Apple ha rilasciato aggiornamenti di sicurezza per i sistemi operativi iOS, iPadOS, macOS, tvOS, watchOS e per il browser Web Safari. Il nuovo pacchetto di update risolve diverse vulnerabilità, tra cui una zero-day attivamente sfruttata in rete.
Tracciata come CVE-2023-38606, la vulnerabilità risiede nel kernel e potrebbe consentire a un’app dannosa di modificarne potenzialmente lo stato.
Secondo il bollettino di sicurezza del CSIRT Italia, la stima d’impatto delle nuove vulnerabilità è grave/rosso (75,38/100).
Qualora venissero sfruttate, le vulnerabilità potrebbero portare ad attacchi di tipo:
- accesso e manipolazione di dati;
- Denial of Service (DoS);
- escalation di privilegi;
- divulgazione di informazioni riservate;
- esecuzione remota di codice;
- bypass delle funzioni di sicurezza sui dispositivi esposti.
Indice degli argomenti
I dettagli della vulnerabilità zero-day
Come riportato nel relativo bollettino di sicurezza, “Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 15.7.1″.
Gli attori della minaccia potrebbero sfruttare la vulnerabilità zero-day su dispositivi senza patch per modificare gli stati del kernel il che potrebbe consentire loro anche di prendere il pieno controllo del dispositivo esposto.
Così come riportato dal ricercatore capo de Kaspersky GReAT, Boris Larin, la vulnerabilità zero-day CVE-2023-38606 potrebbe far parte di una catena di exploit zero-click utilizzata per distribuire lo spyware Triangulation sugli iPhone tramite un exploit dell’app di messaggistica istantanea iMessage.
In particolare, la nuova vulnerabilità sarebbe la quarta scoperta in relazione all’Operazione Triangulation, una sofisticata campagna di cyber spionaggio mobile che ha preso di mira i dispositivi iOS dal 2019 utilizzando una catena di exploit zero-click.
In totale, da inizio anno Apple ha corretto 11 vulnerabilità zero-day che hanno avuto un impatto sul suo software. L’ultima, in ordine di tempo, è stata la CVE-2023-37450 corretta in occasione degli aggiornamenti di sicurezza del mese scorso e relativa a un problema di sicurezza attivamente sfruttato nel motore di rendering WebKit che potrebbe portare all’esecuzione di codice arbitrario.
Come mitigare il rischio
I nuovi aggiornamenti Apple intervengono sulle seguenti versioni dei diversi sistemi operativi e del browser Web Safari:
- iOS 16.x e iPadOS 16.x, versioni precedenti alla 16.6: i dispositivi interessati sono iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi;
- iOS 15.x e iPadOS 15.x, versioni precedenti alla 15.7.8: i dispositivi interessati sono iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (prima generazione), iPad Air 2, iPad mini (quarta generazione) e iPod touch (settima generazione);
- macOS Ventura, versioni precedenti alla 13.5;
- macOS Monterey, versioni precedenti alla 12.6.8;
- macOS Big Sur, versioni precedenti alla 11.7.9;
- tvOS 16.x, versioni precedenti alla 16.6;
- watchOS 9.x, versioni precedenti alla 9.6;
- Safari 16.x, versioni precedenti alla 16.6.
La raccomandazione è quella di applicare le patch il prima possibile per mettere in sicurezza i propri dispositivi.
