Se sei un utente Apple con vari dispositivi, dovresti prestare molta attenzione agli ultimi aggiornamenti che la società ha appena rilasciato. Più specificamente, aggiornamenti di sicurezza per macOS, iOS, iPadOS, e Safari sono stati implementati per risolvere un problema zero-day che è stato sfruttato in natura.
Cos'è CVE-2023-23529?
CVE-2023-23529 è una vulnerabilità di confusione di tipo in WebKit, Il motore del browser di Apple utilizzato in Safari, così come tutti i browser Web su iOS e iPadOS. Il difetto è causato dall'elaborazione di contenuti Web dannosi, e potrebbe portare all'esecuzione di codice arbitrario sui dispositivi esposti. È stato risolto con controlli migliorati, secondo Apple consultivo.
Lo scopo principale dello sfruttamento potrebbe essere associato ad attività spyware aka. spiare gli utenti, ma non ci sono conferme ufficiali su come sia stata sfruttata la falla.
CVE-2023-23529 è stato corretto nei seguenti sistemi operativi – iOS 16.3.1 e iPadOS 16.3.1, Mac OS Ventura 13.2.1, Safari 16.3.1, e probabilmente in tvOS 16.3.2 e watchos 9.3.1 (che dovrà essere ulteriormente confermato).
È anche degno di nota il fatto che la vulnerabilità sia stata inizialmente segnalata da un ricercatore anonimo, ma poi anche The Citizen Lab della Munk School dell'Università di Toronto è stato menzionato come collaboratore.
Altre vulnerabilità risolte da Apple a febbraio 2023
Apple ha corretto una vulnerabilità user-after-free nel componente Kernel, identificato come CVE-2023-23514. Il problema potrebbe consentire alle applicazioni dannose di eseguire codice arbitrario con i privilegi più elevati. È stato risolto con una migliore gestione della memoria.
L'ultima versione di macOS ha anche risolto un problema di privacy in Scorciatoie che potrebbe consentire alle app dannose di osservare i dati degli utenti non protetti. Per fortuna, anche questa scappatoia è stata risolta – con una migliore gestione dei file temporanei.
Per evitare ogni possibile scenario di exploit, dovresti aggiornare alle ultime versioni – iOS 16.3.1, iPadOS 16.3.1, Mac OS Ventura 13.2.1, e Safari 16.3.1. Per quanto riguarda i dispositivi interessati, l'elenco include iPhone 8 e più tardi, tutti i modelli di iPad Pro, iPad Air 3a generazione e successivi, iPad 5a generazione e successivi, iPad mini 5a generazione e successivi, e Mac con macOS Ventura, macOS Big Sur, e macOS Monterey.
Nel mese di febbraio 2021, un'altra vulnerabilità di WebKit, CVE-2021-1801, è stato sfruttato da una campagna di malvertising per iniettare payload dannosi che reindirizzavano gli utenti a siti progettati per truffe carta regalo.