Questa settimana, Apple ha risolto un paio di falle di sicurezza che sono state sfruttate in natura. le vulnerabilità, noto come CVE-2021-30665 e CVE-2021-30663 influenzano WebKit in macOS Big Sur.
Che cos'è CVE-2021-30665?
La vulnerabilità è un problema di danneggiamento della memoria che è stato risolto con una migliore gestione dello stato. Qual è l'impatto del difetto? Elaborando contenuti Web pericolosi, gli hacker potrebbero creare le condizioni per l'esecuzione di codice arbitrario. I rapporti indicano che la vulnerabilità è stata utilizzata in attacchi effettivi contro i proprietari di Mac.
Che cos'è CVE-2021-30663?
La vulnerabilità è un problema di overflow di numeri interi, che Apple ha risolto con una migliore convalida dell'input. L'impatto della vulnerabilità è lo stesso del difetto precedente, utilizzando contenuti Web creati in modo dannoso, gli aggressori potrebbero eseguire l'esecuzione di codice arbitrario. Secondo l'avviso di Apple, ci sono indicazioni di exploit attivi in natura basati su CVE-2021-30663.
Maggiori informazioni sono disponibili in l'advisory ufficiale.
Altre vulnerabilità recenti risolte da Apple
Lo scorso mese, Apple ha riparato a vulnerabilità critica di AirDrop. Un team di ricercatori del Secure Mobile Networking Lab (SEEMOO) e il Cryptography and Privacy Engineering Group (ENCRYPTO) al TU Darmstadt ha scoperto una grave debolezza della privacy nel protocollo di condivisione file wireless di Apple. La vulnerabilità potrebbe esporre le informazioni di contatto di un utente, incluso indirizzo e-mail e numero di telefono.
AirDrop viene utilizzato dagli utenti Apple per condividere file tra loro, ma si scopre che sono completamente estranei (attori della minaccia inclusi) può attingere al processo. Tutto ciò che serve per sfruttare la debolezza è un dispositivo abilitato al wi-fi e la vicinanza fisica al bersaglio, i ricercatori hanno messo in guardia.