Apple ha rilasciato un aggiornamento di sicurezza di emergenza per correggere due vulnerabilità zero-day sfruttate attivamente su iOS. Le vulnerabilità che hanno interessato molti prodotti Apple, sono state scoperte all’inizio di questo mese, tracciate come CVE-2023-42916 e CVE-2023-42917.
Tra le altre, due delle più comuni risolte in questo aggiornamento di emergenza sono state anche le CVE-2023-42890 e CVE-2023-42883.
CVE-2023-42916: la vulnerabilità esiste in WebKit di iOS, iPadOS, macOS e Safari e consente a un autore di minacce di eseguire una lettura fuori dai limiti che potrebbe divulgare informazioni sensibili durante l’elaborazione di contenuti web. A questa vulnerabilità è stata assegnata una gravità pari a 6,5 (media).
Apple l’ha corretta e implementato un’adeguata convalida dell’input per prevenirla.
I prodotti interessati da questa vulnerabilità includono iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi.
CVE-2023-42917: anche questa vulnerabilità esiste nel WebKit di iOS, iPadOS, macOS e Safari e consente a un utente malintenzionato di eseguire codice arbitrario durante l’elaborazione di contenuti web.
Alla vulnerabilità CVE-2023-42917 è stata assegnata una gravità pari a 8,8 (Alta). Apple ha dichiarato di averla corretta migliorando il bloccaggio.
I prodotti interessati da questa vulnerabilità includono iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi.
Entrambe le vulnerabilità sono state aggiunte al catalogo delle vulnerabilità sfruttate note di CISA per fornire consapevolezza a chi utilizza questi prodotti.
Inoltre, Apple esorta i propri utenti ad utilizzare l’ultima versione degli aggiornamenti per correggere le vulnerabilità ed evitare che diventino vittime di criminali informatici.
