Apple ha rilasciato degli aggiornamenti di sicurezza per affrontare la prima vulnerabilità zero-day di quest’anno, che potrebbe influenzare iPhone, Mac e Apple TV.
La nuova zero-day, identificata come CVE-2024-23222 [iOS, macOS, tvOS], si concentra sul problema di confusione di WebKit che gli attaccanti potrebbero sfruttare per eseguire codice sui dispositivi mirati.
È stato confermato che l’exploit dannoso di questa vulnerabilità consente l’esecuzione di codice maligno arbitrario su dispositivi iOS, macOS e tvOS all’apertura di un sito web malevolo.
L’esecuzione di codice arbitrario potrebbe verificarsi come risultato dell’elaborazione di contenuti web maliziosi. Apple è a conoscenza di un rapporto secondo il quale questo problema potrebbe essere stato attivamente sfruttato,” dichiara Apple.
Fino ad ora, l’azienda non ha riconosciuto nessun ricercatore di sicurezza per la scoperta di questa vulnerabilità. Mentre le informazioni sull’utilizzo della vulnerabilità da parte di cyber criminali sono state divulgate, non sono state comunicate ulteriori dettagli su questi attacchi.
La vulnerabilità CVE-2020-23222 è stata risolta attraverso l’introduzione di miglioramenti ai controlli in iOS 16.7.5 e successivi, iPadOS 16.7.5 e successivi, macOS Monterey 12.7.3 e successivi, nonché tvOS 17.3 e successivi.
La lista dei dispositivi vulnerabili a questa zero-day di WebKit è piuttosto estesa e include modelli più vecchi e più recenti:
– iPhone 8, iPhone 8 Plus, iPhone X, iPad di quinta generazione, iPad Pro da 9,7 pollici di prima generazione e iPad Pro da 12,9 pollici di prima generazione
– iPhone XS e successivi, iPad Pro da 12,9 pollici di seconda generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi e iPad Mini di quinta generazione e successivi
– Mac con macOS Monterey e successivi
– Apple TV HD e Apple TV 4K (tutti i modelli)
Nonostante sia probabile che questa vulnerabilità zero-day sia stata sfruttata solo in attacchi mirati, si consiglia di installare gli aggiornamenti di sicurezza odierni il prima possibile per bloccare eventuali tentativi di attacco.
Oggi, Apple ha anche effettuato un aggiornamento retroattivo per i modelli più vecchi di iPhone e iPad per correggere altre due vulnerabilità zero-day di WebKit (CVE-2023-42916 e CVE-2023-42917) che sono state risolte a novembre.
FAQ:
1. Cosa è una vulnerabilità zero-day?
Una vulnerabilità zero-day è una falla di sicurezza che viene scoperta e sfruttata dagli attaccanti prima che il produttore o il fornitore del software ne sia a conoscenza o abbia la possibilità di rilasciare un’adeguata correzione o protezione.
2. Cos’è WebKit?
WebKit è un motore di rendering open source utilizzato da Apple per visualizzare pagine web su dispositivi come iPhone, Mac e Apple TV. Potrebbe presentare vulnerabilità che, se sfruttate, consentono agli attaccanti di eseguire codice dannoso sui dispositivi.
3. Come posso proteggermi da queste vulnerabilità?
L’installazione tempestiva degli aggiornamenti di sicurezza rilasciati da Apple è fondamentale per proteggere i dispositivi iOS, Mac e Apple TV da potenziali attacchi. Inoltre, è consigliabile evitare di visitare siti web sospetti o di aprire allegati da fonti non attendibili.
The source of the article is from the blog japan-pc.jp