Apple corregge 2 nuovi 0day sfruttati attivamente su iPhone e Mac

I ricercatori di sicurezza di Citizen Lab hanno segnalato 2 nuovi 0day sfruttati in attacchi attivi contro iPhone e Mac.

Apple ha agito rapidamente, rilasciando aggiornamenti di sicurezza di emergenza per affrontare due nuove vulnerabilità zero-day sfruttate negli attacchi contro gli utenti iPhone e Mac, portando a 13 il numero totale di zero-day sfruttati quest’anno.

Questi zero-day sono stati scoperti nei framework Image I/O e Wallet, tracciati come CVE-2023-41064 e CVE-2023-41061.

• CVE-2023-41064: un problema di buffer overflow attivato da immagini dannose, che potrebbe portare all’esecuzione di codice arbitrario.
• CVE-2023-41061: un difetto di convalida sfruttabile tramite un allegato dannoso, che consente l’esecuzione di codice arbitrario.

Apple ha risolto queste vulnerabilità in macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2 con logica e gestione della memoria migliorate.

Questi bug colpiscono un’ampia gamma di dispositivi, tra cui iPhone 8 e versioni successive, vari modelli di iPad, Mac con macOS Ventura e Apple Watch Series 4 e versioni successive.

Anno di azione: quest’anno Apple ha affrontato attivamente le vulnerabilità, correggendo 13 zero-day in iOS, macOS, iPadOS e watchOS.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks