Apple rilascia patch per vulnerabilità zero-day

Apple rilascia patch per vulnerabilità zero-day

Apple ha rilasciato le patch per iOS, iPadOS, macOS e tvOS per risolvere una vulnerabilità scoperta in WebKit che consente di eseguire codice infetto.
Apple rilascia patch per vulnerabilità zero-day
Apple ha rilasciato le patch per iOS, iPadOS, macOS e tvOS per risolvere una vulnerabilità scoperta in WebKit che consente di eseguire codice infetto.

Apple ha annunciato la disponibilità di iOS 17.3 con la nuova funzionalità Stolen Device Protection (Protezione per dispositivi rubati) per iPhone. L’aggiornamento include anche diverse patch, una delle quali risolve una vulnerabilità zero-day di WebKit. Il problema di sicurezza riguarda anche macOS e tvOS.

Esecuzione di codice arbitrario

La vulnerabilità, indicata con CVE-2024-23222, è stata individuata in WebKit, il motore di rendering di Safari che devono usare tutti i browser compatibili con iOS. In dettaglio si tratta un bug “type confusion” che si verifica quando viene effettuato l’accesso ad una risorsa (variabile, oggetto, puntatore) con un tipo incompatibile.

In questo caso, la vulnerabilità consente di eseguire codice arbitrario, quando l’utente visita una pagina web infetta. Apple ha rilevato exploit in circolazione, quindi i cybercriminali hanno già iniziato a sfruttare il bug. Per ovvi motivi non sono stati divulgati i dettagli.

Con iOS 17.3 viene risolto il problema e aggiornato Safari. La patch è disponibile anche in iPadOS 17.3, iOS/iPadOS 16.7.5, macOS Sonoma 14.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3 e tvOS 17.3. L’elenco dei dispositivi interessati è piuttosto lunga, in quanto il bug riguarda vecchi e nuovi modelli:

  • iPhone 8/8 Plus e successivi, iPad (quinta generazione e successivi), iPad Pro 9.7″, iPad Pro 12.9″, iPad Pro 10.5″, iPad Pro 11″, iPad Air (terza generazione e successivi), iPad mini (quinta generazione e successivi), Mac con macOS Monterey e versioni successive, Apple TV HD e Apple TV 4K

Quasi certamente, la vulnerabilità non verrà sfruttata per attacchi su larga scala, ma è sempre consigliata l’installazione dell’ultima versione del sistema operativo.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 23 gen 2024
Link copiato negli appunti