Apple risolve zero-days su iPhone ed iPad meno recenti
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 11 Aprile 2023
Tags: #apple, #iPhone, #iPad
Tags: #apple, #iPhone, #iPad
Apple risolve zero-days su iPhone ed iPad meno recenti
Apple ha rilasciato aggiornamenti di emergenza per eseguire il backport delle patch di sicurezza rilasciate venerdì, affrontando due difetti zero-day sfruttati attivamente che interessano anche iPhone, iPad e Mac meno recenti.
"Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato", ha affermato la società negli avvisi di sicurezza pubblicati lunedì.
Il primo (tracciato come CVE-2023-28206) è una debolezza di scrittura fuori limite in IOSurfaceAccelerator che consente agli attori delle minacce di eseguire codice arbitrario con privilegi del kernel su dispositivi mirati tramite app dannose.
Il secondo zero-day (CVE-2023-28205) è un utilizzo di WebKit dopo che può consentire agli attori delle minacce di eseguire codice dannoso su iPhone, Mac o iPad compromessi dopo aver indotto i loro obiettivi a caricare pagine Web dannose.
Oggi, Apple ha risolto il problema degli zero-day in iOS 15.7.5 e iPadOS 15.7.5, macOS Monterey 12.6.5 e macOS Big Sur 11.7.6 migliorando la convalida dell'input e la gestione della memoria.
La società afferma che ora i bug sono stati corretti anche sul seguente elenco di dispositivi:
iPhone 6s (tutti i modelli),
iPhone 7 (tutti i modelli),
iPhone SE (1a generazione),
iPad Air 2,
iPad mini (4a generazione),
iPod touch (7a generazione),
e Mac con macOS Monterey e Big Sur.
I difetti sono stati segnalati dai ricercatori di sicurezza con il Threat Analysis Group di Google e il Security Lab di Amnesty International, che li hanno scoperti sfruttati in attacchi come parte di una catena di exploit.
Entrambe le organizzazioni riferiscono spesso di autori di minacce sostenuti dal governo che utilizzano tattiche e vulnerabilità simili per installare spyware sui dispositivi di individui ad alto rischio in tutto il mondo, come giornalisti, politici e dissidenti.
Ad esempio, hanno recentemente condiviso i dettagli sulle campagne che abusano di due catene di exploit mirate ai bug di Android, iOS e Chrome per installare malware di sorveglianza commerciale.
CISA ha anche ordinato alle agenzie federali di applicare patch ai propri dispositivi contro queste due vulnerabilità di sicurezza, note per essere attivamente sfruttate in natura per hackerare iPhone, Mac e iPad.
A metà febbraio, Apple ha corretto un altro WebKit zero-day (CVE-2023-23529) che era in attacchi per innescare arresti anomali e ottenere l'esecuzione di codice su dispositivi iOS, iPadOS e macOS vulnerabili.