Apple ha rilasciato aggiornamenti di sicurezza di emergenza per affrontarne due zero-day vulnerabilità che sono state attivamente sfruttate, portando il totale a 20 zero-day patchati nell'anno in corso. Queste vulnerabilità hanno interessato un’ampia gamma di dispositivi Apple, compresi gli iPhone, iPads, e Mac, che necessitano di un’azione rapida per proteggere gli utenti.
CVE-2023-42916 e CVE-2023-42917
Le vulnerabilità identificate, CVE-2023-42916 e CVE-2023-42917, erano situati all'interno del motore del browser WebKit, consentendo agli aggressori di compromettere informazioni sensibili attraverso una debolezza di lettura fuori dai limiti e ottenere l'esecuzione di codice arbitrario tramite un bug di danneggiamento della memoria. Apple ha risposto prontamente, riconoscendo il potenziale sfruttamento contro le versioni iOS precedenti a iOS 16.7.1.
L'elenco completo dei dispositivi Apple interessati include i modelli di iPhone XS e successivi, Generazioni di iPad Pro, iPad Air, iPad, Ipad mini, e vari Mac con macOS Monterey, Ventura, e Sonoma.
Gruppo di analisi delle minacce di Google (ETICHETTA) hanno svolto un ruolo fondamentale nello scoprire queste vulnerabilità, con il ricercatore di sicurezza Clément Lecigne a capo della segnalazione di entrambi gli zero-day. Mentre Apple non ha fornito dettagli sugli exploit in corso, I ricercatori di Google TAG spesso espongono zero-day legati a campagne spyware sponsorizzate dallo stato che prendono di mira individui di alto profilo come i giornalisti, politici, e dissidenti.
In particolare, CVE-2023-42916 e CVE-2023-42917 rappresentano la 19a e la 20a vulnerabilità zero-day affrontate da Apple in 2023. Divulgazione di un altro zero-day da parte di Google TAG (CVE-2023-42824) prendere di mira il kernel XNU ha rivelato un exploit in grado di aumentare i privilegi su iPhone e iPad.
L'impegno di Apple nei confronti della sicurezza informatica è stato ulteriormente sottolineato dalla recente correzione di tre vulnerabilità zero-day (CVE-2023-41991, CVE-2023-41992, e CVE-2023-41993) segnalato da Citizen Lab e Google TAG. queste vulnerabilità, una volta sfruttato, ha facilitato l'implementazione del famigerato spyware Predator da parte degli autori di minacce.
Rivelazioni di Citizen Lab su due ulteriori zero-day (CVE-2023-41061 e CVE-2023-41064) a settembre ha aggiunto complessità alla narrazione in corso. Sfruttato come parte della catena di exploit senza clic BLASTPASS, queste vulnerabilità sono state determinanti nell'installazione dello spyware Pegasus di NSO Group.
La cronologia delle risposte proattive di Apple risale a febbraio, dove un WebKit zero-day (CVE-2023-23529) è stato affrontato rapidamente. Nei mesi successivi si susseguirono una serie di interventi, copertura zero-day nel mese di luglio (CVE-2023-37450 e CVE-2023-38606), Giugno (CVE-2023-32434, CVE-2023-32435, e CVE-2023-32439), Maggio (CVE-2023-32409, CVE-2023-28204, e CVE-2023-32373), e aprile (CVE-2023-28206 e CVE-2023-28205).