Apple ha rilasciato aggiornamenti di emergenza per risolvere due vulnerabilità zero-day scoperte in iOS, iPadOS e macOS dai ricercatori del Threat Analysis Group di Google. Entrambe sono presenti nel motore di rendering WebKit. Dato che circolano già exploit usati per attacchi contro i dispositivi Apple, gli utenti devono subito installare le ultime versioni dei sistemi operativi.
Due pericolosi bug in iOS, iPadOS e macOS
La prima vulnerabilità, indicata con CVE-2023-42916, potrebbe essere sfruttata per accedere a dati sensibili quando i browser che usano WebKit (Safari e tutti quelli compatibili con i sistemi operativi di Apple) visualizzano un sito web infetto. Il problema deriva dalla lettura di dati dalla memoria che si trovano all’esterno dei limiti entro cui è consentito l’accesso.
La seconda vulnerabilità, indicata con CVE-2023-42917, potrebbe essere sfruttata per eseguire codice arbitrario quando i browser che usano WebKit visualizzano un sito web infetto. In questo caso si tratta di una corruzione di memoria, ovvero la modifica non intenzionale del contenuto di una locazione di memoria dovuto ad un errore di programmazione.
Le patch sono state incluse in iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 e Safari 17.1.2. Questi sono i dispositivi interessati:
- iPhone XS e successivi
- iPad Pro 12.9 (seconda generatione) e successivi, iPad Pro 10.5, iPad Pro 11 (prima generatione) e successivi, iPad Air (terza generazione) e successivi, iPad (sesta generazione) e successivi, iPad mini (quinta generazione) e successivi
- Mac con macOS Monterey, Ventura, Sonoma
I ricercatori di Google hanno individuato attacchi in corso, ma non ci sono dettagli. Le vulnerabilità zero-day sono spesso sfruttate da spyware commerciali (o di stato) per spiare giornalisti, dissidenti e oppositori politici. Dall’inizio dell’anno, Apple ha risolto 20 vulnerabilità zero-day.