Apple aggiorna iOS per 2 zero-day ad una settimana dal rilascio della 14.5.

Redazione RHC : 4 Maggio 2021 13:30

Una settimana dopo che Apple ha rilasciato il suo aggiornamento per iOS e iPadOS con la versione 14.5, la società ha rilasciato un nuovo aggiornamento, il 14.5.1 per correggere due zero-day che hanno consentito agli aggressori di eseguire codice dannoso su dispositivi che erano stati aggiornati.

Il rilascio di lunedì 3 maggio della versione 14.5.1 risolve 2 bug zeroday risolve i seguenti bug di sicurezza:

• WebKit (CVE-2021-30665) : l’elaborazione di contenuti Web pericolosi può portare all’esecuzione di codice arbitrario. Un problema di danneggiamento della memoria è stato risolto con una migliore gestione dello stato.
• WebKit (CVE-2021-30663) : l’elaborazione di contenuti Web pericolosi può portare all’esecuzione di codice arbitrario. Un integer overflow è stato risolto con una migliore convalida dell’input.

NIS2: diventa pronto alle nuove regole europee La Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua.  Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Entrambe le vulnerabilità risiedono in Webkit, un motore del browser che esegue il rendering dei contenuti Web in Safari, Mail, App Store e altre app selezionate in esecuzione su iOS.

La scorsa settimana, Apple ha CVE-2021-30661, un bug di esecuzione del codice in iOS Webkit, che avrebbe potuto essere sfruttato attivamente.

“L’elaborazione di contenuti Web creati in modo dannoso può portare all’esecuzione di codice arbitrario”

ha affermato Apple in una note sulla sicurezza, riferendosi ai difetti.

“Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.”

La CVE-2021-30665 è stato scoperto dai ricercatori della società di sicurezza cinese Qihoo 360. L’altra vulnerabilità è stata scoperta da una fonte anonima.

Apple non ha fornito dettagli su chi sta utilizzando gli exploit o su chi è stato preso di mira.

Secondo i dati del team di ricerca sulle vulnerabilità di Project Zero di Google, le tre vulnerabilità iOS recentemente corrette portano a sette il numero di zeroday sfruttati attivamente contro gli utenti iOS.

Con un totale di 22 zeroday trovati finora nel 2021, quelli che sfruttano il sistema operativo mobile Apple ne costituiscono quasi il 33%.

Ciò rende iOS il secondo software più sfruttato per gli zeroday quest’anno, dietro Chrome, che ha avuto otto zeroday.

Le vulnerabilità zeroday, sono molto ambite dal cybercrime e temuti dai difensori delle reti perché sono sconosciuti agli sviluppatori del software e al pubblico in generale. Ciò significa che le persone che scoprono le falle di sicurezza possono utilizzarle per hackerare dispositivi completamente aggiornati, spesso con rilevamento minimo o nullo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli