Apple risolve l' ottavo zero-day dell' anno, utilizzato per hackerare iPhone e Mac!
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 13 Settembre 2022
Tags: #sicurezza, #zero, day, #apple, #iPhone, #Mac
Tags: #sicurezza, #zero, day, #apple, #iPhone, #Mac
Apple risolve l' ottavo zero-day dell' anno, utilizzato per hackerare iPhone e Mac!
Apple ha rilasciato aggiornamenti di sicurezza per affrontare l'ottava vulnerabilità zero-day utilizzata negli attacchi contro iPhone e Mac dall'inizio dell'anno.
Negli avvisi di sicurezza emessi lunedì, Apple ha rivelato di essere a conoscenza di rapporti secondo cui questo difetto di sicurezza "potrebbe essere stato attivamente sfruttato".
Il bug (tracciato come CVE-2022-32917) può consentire ad applicazioni dannose di eseguire codice arbitrario con privilegi del kernel.
Segnalato ad Apple da un ricercatore anonimo, è stato affrontato in iOS 15.7 e iPadOS 15.7, macOS Monterey 12.6 e macOS Big Sur 11.7 con controlli dei limiti migliorati.
L'elenco completo dei dispositivi interessati include:
iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione
e Mac con macOS Big Sur 11.7 e macOS Monterey 12.6
Apple ha anche eseguito il backport delle patch per un altro zero-day (CVE-2022-32894) sui Mac con macOS Big Sur 11.7 dopo aver rilasciato ulteriori aggiornamenti di sicurezza il 31 agosto per risolvere lo stesso bug sulle versioni iOS in esecuzione su iPhone e iPad meno recenti.
*Aggiornate i Vostri iPhone e Mac per bloccare gli attacchi*
Sebbene Apple abbia rivelato lo sfruttamento attivo di questa vulnerabilità in natura, la società non ha ancora rilasciato alcuna informazione su questi attacchi.
Rifiutando di rilasciare queste informazioni, Apple probabilmente vuole consentire al maggior numero possibile di clienti di applicare patch ai propri dispositivi prima che altri aggressori sviluppino i propri exploit e inizino a implementarli in attacchi contro iPhone e Mac vulnerabili.
Sebbene questo zero-day sia stato probabilmente utilizzato solo in attacchi altamente mirati, si consiglia comunque di installare questi aggiornamenti di sicurezza il prima possibile per bloccare i tentativi di attacco.
Questo è l'ottavo zero-day fissato da Apple dall'inizio dell'anno:
Ad agosto, ha corretto due vulnerabilità zero-day nel kernel iOS (CVE-2022-32894) e WebKit (CVE-2022-32893)
A marzo, Apple ha corretto due bug zero-day nel driver grafico Intel (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per correggere un altro bug zero-day di WebKit sfruttato negli attacchi contro iPhone, iPad e Mac.
A gennaio, Apple ha corretto altri due zero-day sfruttati che hanno consentito l'esecuzione di codice con privilegi del kernel (CVE-2022-22587) e il monitoraggio dell'attività di navigazione web (CVE-2022-22594).