Apple: 3 gravi zeroday sfruttati attivamente su iPhone Mac e iPad sono stati fixati

Apple ha risolto tre nuove vulnerabilità zero-day sfruttate negli attacchi per hackerare iPhone, Mac e iPad.

Si tratta di bug che affliggono il motore del browser WebKit multipiattaforma e sono tracciati come CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373.

La prima vulnerabilità è una escape dalla sandbox che consente agli aggressori remoti di uscire dalle sandbox dei contenuti Web.

“Apple è a conoscenza di un rapporto secondo il quale questo problema potrebbe essere stato attivamente sfruttato”, ha riportato la grande Mela.

L’elenco dei dispositivi interessati è piuttosto ampio, in quanto il bug riguarda modelli vecchi e nuovi e include:

• iPhone 6s (tutti i modelli)
• iPhone 7 (tutti i modelli)
• iPhone SE (1a generazione)
• iPad Air 2, iPad mini (4a generazione)
• iPod touch (7a generazione) e iPhone 8 e successivi
• iPad Pro (tutti i modelli)
• iPad Air 3a generazione e successivi
• iPad 5a generazione e successivi
• iPad mini 5a generazione e successivi
• Mac con macOS Big Sur,
• Monterey e Ventura
• Apple Watch serie 4 e versioni successive
• Apple TV 4K (tutti i modelli) e Apple TV HD

Gli altri due sono una lettura fuori limite che può aiutare gli aggressori ad accedere a informazioni riservate e un problema use-after-free che consente di ottenere l’esecuzione di codice arbitrario su dispositivi compromessi, entrambi dopo aver indotto gli obiettivi a caricare pagine Web dannose ( contenuto del web).

Apple ha risolto tre vulnerabilità zero-day nelle sue piattaforme, tra cui macOS Ventura 13.4, iOS e iPadOS 16.5, tvOS 16.5, watchOS 9.5 e Safari 16.5. Queste vulnerabilità sono state risolte mediante l’implementazione di controlli migliorati, convalida dell’input e gestione della memoria.

Inoltre, ad aprile, Apple ha corretto altre due vulnerabilità zero-day (CVE-2023-28206 e CVE-2023-28205) che erano parte di catene di exploit in-the-wild, coinvolgendo Android, iOS e Chrome. Queste vulnerabilità sono state sfruttate per distribuire spyware commerciale su dispositivi di obiettivi ad alto rischio in tutto il mondo.

In precedenza, a febbraio, Apple ha affrontato un’altra vulnerabilità zero-day di WebKit (CVE-2023-23529) che è stata sfruttata in attacchi per ottenere l’esecuzione di codice su iPhone, iPad e Mac vulnerabili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks