Apple corregge il nuovo WebKit zero-day sfruttato per hackerare iPhone, Mac

Vai ai contenuti

Apple corregge il nuovo WebKit zero-day sfruttato per hackerare iPhone, Mac

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 16 Febbraio 2023
Tags: #Apple#iPhone#Mac
Apple corregge il nuovo WebKit zero-day sfruttato per hackerare iPhone, Mac




Apple ha rilasciato aggiornamenti di sicurezza di emergenza per affrontare una nuova vulnerabilità zero-day utilizzata negli attacchi per hackerare iPhone, iPad e Mac.

La patch zero-day oggi è tracciata come CVE-2023-23529 [1, 2] ed è un problema di confusione di WebKit che potrebbe essere sfruttato per attivare arresti anomali del sistema operativo e ottenere l'esecuzione di codice su dispositivi compromessi.

Uno sfruttamento riuscito consente agli aggressori di eseguire codice arbitrario su dispositivi che eseguono versioni vulnerabili di iOS, iPadOS e macOS dopo aver aperto una pagina Web dannosa (il bug ha un impatto anche su Safari 16.3.1 su macOS Big Sur e Monterey).

"L'elaborazione di contenuti Web creati in modo dannoso può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato", ha affermato Apple descrivendo lo zero-day.

"Vorremmo ringraziare The Citizen Lab presso la Munk School dell'Università di Toronto per la loro assistenza".



Apple ha risolto CVE-2023-23529 con controlli migliorati in iOS 16.3.1, iPadOS 16.3.1 e macOS Ventura 13.2.1.

L'elenco completo dei dispositivi interessati è piuttosto ampio, in quanto il bug riguarda modelli vecchi e nuovi e include:

    iPhone 8 e versioni successive
    iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi
    Mac con macOS Ventura



Oggi, Apple ha anche patchato un kernel use after free fall (CVE-2023-23514) segnalato da Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero che potrebbe portare a codice arbitrario con privilegi del kernel su Mac e iPhone.

Primo zero-day patchato da Apple quest'anno
Sebbene la società abbia rivelato di essere a conoscenza di rapporti di sfruttamento in-the-wild, non ha ancora pubblicato informazioni su questi attacchi.

Limitando l'accesso a queste informazioni, Apple probabilmente vuole consentire a quanti più utenti possibile di aggiornare i propri dispositivi prima che altri aggressori raccolgano i dettagli del giorno zero per sviluppare e distribuire i propri exploit personalizzati mirati a iPhone, iPad e Mac vulnerabili.

Sebbene questo bug zero-day sia stato probabilmente utilizzato solo in attacchi mirati, si consiglia vivamente di installare gli aggiornamenti di emergenza odierni il prima possibile per bloccare potenziali tentativi di attacco.

Il mese scorso, Apple ha anche eseguito il backport delle patch di sicurezza per un difetto zero-day sfruttabile da remoto scoperto da Clément Lecigne del Threat Analysis Group di Google su iPhone e iPad meno recenti.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti