Apple ha rilasciato aggiornamenti di emergenza per risolvere due difetti zero-day sfruttati attivamente sui vecchi iPhone, iPads, e Mac. La società ha dichiarato di essere a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
CVE-2023-28206, CVE-2023-28205 Zero giorni
La prima falla nella sicurezza, noto come CVE-2023-28206, è stato classificato come problema di scrittura fuori limite situato in IOSurfaceAccelerator. La vulnerabilità potrebbe consentire agli attori malintenzionati di eseguire codice arbitrario con privilegi del kernel su dispositivi mirati. Il secondo giorno zero, CVE-2023-28205, è un WebKit use after free vulnerabilità che potrebbe consentire l'esecuzione di codice dannoso su dispositivi compromessi dopo che gli utenti sono stati indotti a caricare pagine Web dannose. Queste patch di sicurezza sono state rilasciate venerdì.
In conformità con le vulnerabilità, Mela ha rilasciato oggi aggiornamenti software per affrontare le vulnerabilità zero-day scoperte in iOS 15.7.5 e iPadOS 15.7.5, macOS Monterey 12.6.5, e macOS Big Sur 11.7.6. Questi aggiornamenti migliorano la convalida dell'input e la gestione della memoria, e proteggere i seguenti dispositivi: iPhone 6S (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1I generazione), iPad Air 2, Ipad mini (4th generazione), Ipod touch (7th generazione), e Mac con macOS Monterey e Big Sur. È interessante notare che i difetti zero-day sono stati inizialmente identificati dai ricercatori del Threat Analysis Group di Google e del Security Lab di Amnesty International, che hanno riferito di essere stati sfruttati in natura.
Che cos'è una vulnerabilità zero-day?
Zero giorni, o 0 giorni, è un termine usato per descrivere una vulnerabilità, exploit, e attaccare software o hardware. Una vulnerabilità zero-day è un bug del software sconosciuto al fornitore del software, consentendo a un criminale informatico di trarne vantaggio per scopi dannosi. Uno Zero-Day Exploit è il metodo sviluppato dal criminale informatico per sfruttare la vulnerabilità, e un attacco zero-day è la distribuzione dell'exploit in uno scenario di attacco, che possono essere utilizzati per sottrarre dati sensibili o causare altre forme di danno.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: