Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Apple: 3 gravi zeroday sfruttati attivamente su iPhone Mac e iPad sono stati fixati

Redazione RHC : 19 Maggio 2023 16:01

Apple ha risolto tre nuove vulnerabilità zero-day sfruttate negli attacchi per hackerare iPhone, Mac e iPad.

Si tratta di bug che affliggono il motore del browser WebKit multipiattaforma e sono tracciati come CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373.

La prima vulnerabilità è una escape dalla sandbox che consente agli aggressori remoti di uscire dalle sandbox dei contenuti Web.

Supporta Red Hot Cyber attraverso

“Apple è a conoscenza di un rapporto secondo il quale questo problema potrebbe essere stato attivamente sfruttato”, ha riportato la grande Mela.

L’elenco dei dispositivi interessati è piuttosto ampio, in quanto il bug riguarda modelli vecchi e nuovi e include:

  • iPhone 6s (tutti i modelli)
  • iPhone 7 (tutti i modelli)
  • iPhone SE (1a generazione)
  • iPad Air 2, iPad mini (4a generazione)
  • iPod touch (7a generazione) e iPhone 8 e successivi
  • iPad Pro (tutti i modelli)
  • iPad Air 3a generazione e successivi
  • iPad 5a generazione e successivi
  • iPad mini 5a generazione e successivi
  • Mac con macOS Big Sur,
  • Monterey e Ventura
  • Apple Watch serie 4 e versioni successive
  • Apple TV 4K (tutti i modelli) e Apple TV HD

Gli altri due sono una lettura fuori limite che può aiutare gli aggressori ad accedere a informazioni riservate e un problema use-after-free che consente di ottenere l’esecuzione di codice arbitrario su dispositivi compromessi, entrambi dopo aver indotto gli obiettivi a caricare pagine Web dannose ( contenuto del web).

Apple ha risolto tre vulnerabilità zero-day nelle sue piattaforme, tra cui macOS Ventura 13.4, iOS e iPadOS 16.5, tvOS 16.5, watchOS 9.5 e Safari 16.5. Queste vulnerabilità sono state risolte mediante l’implementazione di controlli migliorati, convalida dell’input e gestione della memoria.

Inoltre, ad aprile, Apple ha corretto altre due vulnerabilità zero-day (CVE-2023-28206 e CVE-2023-28205) che erano parte di catene di exploit in-the-wild, coinvolgendo Android, iOS e Chrome. Queste vulnerabilità sono state sfruttate per distribuire spyware commerciale su dispositivi di obiettivi ad alto rischio in tutto il mondo.

In precedenza, a febbraio, Apple ha affrontato un’altra vulnerabilità zero-day di WebKit (CVE-2023-23529) che è stata sfruttata in attacchi per ottenere l’esecuzione di codice su iPhone, iPad e Mac vulnerabili.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009