Il 7 aprile, Apple ha rilasciato due aggiornamenti di sicurezza che avvisavano di due vulnerabilità zero-day sotto exploit attivi in the wild. Entro il 10 aprile, queste vulnerabilità sono state aggiunte all’elenco delle vulnerabilità sfruttate note (KEV) della Cybersecurity and Infrastructure Security Agency (CISA).
L'impatto del due vulnerabilità è diffusa, che colpisce macOS Ventura 13.3.1 per Apple Mac, oltre ai sistemi operativi iOS 16.4.1 e iPadOS 16.4.1 utilizzati per eseguire iPhone e iPad, secondo Apple.
Il primo bug, CVE-2023-28205, è un difetto in Apple iOS, iPad OS, macOS e Safari WebKit che potrebbe portare all'iniezione di codice elaborazione di contenuti Web dannosi, ha spiegato la CISA. Il secondo, CVE-2023-28206, colpisce Apple iOS, iPadOS e macOS IOSurfaceAccelerator che, cosa preoccupante, potrebbe consentire a un'app dannosa di eseguire codice con privilegi del kernel, ha affermato CISA.
Apple ha rilasciato aggiornamenti per iOS 16 e iPad OS 16. Altre versioni di macOS, tra cui Big Sur Monterey e Ventura, hanno patch che devono essere installate e, come sottolineato da Sophos in un avviso separato, non è ancora chiaro se i bug verranno eliminati. impatto sugli utenti di iOS 15 con dispositivi più vecchi.
Entrambi i problemi sono stati segnalati da Clément Lecigne del Threat Analysis Group di Google e Donncha Ó Cearbhaill del Security Lab di Amnesty International, dando agli esperti di sicurezza informatica motivo di credere che le falle vengano sfruttate da attori statali per distribuire spyware.
"È interessante che il Security Lab di Amnesty International sia stata una delle organizzazioni coinvolte nella segnalazione del problema", ha spiegato Mike Parkin, ingegnere tecnico senior di Vulcan Cyber in una dichiarazione fornita a Dark Reading. "Sebbene Apple non abbia detto molto sugli exploit, sembra probabile, dati i report e la storia precedente, che gli exploit siano stati implementati da autori di minacce a livello statale."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/pair-apple-zero-days-active-exploit-patch-accordingly-
- :È
- 1
- 10
- 7
- a
- WRI
- Secondo
- di conseguenza
- attivo
- attori
- aggiunto
- aggiunta
- consultivo
- che interessano
- agenzia
- .
- ed
- e infrastruttura
- App
- Apple
- Aprile
- SONO
- AS
- essendo
- CREDIAMO
- Big
- Insetto
- bug
- by
- codice
- potuto
- Cyber
- Cybersecurity
- Scuro
- Lettura oscura
- schierare
- schierato
- dispositivi
- In precedenza
- ingegnere
- eseguire
- esperti
- ha spiegato
- Sfruttare
- Exploited
- gesta
- ricerca
- Nome
- difetto
- difetti
- Nel
- dato
- Dare
- Gruppo
- Avere
- storia
- HTTPS
- Impact
- in
- Compreso
- Infrastruttura
- installato
- interessante
- Internazionale
- coinvolto
- iOS
- iPad
- iPadOS
- problema
- Rilasciato
- sicurezza
- IT
- jpg
- conosciuto
- laboratorio
- portare
- probabile
- Lista
- macos
- Bisogno
- of
- ONE
- operativo
- sistemi operativi
- organizzazioni
- OS
- Altro
- Toppa
- Patch
- Platone
- Platone Data Intelligence
- PlatoneDati
- privilegi
- purché
- Lettura
- ragione
- rilasciato
- Segnalati
- Reportistica
- Correre
- s
- Safari
- Suddetto
- Secondo
- problemi di
- sembra
- anziano
- separato
- spyware
- Regione / Stato
- dichiarazione
- Ancora
- SISTEMI DI TRATTAMENTO
- Consulenza
- che
- Il
- minaccia
- attori della minaccia
- a
- per
- Aggiornanento
- Aggiornamenti
- Vulcano
- vulnerabilità
- identificazione dei warning
- sito web
- kit web
- se
- while
- Selvaggio
- volere
- con
- zefiro
