Apple ha rilasciato venerdì aggiornamenti di sicurezza per iOS, iPadOS, macOS e il browser web Safari per affrontare un paio di falle zero-day che vengono sfruttate nel mondo reale.
Le due vulnerabilità sono le seguenti:
- CVE-2023-28205: un problema di utilizzo dopo il rilascio in WebKit che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di contenuti web appositamente creati.
- CVE-2023-28206: un problema di scrittura out-of-bounds in IOSurfaceAccelerator che potrebbe consentire a un’app di eseguire codice malevolo con privilegi kernel.
La “grande mela” ha detto di aver risolto CVE-2023-28205 con un miglioramento della gestione della memoria e il secondo con una migliore validazione degli input, aggiungendo di essere consapevole che i bug “potrebbero essere stati attivamente sfruttati”.
Clément Lecigne del Threat Analysis Group (TAG) di Google e Donncha Ó Cearbhaill del Security Lab di Amnesty International sono accreditati per aver scoperto e segnalato le falle.
I dettagli sulle due vulnerabilità sono stati trattenuti alla luce dello sfruttamento attivo e per impedire ad altri attori minacciosi di abusarne.
I seguenti dispositivi Apple vanno aggiornati quanto prima
Gli aggiornamenti sono disponibili nelle versioni iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1. Le correzioni riguardano anche una vasta gamma di dispositivi:
- iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi.
- Mac che eseguono macOS Big Sur, Monterey e Ventura.
Apple ha risolto tre zero-day dall’inizio dell’anno. A febbraio, Apple ha risolto un altro zero-day attivamente sfruttato (CVE-2023-23529) in WebKit che poteva comportare l’esecuzione di codice malevolo.
Lo sviluppo arriva anche mentre Google TAG ha rivelato che i fornitori di spyware commerciali stanno sfruttando zero-day in Android e iOS per infettare i dispositivi mobili con malware di sorveglianza.
