Apple ha rilasciato aggiornamenti di sicurezza per correggere una nuova vulnerabilità zero-day sfruttata dagli aggressori per hackerare iPhone, iPad e Mac.
Tracciata come CVE-2022-22620, la vulnerabilità è un problema di WebKit Use After Free che potrebbe causare arresti anomali del sistema operativo ed esecuzione di codice su dispositivi compromessi.
Lo sfruttamento riuscito di questo bug consente agli attaccanti di eseguire codice arbitrario su iPhone e iPad che eseguono versioni vulnerabili di iOS e iPadOS dopo aver elaborato contenuti Web dannosi.
“Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato”, ha dichiarato la società descrivendo lo zero-day.
Apple ha affrontato CVE-2022-22620 con una migliore gestione della memoria in iOS 15.3.1, iPadOS 15.3.1 e macOS Monterey 12.2.1.
Il bug interessa i modelli più vecchi e più recenti e include un elenco piuttosto ampio dei dispositivi interessati:
- iPhone 6s e successivi,
- iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione)
- Mac con macOS Monterey
Gli esperti consigliano, nonostante questo zero-day sia stato probabilmente utilizzato solo negli attacchi mirati, di installare gli aggiornamenti il prima possibile per bloccare potenziali tentativi di attacco.