Apple ha da poco reso disponibili nuovi aggiornamenti di sicurezza per alcuni vecchi iPhone e iPad con cui viene corretta una vulnerabilità zero day relativa al kernel di iOS.
Apple: corrette la falla CVE-2023-42824 su iOS 16.6 e precedenti
Andando più in dettaglio. nell’avviso condivido da Apple si leggere che l’azienda è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato contro iOS/iPadOS 16.6 e versioni precedenti.
La vulnerabilità, identificata già su iOS 17 come CVE-2023-42824, è di escalation dei privilegi causata da una debolezza nel kernel XNU che può consentire agli aggressori locali di elevare i privilegi su iPhone e iPad vulnerabili.
Apple ha asserito che di aver risolto il problema in iOS 16.7.1 e iPadOS 16.7.1 con controlli migliorati, ma deve ancora rivelare chi ha scoperto e segnalato il difetto.
L’elenco dei dispositivi interessati dai due bug zero day è ampio e include iPhone 8 e versioni successive e iPad Pro (tutti i modelli), iPad Air 3a generazione e successive, iPad 5a generazione e successive e iPad mini 5a generazione e successive.
C’è pure un altro bug, identificato come CVE-2023-5217, causato da una vulnerabilità di overflow del buffer heap all’interno della codifica VP8 della libreria di codec video libvpx open source. Questo potrebbe consentire agli attori delle minacce di ottenere l’esecuzione di codice arbitrario dopo lo sfruttamento riuscito.
Anche se Apple non ha confermato alcun caso di sfruttamento in natura, Google ha precedentemente patchato il bug libvpx come zero-day nel suo browser Chrome. Inoltre, Microsoft ha risolto la stessa vulnerabilità in Edge, Teams e Skype.