Apple ha rilasciato nella serata del 13 febbraio aggiornamenti di sicurezza per sanare 3 vulnerabilità scoperte negli ultimi giorni che interessano i propri prodotti mobile, di cui una di tipo 0-day. Il CSIRT Italia dell’Agenzia per la cybersicurezza nazionale ha diramato una nota riportando che la stima d’impatto della vulnerabilità sulla comunità di riferimento è GRAVE/ROSSO, consigliando di aggiornare subito gli iPhone e gli iPad.

Il vendor ha affermato che la vulnerabilità tracciata, come CVE-2023-23529, risulta essere sfruttata attivamente in rete. La tipologia riguarda Information Disclosure, Privilege Escalation e Remote Code Execution, e i prodotti e le versioni affette Apple sono:

  • Safari, versioni precedenti alla 16.3.1;
  • iOS e iPadOS 16.x, versioni precedenti alla 16.3.1;
  • macOS Ventura, versioni precedenti alla 13.2.1.

La vulnerabilità è stata scoperta da un ricercatore del Citizien Lab, un gruppo di ricerca sui diritti digitali della Munk School dell’Università di Toronto e potrebbe avere già aperto l’accesso ai dati del dispositivo.

Interesserebbe WebKit, un software usato per il browser Safari, diventato da tempo obiettivo degli hacker. Apple ha riconosciuto il problema ringraziando il ricercatore (rimasto anonimo) e il Citizen Lab “ringraziamo il Citizen Lab della Munk School dell’Università di Toronto per l’assistenza”.

Secondo quanto riporta TechCrunch, solo nel 2021 Motherboard aveva registrato che nei primi quattro mesi dell’anno Apple aveva corretto sette bug sfruttati già dai criminali informatici, di cui sei sarebbero in WebKit, numero preoccupante per gli esperti. Da allora le cose sarebbero migliorate. Dal gennaio 2022, ci sono stati nove bug in iOS che “potrebbero essere stati attivamente sfruttati”, di cui quattro in WebKit. Gli altri tre si trovavano nel kernel, il componente principale del sistema operativo dei dispositivi Apple, e uno in AppleAvd, la piattaforma di decodifica audio e video dell’azienda.

Sia Apple che il CSIRT Italia dell’ACN consigliano a tutti i possessori di dispositivi Apple di aggiornare i sistemi operativi.

 

https://www.csirt.gov.it/contenuti/aggiornamenti-di-sicurezza-apple-al01-230214-csirt-ita

https://www.repubblica.it/tecnologia/2023/02/14/news/hacker_iphone_ipad_aggiornamento_ios-387970995/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE