Apple risolve il nuovo zero-day utilizzato negli attacchi contro iPhone, iPad
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 25 Ottobre 2022
Tags: #apple, #bug, #zeroday, #iPhone, #iPad
Tags: #apple, #bug, #zeroday, #iPhone, #iPad
Apple risolve il nuovo zero-day utilizzato negli attacchi contro iPhone, iPad
Negli aggiornamenti di sicurezza rilasciati lunedì, Apple ha corretto la nona vulnerabilità zero-day utilizzata negli attacchi contro gli iPhone dall'inizio dell'anno.
Apple ha rivelato oggi in un avviso di essere a conoscenza di rapporti secondo cui il difetto di sicurezza "potrebbe essere stato attivamente sfruttato".
Il bug (CVE-2022-42827) è un problema di scrittura fuori limite segnalato ad Apple da un ricercatore anonimo e causato dal software che scrive dati al di fuori dei limiti dell'attuale buffer di memoria.
Ciò può causare il danneggiamento dei dati, arresti anomali dell'applicazione o l'esecuzione di codice a causa di risultati non definiti o imprevisti (noti anche come danneggiamento della memoria) risultanti dai dati successivi scritti nel buffer.
Come spiega Apple, se sfruttato con successo negli attacchi, questo zero-day avrebbe potuto essere utilizzato da potenziali aggressori per eseguire codice arbitrario con privilegi del kernel.
L'elenco completo dei dispositivi interessati include iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi.
Apple ha affrontato la vulnerabilità zero-day in iOS 16.1 e iPadOS 16 con un migliore controllo dei limiti.
*Installare le Patch per i tuoi iPhone e iPad*
Sebbene Apple abbia rivelato di essere a conoscenza di rapporti di sfruttamento attivo di questa vulnerabilità in natura, non ha ancora rilasciato alcuna informazione su questi attacchi.
Ciò probabilmente consentirà ai clienti Apple di applicare patch ai propri dispositivi prima che altri aggressori sviluppino ulteriori exploit e inizino a utilizzarli in attacchi contro iPhone e iPad vulnerabili.
Anche se questo bug zero-day è stato molto probabilmente utilizzato solo in attacchi altamente mirati, si consiglia vivamente di installare gli aggiornamenti di sicurezza odierni per bloccare qualsiasi tentativo di attacco.
*Questo è il nono zero-day corretto da Apple dall'inizio dell'anno:*
A settembre, Apple ha risolto un difetto nel kernel iOS (CVE-2022-32917).
Ad agosto, ha corretto altri due zero-day nel kernel iOS (CVE-2022-32894) e WebKit (CVE-2022-32893)
A marzo, Apple ha patchato due zero-day nel driver grafico Intel (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per risolvere un altro bug zero-day di WebKit sfruttato per colpire iPhone, iPad e Mac.
A gennaio, Apple ha corretto un altro paio di zero-day consentendo l'esecuzione di codice con privilegi del kernel (CVE-2022-22587) e il monitoraggio dell'attività di navigazione web (CVE-2022-22594).