Lunedì Apple ha lanciato una serie completa di aggiornamenti di sicurezza, incluso il critico CVE-2023-45866, affrontare gravi vulnerabilità su più piattaforme.
Gli aggiornamenti riguardano iOS, iPadOS, Mac OS, TVOS, watchos, e il browser web Safari, con particolare attenzione alla correzione dei difetti di sicurezza e alle soluzioni di backporting per due vulnerabilità zero-day scoperte di recente sui dispositivi meno recenti.
Aggiornamenti iOS e iPadOS, CVE-2023-45866
Le patch di sicurezza per iOS e iPadOS, versioni etichettate 17.2, fornire soluzioni per 12 vulnerabilità di sicurezza che interessano vari componenti come AVEVideoEncoder, Kit di estensione, Trova la mia, ImmagineIO, nocciolo, Navigazione privata di Safari, e WebKit. In particolare, l'indirizzo degli aggiornamenti un problema di sicurezza critico identificato come CVE-2023-45866, portato alla luce dal ricercatore di sicurezza Marc Newlin di SkySafe.
Questa vulnerabilità rappresentava una minaccia significativa, consentendo agli aggressori in una posizione di rete privilegiata di iniettare sequenze di tasti falsificando una tastiera. Apple ha risposto prontamente implementando controlli migliorati in iOS 17.2, iPadOS 17.2, e macOS Sonoma 14.2.
macOS Sonoma 14.2: Indirizzamento 39 Vulnerabilità
Per gli utenti macOS, il Sonoma 14.2 l'aggiornamento indirizza un totale di 39 carenze, inclusi sei bug che interessano la libreria ncurses. Ciò sottolinea l'impegno di Apple nel migliorare il livello di sicurezza del proprio sistema operativo desktop.
Safari 17.2 Aggiornamenti
Apple ha anche rilasciato Safari 17.2, concentrandosi sulla risoluzione di due difetti critici di WebKit (CVE-2023-42890 e CVE-2023-42883). Questi difetti avevano il potenziale per portare all’esecuzione di codice arbitrario e ad un rifiuto di servizio (DoS) condizione. L'aggiornamento è pronto per i Mac con macOS Monterey e macOS Ventura.
Oltre ad affrontare le vulnerabilità identificate, iOS 17.2 e iPadOS 17.2 includere un aggiornamento della sicurezza sotto forma di verifica della chiave di contatto. Questa funzione migliora la privacy delle conversazioni di iMessage consentendo agli utenti di verificare i contatti con cui stanno comunicando. Apple ha sottolineato in una consulenza tecnica in ottobre 2023 che questi miglioramenti proteggono dalla compromissione delle directory chiave e dalla compromissione del servizio di trasparenza stesso.
Contemporaneamente, Apple ha lanciato anche iOS 16.7.3 e iPadOS 16.7.3, risolvere otto problemi di sicurezza. Di particolare preoccupazione erano due vulnerabilità WebKit (CVE-2023-42916 e CVE-2023-42917), precedentemente divulgato da Redmond e attivamente sfruttato in natura. Queste vulnerabilità sono state corrette con successo in tvOS 17.2 e watchos 10.2, dimostrando l’impegno di Apple nell’affrontare potenziali minacce nell’intero ecosistema.
Al momento, sono disponibili dettagli limitati sulla natura dello sfruttamento e sugli autori delle minacce coinvolti. La risposta tempestiva e completa di Apple a queste vulnerabilità evidenzia il suo impegno nel fornire un ambiente sicuro e resiliente ai propri utenti. Gli utenti sono fortemente incoraggiati ad aggiornare i propri dispositivi alle versioni software più recenti per assicurarsi di beneficiare delle misure di sicurezza avanzate introdotte da questi aggiornamenti.