Apple ha rilasciato le nuove versioni di iOS, iPadOS, tvOS e watchOS con diverse funzionalità. Gli utenti devono installare al più presto gli aggiornamenti perché includono le patch per due vulnerabilità zero-day, ovvero bug già sfruttati dai cybercriminali, presenti in WebKit, il motore di rendering di Safari.
Patch di emergenza
Entrambe le vulnerabilità sono state scoperte e segnalate da un ricercatore del Google Threat Analysis Group. Apple scrive nel bollettino di sicurezza di aver rilevato exploit per le versioni di iOS precedenti alla 16.7.1. Le patch sono state incluse in iOS 16.7.3 e iPadOS 16.7.3, quindi riguardano soprattutto i vecchi iPhone e iPad non compatibili con iOS/iPadOS 17. Il problema di sicurezza è stato risolto anche in watchOS 10.2 e tvOS 17.2.
La vulnerabilità, indicata con CVE-2023-42916, consente la lettura “out-of-bounds” nella memoria e quindi può essere sfruttata per accedere a informazioni sensibili, quando l’utente apre una pagina web infetta. La vulnerabilità, indicata con CVE-2023-42917, porta invece alla corruzione della memoria e quindi può essere sfruttata per eseguire codice arbitrario, quando l’utente apre una pagina web infetta.
I dispositivi interessati sono i seguenti:
- iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air (terza generazione e successive), iPad (quinta generazione e successive), iPad mini (quinta generazione e successive)
- Apple TV HD e Apple TV 4K (tutti i modelli)
- Apple Watch Series 4 e successivi
Nel corso del 2023, Apple ha risolto 20 vulnerabilità zero-day. Altre due patch per WebKit sono include in Safari 17.2. Con iOS/iPadOS 16.7.3 sono state risolte altre sei vulnerabilità. L’azienda ha rilasciato numerose patch anche per iOS/iPadOS 17.2 (12 bug), macOS 14.2 Sonoma (39 bug), macOS 13.6.3 Ventura (17 bug), e macOS 12.7.2 (15 bug).