Mentre anche in Italia arriva, oggi, l’iPhone 15, Apple ha rilasciato nuovi aggiornamenti di emergenza per correggere tre vulnerabilità zero-day nei suoi sistemi operativi iOS, iPadOS, macOS, watchOS e nel browser Safari.
La stessa Apple ha confermato di essere a conoscenza di uno sfruttamento attivo delle tre vulnerabilità ma non ha fornito ulteriori dettagli tecnici sugli attacchi in corso: una scelta comunicativa che serve a dare tempo al maggior numero possibile di utenti di installare gli aggiornamenti e mettere in sicurezza i propri dispositivi prima che altri attori delle minacce approfittino delle falle di sicurezza.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (75,38/100).
Lo sfruttamento delle tre vulnerabilità zero-day potrebbe consentire agli attaccanti di:
- eseguire codice arbitrario sui dispositivi esposti;
- effettuare una escalation dei privilegi;
- bypassare le funzioni di sicurezza dei dispositivi.
Ricordiamo che, a inizio mese, i ricercatori di Citizen Lab avevano rivelato altre due vulnerabilità zero-day (CVE-2023-41061 e CVE-2023-41064) utilizzate come parte della catena di exploit zero-click denominata BlastPass per infettare gli iPhone completamente aggiornati con lo spyware commerciale Pegasus di NSO Group.
Indice degli argomenti
I dettagli delle tre vulnerabilità zero-day
Le tre nuove vulnerabilità zero-day appena corrette da Apple sono state scoperte e segnalate da Bill Marczak del Citizen Lab presso la Munk School dell’Università di Toronto e da Maddie Stone del Threat Analysis Group (TAG) di Google.
Dai pochi dettagli trapelati finora, pare essere certo che le vulnerabilità sono state sfruttate come parte di una campagna di cyber spionaggio altamente mirato ai danni di giornalisti e oppositori politici.
Le prime due vulnerabilità zero-day sono state riscontrate nel Security framework (CVE-2023-41991) e nel motore del browser WebKit (CVE-2023-41993): entrambe consentono agli aggressori di bypassare la convalida delle firme di sicurezza utilizzando app dannose o di ottenere l’esecuzione di codice arbitrario tramite pagine web create ad arte.
La terza vulnerabilità zero-day, tracciata come CVE-2023-41992, è stata riscontrata nel Kernel Framework, il componente dei sistemi operativi Apple che fornisce API e supporto per le estensioni del kernel e i driver di dispositivo. Un aggressore locale potrebbe sfruttarla per aumentare i propri privilegi di accesso e prendere il controllo del sistema esposto.
Come mitigare il rischio
Vista la gravità delle tre nuove vulnerabilità zero-day, è dunque urgente installare il prima possibile le tre patch seguendo le indicazioni riportate nei bollettini di sicurezza pubblicati sulla pagina ufficiale di Apple.
Gli aggiornamenti sono disponibili per i seguenti dispositivi e sistemi operativi:
- iOS 16.7 e iPadOS 16.7, su:
- iPhone 8 e successivi;
- iPad Pro (tutti i modelli);
- iPad Air di terza generazione e successivi;
- iPad di quinta generazione e successivi;
- iPad mini di quinta generazione e successivi;
- iOS 17.0.1 e iPadOS 17.0.1, su:
- iPhone XS e successivi;
- iPad Pro 12,9 pollici di seconda generazione e successivi;
- iPad Pro 10,5 pollici;
- iPad Pro 11 pollici di prima generazione e successivi;
- iPad Air di terza generazione e successivi;
- iPad di sesta generazione e successivi;
- iPad mini di quinta generazione e successivi;
- macOS Monterey 12.7 e macOS Ventura 13.6;
- watchOS 9.6.3 e watchOS 10.0.1, su Apple Watch Serie 4 e successive;
- Safari 16.6.1, su macOS Big Sur e macOS Monterey.
