Apple ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità zero-day nel browser Safari WebKit sfruttata durante il concorso di hacking Pwn2Own Vancouver 2024.
La vulnerabilità zero-day di Safari WebKit
La vulnerabilità zero-day, identificata come CVE-2024-27834, è stata sfruttata durante il concorso di hacking Pwn2Own Vancouver 2024. Apple ha rilasciato aggiornamenti di sicurezza per risolvere questa vulnerabilità sui sistemi macOS Monterey e macOS Ventura con migliori controlli di sicurezza.
Manfred Paul e la vulnerabilità zero-day di Safari WebKit
Manfred Paul, lavorando con Trend Micro’s Zero Day Initiative, ha riferito la vulnerabilità zero-day di Safari WebKit. Ha utilizzato questa vulnerabilità insieme a un bug di sottostima dell’intero per ottenere l’esecuzione remota di codice (RCE) e guadagnare $60,000 durante il concorso di hacking.
Punter Authentication Codes (PACs)
PACs sono utilizzati sull’architettura arm64e per rilevare e proteggere contro modifiche inaspettate ai puntatori in memoria. Se si verificano eventi di corruzione della memoria che causano modifiche impreviste ai puntatori, il CPU scatena un arresto anomalo dell’applicazione.
Aggiornamenti di sicurezza per Safari
Apple ha rilasciato aggiornamenti di sicurezza per Safari 17.5 su macOS Sonoma 14.5, macOS Ventura, macOS Monterey, iOS 17.5, iPadOS 17.5 e visionOS 1.2. Tuttavia, Apple non ha ancora confermato se la vulnerabilità zero-day di Safari WebKit è stata risolta anche su queste piattaforme.
Come aggiornare Safari
Se utilizzi macOS Ventura o macOS Monterey, puoi aggiornare Safari senza aggiornare macOS. Vai a > Impostazioni di sistema > Generale > Aggiornamento software e fai clic su “Più info…” sotto “Aggiornamenti disponibili”.
Pwn2Own Vancouver 2024
Durante il concorso di hacking Pwn2Own Vancouver 2024, i ricercatori di sicurezza hanno guadagnato $1,132,500 dopo aver sfruttato e riferito 29 vulnerabilità zero-day. Manfred Paul è emerso come il vincitore e ha guadagnato $202,500 in contanti dopo aver dimostrato un exploit zero-day RCE contro il browser web Safari di Apple e un exploit double-tap RCE contro le vulnerabilità di validazione non corretta di quantità specificate in input nei browser web Google Chrome e Microsoft Edge.
Conclusioni
È importante mantenere aggiornati i dispositivi e i browser web per proteggersi dalle vulnerabilità zero-day e dalle altre minacce alla sicurezza. Se utilizzi Safari, assicurati di aggiornare il browser web all’ultima versione disponibile per proteggere il tuo dispositivo.
Suggerimenti, soluzioni, consigli e best practice
- Mantieni aggiornati i dispositivi e i browser web
- Utilizza software antivirus e anti-malware affidabili
- Evita di visitare siti web sospetti o non attendibili
- Non cliccare su link sospetti o allegati email
- Proteggi il tuo dispositivo con una password o un’impronta digitale forte
- Abilita la funzione di rilevamento delle minacce sul tuo dispositivo
- Effettua regolarmente il backup dei dati importanti
- Utilizza una VPN per proteggere la tua connessione internet
- Segnala qualsiasi vulnerabilità o attività sospetta al fornitore del software o al team di sicurezza appropriato.
