L'aggiornamento di sicurezza di Apple corregge il nuovo zero-day iOS utilizzato per hackerare gli iPhone
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 14 Dicembre 2022
Tags: #apple, #sicurezza, #iphone, #iOS
Tags: #apple, #sicurezza, #iphone, #iOS
L'aggiornamento di sicurezza di Apple corregge il nuovo zero-day iOS utilizzato per hackerare gli iPhone
Negli aggiornamenti di sicurezza rilasciati oggi, Apple ha risolto la decima vulnerabilità zero-day dall'inizio dell'anno, con quest'ultima utilizzata attivamente negli attacchi contro gli iPhone.
La vulnerabilità è stata rivelata nei bollettini sulla sicurezza rilasciati oggi per iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1, con Apple che avverte che il difetto "potrebbe essere stato attivamente sfruttato" rispetto alle versioni precedenti.
Il bug (CVE-2022-42856) è un problema di confusione di tipo nel motore di navigazione del browser web Webkit di Apple.
Il difetto è stato scoperto da Clément Lecigne del Threat Analysis Group di Google, che consente a contenuti Web creati in modo dannoso di eseguire l'esecuzione di codice arbitrario su un dispositivo vulnerabile.
L'esecuzione di codice arbitrario potrebbe consentire al sito dannoso di eseguire comandi nel sistema operativo, distribuire malware o spyware aggiuntivi o eseguire altre azioni dannose.
Apple ha affrontato la vulnerabilità zero-day migliorando la gestione dello stato per i seguenti dispositivi iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Pro (tutti i modelli), iPad Air 2 e versioni successive, iPad 5a generazione e successive, iPad mini 4 e successive e iPod touch (7a generazione).
Applica patch ai tuoi iPhone, iPad e macOS Ventura
Sebbene Apple abbia rivelato che gli attori delle minacce hanno sfruttato attivamente la vulnerabilità, non hanno ancora fornito dettagli sugli attacchi.
Tuttavia, poiché la vulnerabilità è stata scoperta da Clément Lecigne del Threat Intelligence Team di Google, probabilmente ne sapremo di più in un futuro post sul blog.
Questo ritardo nella fornitura dei dettagli è comunemente fatto per consentire agli utenti di applicare patch ai propri dispositivi prima che altri attori delle minacce analizzino le correzioni e sviluppino i propri exploit.
Anche se questo difetto zero-day è stato probabilmente utilizzato in attacchi altamente mirati, si consiglia comunque di installare gli aggiornamenti di sicurezza odierni il prima possibile.
Questo è il decimo zero-day fissato da Apple dall'inizio dell'anno:
A ottobre, Apple ha corretto uno zero-day nel kernel iOS (CVE-2022-42827).
A settembre, Apple ha risolto un difetto nel kernel iOS (CVE-2022-32917).
Ad agosto, ha corretto altri due zero-day nel kernel iOS (CVE-2022-32894) e WebKit (CVE-2022-32893)
A marzo, Apple ha applicato due patch zero-day a Intel Graphics Driver (CVE-2022-22674) e AppleAVD (CVE-2022-22675).
A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per risolvere un altro bug zero-day di WebKit sfruttato per colpire iPhone, iPad e Mac.
A gennaio, Apple ha applicato una patch a un'altra coppia di zero-day consentendo l'esecuzione di codice con privilegi del kernel (CVE-2022-22587) e il monitoraggio dell'attività di navigazione web (CVE-2022-22594).