Per risolvere una serie di problemi di sicurezza, inclusi due che ha affermato siano stati attivamente sfruttati "in the wild", Apple ha pubblicato aggiornamenti di sicurezza.
Queste sono le vulnerabilità elencate:
Una vulnerabilità di corruzione della memoria nel kernel, identificata come CVE-2024-23225, può essere utilizzata da un attaccante con accesso di lettura e scrittura illimitato per eludere le protezioni della memoria del kernel.
Il sistema operativo in tempo reale RTKit (RTOS) presenta una vulnerabilità di corruzione della memoria (CVE-2024-23296) che un attaccante con accesso illimitato di lettura e scrittura al kernel può sfruttare per superare le protezioni della memoria del kernel.
Al momento non è chiaro come le vulnerabilità vengano utilizzate come armi "in the wild". Secondo Apple, è stata implementata una validazione migliorata per correggere entrambe le vulnerabilità in iOS 17.4, iPadOS 17.4, iOS 16.7.6 e iPadOS 16.7.6.
I dispositivi successivi sono idonei per gli aggiornamenti:
iPad Pro 9.7 pollici, iPad Pro 12.9 pollici Prima Generazione, iPad 5, iPad 8, iPhone 8 Plus e iPad X sono tutti compatibili con iOS 16.7.6 e iPadOS 16.7.6.
iPad Pro 12.9 pollici 2ª generazione e successivi, iPad Pro 10.5 pollici, iPad Pro 11 pollici 1ª generazione e successivi, iPad Air 3ª generazione e successivi, iPad 6ª generazione e successivi e iPad mini 5ª generazione e successivi sono tutti compatibili con iOS 17.4 e iPadOS 17.4.
Dall'inizio dell'anno, Apple ha corretto tre zero-day attivamente sfruttati nel suo software, con l'aggiornamento più recente. Ha corretto una vulnerabilità di confusione di tipo in WebKit (CVE-2024-23222) che interessava il browser web Safari ed era potenzialmente pericolosa per i dispositivi iOS, iPadOS, macOS, tvOS e iOS a fine gennaio 2024.
Questo sviluppo coincide con l'aggiunta di due vulnerabilità al catalogo delle Vulnerabilità Conosciute Sfruttate (KEV) dell'Agenzia per la Sicurezza Informatica e l'Infrastruttura degli Stati Uniti (CISA), che sta richiedendo che le entità federali implementino i rimedi appropriati entro il 26 marzo 2024.
Le vulnerabilità sono relative a una vulnerabilità di divulgazione di informazioni che colpisce gli smartphone Pixel che eseguono Android (CVE-2023-21237) e a una vulnerabilità di iniezione di comandi del sistema operativo in Sunhillo SureLine che può consentire l'esecuzione di codice con privilegi di root (CVE-2021-36380).
In un avviso di giugno 2023, Google ha ammesso di aver scoperto segni che suggeriscono che "CVE-2023-21237 potrebbe essere sotto sfruttamento limitato e mirato". Riguardo a CVE-2021-36380, Fortinet ha rivelato alla fine del 2017 che la vulnerabilità veniva sfruttata dal botnet Mirai IZ1H9 per intrappolare dispositivi vulnerabili in un botnet DDoS.
Comments