Apple risolve altre 3 vulnerabilità zero-day

In un aggiornamento di sicurezza di emergenza, Apple ha identificato tre vulnerabilità zero-day che colpisce i prodotti iPhone e Mac che vengono attivamente sfruttati.

Una vulnerabilità, tracciata come CVE-2023-41992, è un difetto riscontrato nel Kernel Framework che gli autori delle minacce possono sfruttare per aumentare i privilegi. Due delle altre vulnerabilità, tracciate come CVE-2023-41993 ed CVE-2023-41991. si trovano rispettivamente nel motore del browser WebKit e nel Security Framework. Secondo l'avviso di Apple, gli autori delle minacce acquisiscono la capacità di "ignorare la convalida della firma" e di "ottenere l'esecuzione arbitraria di codice tramite pagine Web create in modo dannoso" nel caso in cui sfruttassero queste vulnerabilità.

I dispositivi interessati da questi zero-day variano tra i modelli più vecchi e quelli più recenti dei prodotti Apple, inclusi iPhone 8 e successivi; iPad mini 5a generazione e successivi; qualsiasi Mac con macOS Monterey o successivo; e Apple Watch Serie 4 e versioni successive.

Questi problemi sono stati risolti in iOS 16.7, iPadOS 16.7, OS 17.0.1, iPadOS 17.0.1 e Safari 16.6.1 e sono stati scoperto e segnalato per la prima volta di Bill Marczak del Citizen Lab e Maddie Stone del Threat Analysis Group di Google. Citizen Lab in genere tiene sotto controllo i casi di spyware, ma finora non sono disponibili dettagli sulla natura degli exploit o degli attacchi in circolazione. 

"Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato contro versioni di iOS precedenti a iOS 16.7", ha affermato il National Vulnerability Database, anche se la misura in cui sono state sfruttate è sconosciuta.