Apple ha rilasciato aggiornamenti di sicurezza per correggere diverse vulnerabilità, tra cui due che, secondo l’azienda, sono state attivamente sfruttate in attacchi reali.
Gli aggiornamenti da fare quanto prima sono disponibili per i seguenti dispositivi:
iOS 16.7.6 e iPadOS 16.7.6: iPhone 8, iPhone 8 Plus, iPhone X, iPad di 5° generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1° generazione.
iOS 17.4 e iPadOS 17.4: iPhone XS e successivi, iPad Pro da 12,9 pollici di 2° generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici di 1° generazione e successivi, iPad Air di 3° generazione e successivi, iPad di 6° generazione e successivi, iPad mini di 5° generazione e successivi.
Con questo ultimo sviluppo, Apple ha affrontato un totale di tre vulnerabilità zero-day attivamente sfruttate nel suo software dall’inizio dell’anno. A fine gennaio 2024, ha corretto un altro bug in WebKit (CVE-2024-23222) che colpiva iOS, iPadOS, macOS, tvOS e il browser web Safari, e che poteva portare all’esecuzione di codice arbitrario.
I punti deboli delle vulnerabilità che interessano apple sonosono elencati di seguito:
CVE-2024-23225: un problema di corruzione della memoria nel kernel che un aggressore con capacità di lettura e scrittura arbitraria del kernel può sfruttare per bypassare le protezioni della memoria del kernel.
CVE-2024-23296: un problema di compromissione della memoria nel sistema operativo in tempo reale RTKit (RTOS) che un aggressore con capacità di lettura e scrittura arbitraria del kernel può sfruttare per bypassare le protezioni della memoria del kernel.
Al momento non è chiaro come queste vulnerabilità vengano utilizzate negli attacchi reali. Apple ha affermato che entrambe le vulnerabilità sono state risolte con una convalida migliorata in iOS 17.4, iPadOS 17.4, iOS 16.7.6 e iPadOS 16.7.6.
Fonte: https://thehackernews.com/2024/03/urgent-apple-issues-critical-updates.html
