Con il rilascio di un nuovo pacchetto di aggiornamenti di emergenza, Apple ha affrontato altre due vulnerabilità zero-day nei suoi sistemi operativi iOS, iPad OS, macOS e nel browser Safari. Salgono così a 20 i problemi di sicurezza ad alta gravità corretti dall’inizio dell’anno.
Entrambe le vulnerabilità, tracciate come CVE-2023-42916 e CVE-2023-42917, sarebbero già state sfruttate in attacchi mirati che hanno colpito dispositivi iPhone, iPad e Mac: “Apple è a conoscenza di un report secondo il quale questo problema potrebbe essere stato sfruttato su versioni di iOS precedenti alla 16.7.1”, si legge nel bollettino di sicurezza pubblicato dall’azienda di Cupertino.
Indice degli argomenti
Le nuove vulnerabilità zero-day corrette da Apple
Le due nuove vulnerabilità zero-day appena corrette da Apple sono state individuate nel motore di rendering del browser WebKit.
Qualora venissero sfruttate, potrebbero consentire agli attaccanti di accedere a informazioni sensibili a causa di un problema di lettura “out-of-bounds” della memoria.
Inducendo le vittime a visitare pagine web malevole appositamente create, gli attaccanti potrebbero anche sfruttare le vulnerabilità per eseguire codice arbitrario sui dispositivi vulnerabili.
Apple ha affermato di avere affrontato le falle di sicurezza per i dispositivi sui quali sono in esecuzione le versioni dei sistemi operativi iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 e Safari 17.1.2, con un miglioramento della convalida e blocco degli input malevoli.
Entrambe le vulnerabilità zero-day CVE-2023-42916 e CVE-2023-42917 sono state scoperte e segnalate dal ricercatore di sicurezza Clément Lecigne del Threat Analysis Group (TAG) di Google.
Ricordiamo che, lo scorso settembre, Apple aveva corretto altre due vulnerabilità zero-day (CVE-2023-41061 e CVE-2023-41064) divulgate dai ricercatori di Citizen Lab e sfruttate come parte di una catena di exploit senza clic denominata BLASTPASS per installare lo spyware Pegasus del Gruppo NSO.
Installiamo subito gli aggiornamenti
Sebbene Apple non abbia rilasciato informazioni riguardo all’attuale sfruttamento nel mondo reale delle due vulnerabilità, è utile sottolineare che i ricercatori di TAG di Google hanno spesso scoperto e divulgato zero-day utilizzati in campagne spyware condotte da gruppi criminali state-sponsored contro individui ad alto rischio come giornalisti, politici di opposizione e dissidenti.
Vista la gravità delle due nuove vulnerabilità zero-day, è dunque urgente installare il prima possibile le patch seguendo le indicazioni riportate nei bollettini di sicurezza pubblicati da Apple (qui e qui).
La lista dei dispositivi Apple interessati è piuttosto ampia e include:
- iPhone XS e successivi;
- iPad Pro 12.9 pollici di seconda generazione e successivi, iPad Pro 10.5 pollici, iPad Pro 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi, e iPad mini di quinta generazione e successivi;
- Mac che eseguono macOS Monterey, Ventura, Sonoma.
I nuovi aggiornamenti sono disponibili attraverso il meccanismo standard di Aggiornamento software nell’app Impostazioni dell’iPhone o dell’iPad.
Gli aggiornamenti per macOS, invece, possono essere installati attraverso le Impostazioni di sistema del sistema operativo stesso.
Una volta installate le patch, gli utenti iOS/iPadOS 16.5.1 e macOS Ventura 13.4.1 vedranno una versione aggiornata del software presente sul proprio dispositivo.
Spostandosi nella sezione Impostazioni e tappando su Informazioni sarà possibile visualizzare i dettagli sulla versione del sistema operativo installato e sull’aggiornamento.
