l’importanza della tempestiva applicazione delle patch di sicurezza per proteggere i dispositivi e le reti dagli attacchi informatici.