Apple ha annunciato la disponibilità di iOS 17.3 con la nuova funzionalità Stolen Device Protection (Protezione per dispositivi rubati) per iPhone. L’aggiornamento include anche diverse patch, una delle quali risolve una vulnerabilità zero-day di WebKit. Il problema di sicurezza riguarda anche macOS e tvOS.
Esecuzione di codice arbitrario
La vulnerabilità, indicata con CVE-2024-23222, è stata individuata in WebKit, il motore di rendering di Safari che devono usare tutti i browser compatibili con iOS. In dettaglio si tratta un bug “type confusion” che si verifica quando viene effettuato l’accesso ad una risorsa (variabile, oggetto, puntatore) con un tipo incompatibile.
In questo caso, la vulnerabilità consente di eseguire codice arbitrario, quando l’utente visita una pagina web infetta. Apple ha rilevato exploit in circolazione, quindi i cybercriminali hanno già iniziato a sfruttare il bug. Per ovvi motivi non sono stati divulgati i dettagli.
Con iOS 17.3 viene risolto il problema e aggiornato Safari. La patch è disponibile anche in iPadOS 17.3, iOS/iPadOS 16.7.5, macOS Sonoma 14.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3 e tvOS 17.3. L’elenco dei dispositivi interessati è piuttosto lunga, in quanto il bug riguarda vecchi e nuovi modelli:
- iPhone 8/8 Plus e successivi, iPad (quinta generazione e successivi), iPad Pro 9.7″, iPad Pro 12.9″, iPad Pro 10.5″, iPad Pro 11″, iPad Air (terza generazione e successivi), iPad mini (quinta generazione e successivi), Mac con macOS Monterey e versioni successive, Apple TV HD e Apple TV 4K
Quasi certamente, la vulnerabilità non verrà sfruttata per attacchi su larga scala, ma è sempre consigliata l’installazione dell’ultima versione del sistema operativo.
Ti potrebbe interessare
23 gen 2024