Apple: 3 gravi zeroday sfruttati attivamente su iPhone Mac e iPad sono stati fixati

Redazione RHC : 19 Maggio 2023 16:01

Apple ha risolto tre nuove vulnerabilità zero-day sfruttate negli attacchi per hackerare iPhone, Mac e iPad.

Si tratta di bug che affliggono il motore del browser WebKit multipiattaforma e sono tracciati come CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373.

La prima vulnerabilità è una escape dalla sandbox che consente agli aggressori remoti di uscire dalle sandbox dei contenuti Web.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“Apple è a conoscenza di un rapporto secondo il quale questo problema potrebbe essere stato attivamente sfruttato”, ha riportato la grande Mela.

L’elenco dei dispositivi interessati è piuttosto ampio, in quanto il bug riguarda modelli vecchi e nuovi e include:

• iPhone 6s (tutti i modelli)
• iPhone 7 (tutti i modelli)
• iPhone SE (1a generazione)
• iPad Air 2, iPad mini (4a generazione)
• iPod touch (7a generazione) e iPhone 8 e successivi
• iPad Pro (tutti i modelli)
• iPad Air 3a generazione e successivi
• iPad 5a generazione e successivi
• iPad mini 5a generazione e successivi
• Mac con macOS Big Sur,
• Monterey e Ventura
• Apple Watch serie 4 e versioni successive
• Apple TV 4K (tutti i modelli) e Apple TV HD

Gli altri due sono una lettura fuori limite che può aiutare gli aggressori ad accedere a informazioni riservate e un problema use-after-free che consente di ottenere l’esecuzione di codice arbitrario su dispositivi compromessi, entrambi dopo aver indotto gli obiettivi a caricare pagine Web dannose ( contenuto del web).

Apple ha risolto tre vulnerabilità zero-day nelle sue piattaforme, tra cui macOS Ventura 13.4, iOS e iPadOS 16.5, tvOS 16.5, watchOS 9.5 e Safari 16.5. Queste vulnerabilità sono state risolte mediante l’implementazione di controlli migliorati, convalida dell’input e gestione della memoria.

Inoltre, ad aprile, Apple ha corretto altre due vulnerabilità zero-day (CVE-2023-28206 e CVE-2023-28205) che erano parte di catene di exploit in-the-wild, coinvolgendo Android, iOS e Chrome. Queste vulnerabilità sono state sfruttate per distribuire spyware commerciale su dispositivi di obiettivi ad alto rischio in tutto il mondo.

In precedenza, a febbraio, Apple ha affrontato un’altra vulnerabilità zero-day di WebKit (CVE-2023-23529) che è stata sfruttata in attacchi per ottenere l’esecuzione di codice su iPhone, iPad e Mac vulnerabili.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli