Sono tre le vulnerabilità che Apple ha identificato nei suoi sistemi operativi iOS e macOS, di cui una zero-day tracciata come CVE-2023-23529 che risulta essere già attivamente sfruttata in attacchi in rete mirati a violare i vari modelli di iPhone, iPad e Mac.
Per questo motivo, Apple ha già rilasciato gli aggiornamenti di sicurezza che è importante installare il prima possibile: “una zero-day è una falla non nota al momento dell’attacco”, ci dice Pierluigi Paganini, esperto di cyber security e CEO Cybhorus.
“Lo sviluppo di un exploit per una zero-day”, continua l’analista, “offre a un attaccante un vantaggio importante in quanto sul fronte della difesa non è nota l’esistenza della breccia e quindi l’attacco potrebbe avere ottime probabilità di successo”.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto della vulnerabilità sulla comunità di riferimento è grave/rosso (con un punteggio di 75,38/100).
Indice degli argomenti
I dettagli della vulnerabilità zero-day in iOS e macOS
In particolare, la vulnerabilità CVE-2023-23529 potrebbe essere sfruttata per provocare crash del sistema operativo e ottenere l’esecuzione di codice arbitrario sui dispositivi, arrivando quindi a comprometterli completamente e prenderne il pieno controllo.
Il problema di sicurezza è stato identificato nel componente WebKit, il motore di rendering utilizzato dai browser Web di Apple per visualizzare le pagine web.
Proprio questa sua caratteristica rende la vulnerabilità particolarmente grave: come sottolinea ancora Pierluigi Paganini, infatti, “la vulnerabilità potrebbe essere fruttata inducendo la vittima a visitare, con il proprio sistema, una pagina web appositamente disegnata. Si tratta di uno scenario di attacco semplice da sfruttare con attacchi di ingegneria sociale”.
La vulnerabilità zero-day interessa le seguenti versioni dei sistemi operativi Apple:
- iOS e iPadOS 16.x, versioni precedenti alla 16.3.1;
- macOS Ventura, versioni precedenti alla 13.2.1
Ciò significa che l’elenco completo dei dispositivi colpiti è piuttosto ampio:
- iPhone 8 e successivi;
- iPad Pro (tutti i modelli);
- iPad Air di terza generazione e successivi;
- iPad di quinta generazione e successivi;
- iPad mini di quinta generazione e successivi;
- Mac con macOS Ventura.
Inoltre, risulta che la vulnerabilità riguarda anche Safari 16.3.1 su macOS Big Sur e Monterey e ciò amplia ulteriormente la superficie di attacco sfruttabile dai cyber criminali.
Aggiorniamo subito gli iPhone, iPad e i Mac
Lo sfruttamento attivo della vulnerabilità zero-day CVE-2023-23529 rende particolarmente urgente l’applicazione del nuovo aggiornamento.
Per installare la patch è sufficiente accedere al menu Impostazioni dell’iPhone o dell’iPad, spostarsi nella sezione Generali e poi in Aggiornamento software, quindi selezionare la voce Scarica e installa.
“Questa è la prima falla zero-day risolta da Apple quest’anno nei suoi sistemi iOS e macOS”, fa notare ancora Pierluigi Paganini (ricordiamo che l’anno scorso sono state dieci le zero-day corrette da Apple). “Queste falle sono oggetto di interesse di molteplici attori malevoli, da gruppi criminali ad attori nation-state, passando per aziende che utilizzano queste falle nei propri software di sorveglianza”, conclude l’analista.
Ricordiamo che, con gli attuali aggiornamenti di sicurezza, Apple ha corretto altre due vulnerabilità: CVE-2023-23514 e CVE-2023-23522, di tipo Information Disclosure e Privilege Escalation.
In particolare, la CVE-2023-23514 è stata identificata nel kernel dei dispositivi ed è di tipo “use after free” consentendo quindi agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso. Segnalata dai ricercatori Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero, potrebbe consentire ad un attaccante di eseguire codice arbitrario con i privilegi del kernel sui Mac e iPhone esposti.
