All'attenzione degli utenti Apple: l'azienda ha recentemente rilasciato patch di sicurezza fuori banda per due-zero giorni in iOS 12.5.3. Le vulnerabilità potrebbero essere state sfruttate in natura, quindi patch i tuoi dispositivi immediatamente.
iOS 12.5.4 Risolve tre bug: CVE-2021-30737, CVE-2021-30761, CVE-2021-30762
L'ultima versione di iOS 12.5.4 risolve tre vulnerabilità di sicurezza, secondo l'advisory ufficiale:
- Un problema di corruzione della memoria nel decoder ASN.1 è stato risolto rimuovendo il codice vulnerabile, identificato come CVE-2021-30737. La correzione è disponibile per iPhone 5s, iPhone 6, iPhone 6 Di più, iPad Air, Ipad mini 2, Ipad mini 3, e iPod touch;
- Un problema di corruzione della memoria in WebKit, affrontato con una migliore gestione dello stato, identificato come CVE-2021-30761, e disponibile per iPhone 5s, iPhone 6, iPhone 6 Di più, iPad Air, Ipad mini 2, Ipad mini 3, e iPod touch (6th generazione);
- Emesso un altro WebKit, descritto come un utilizzo dopo un bug gratuito, indirizzato con una migliore gestione della memoria e identificato come CVE-2021-30762; disponibile per iPhone 5s, iPhone 6, iPhone 6 Di più, iPad Air, Ipad mini 2, Ipad mini 3, e iPod touch.
Le due vulnerabilità di WebKit potrebbero essere sfruttate per ottenere l'esecuzione di codice in remoto. Le vulnerabilità CVE-2021-30761 e CVE-2021-30762 sono state segnalate ad Apple in modo anonimo. Apple afferma di essere a conoscenza di segnalazioni secondo cui i difetti potrebbero essere stati sfruttati attivamente. Non ci sono informazioni dettagliate su questi attacchi.
Altre vulnerabilità recenti in iOS
A marzo 2021, un'altra vulnerabilità che colpisce iOS, Mac OS, watchos, e il browser Safari è stato rilevato dai ricercatori di sicurezza.
Conosciuto come CVE-2021-1844, il bug è stato scoperto da due ricercatori: Clément Lecigne del Threat Analysis Group di Google e Alison Huffman del Microsoft Browser Vulnerability Research. Il bug è innescato da un problema di danneggiamento della memoria che potrebbe causare l'esecuzione di codice arbitrario durante l'elaborazione di contenuti Web appositamente predisposti. Il problema è stato risolto con una migliore convalida, apple ha detto.
A gennaio 2021, Apple ha risolto tre vulnerabilità zero-day in iOS e iPadOS.
CVE-2021-1782, CVE-2021-1870, e CVE-2021-1871 potrebbe consentire agli attori delle minacce di eseguire l'escalation dei privilegi e gli attacchi di esecuzione di codice in remoto. La società ha affermato che le vulnerabilità sono state probabilmente sfruttate in natura, senza specificare l'entità degli attacchi.