A distanza di pochi giorni dalle precedenti, Apple ha rilasciato nuove patch di emergenza per tre vulnerabilità zero-day scoperte in iOS, iPadOS, macOS e watchOS. Gli utenti devono installare gli aggiornamenti di sicurezza nel minor tempo possibile, in quanto sono già stati individuati gli exploit.
Nuove vulnerabilità zero-day
Le tre vulnerabilità zero-day sono state scoperte e segnalate dai ricercatori del Citizen Lab (Università di Toronto) e del Google Threat Analysis Group. Purtroppo i dettagli sono scarsi, quindi non è noto come sono avvenuti gli attacchi. Tuttavia è molto probabile che siano stati colpiti giornalisti, dissidenti e oppositori politici a scopo di spionaggio, come già avvenuto in passato.
La prima vulnerabilità, indicata con CVE-2023-41992, è presente nel kernel e può essere sfruttata per elevare i privilegi tramite accesso locale. La patch è inclusa in iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, macOS 12.7/13.6 e watchOS 9.6.3/10.0.1.
La seconda vulnerabilità, indicata con CVE-2023-41991, è presente nel framework Security e può essere sfruttata per aggirare la validazione della firma tramite app infetta. La patch è inclusa in iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, macOS 13.6 e watchOS 9.6.3/10.0.1.
La terza vulnerabilità, indicata con CVE-2023-41993, è presente in WebKit (motore di rendering di Safari) e può essere sfruttata per eseguire codice arbitrario quando l’utente visita una pagina infetta. La patch è inclusa in iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 e Safari 16.6.1.
Nella pagina relativa ai problemi di sicurezza viene riportato anche l’aggiornamento iOS 17.0.2 per gli iPhone 15, ma non c’è nessuna informazione aggiuntiva. Dall’inizio dell’anno, Apple ha rilasciato le patch per 16 vulnerabilità zero-day, un numero piuttosto alto per sistemi operativi considerati più sicuri di Windows e Android.