Giovedì, Apple ha rilasciato una serie di aggiornamenti che portano alcune nuove funzionalità su iPhone e Mac. Ma, cosa ancora più importante, gli aggiornamenti includono tre patch critiche zero-day per le vulnerabilità della sicurezza che notoriamente sono state sfruttate attivamente. Il più allarmante dei bug consente a un hacker di accedere ai dati personali e prendere il controllo del tuo dispositivo tramite un'app dannosa.
I difetti di WebKit abbracciano la famiglia di dispositivi Apple e sono stati corretti iOS 16.5, iPadOS 16.5, watchOS 9.5, Mac OS 13.4, E TV OS 16.5, ma anche iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7, oltre a Safari 16.5. Tutti gli aggiornamenti includono le stesse cinque correzioni di WebKit, tre delle quali note per essere state sfruttate:
WebKit
- Impatto: L'elaborazione dei contenuti web può rivelare informazioni sensibili
- Descrizione: Una lettura fuori limite è stata risolta con una migliore convalida dell'input.
-
Bugzilla WebKit: 255075
CVE-2023-32402: un ricercatore anonimo
WebKit
- Impatto: l'elaborazione dei contenuti web può divulgare informazioni riservate
- Descrizione: un problema di overflow del buffer è stato risolto con una migliore gestione della memoria.
-
Bugzilla WebKit: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
- Impatto: Un utente malintenzionato remoto potrebbe essere in grado di uscire dalla sandbox di Web Content. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
- Descrizione: Il problema è stato risolto con migliori controlli dei limiti.
-
Bugzilla WebKit: 255350
CVE-2023-32409: Clément Lecigne del Threat Analysis Group di Google e Donncha Ó Cearbhaill del Security Lab di Amnesty International
WebKit
- Impatto: L'elaborazione dei contenuti web può rivelare informazioni sensibili. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
- Descrizione: Una lettura fuori limite è stata risolta con una migliore convalida dell'input.
-
Bugzilla WebKit: 254930
CVE-2023-28204: un ricercatore anonimo
WebKit
- Impatto: L'elaborazione di contenuti Web pericolosi può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
- Descrizione: Un problema use-after-free è stato risolto con una migliore gestione della memoria.
-
Bugzilla WebKit: 254840
CVE-2023-32373: un ricercatore anonimo
Due dei tre difetti zero-day, CVE-2023-28204 e CVE-2023-32373, erano stati precedentemente corretti come parte di I primi aggiornamenti di Rapid Security Response di Apple per iOS e iPadOS (16.4.1 (a)) e macOS Ventura (13.3.1 (UN)).
Per aggiornare il tuo iPhone o iPad, vai all'app Impostazioni, quindi Generale E Aggiornamento software. Su un Mac, vai su Impostazioni di sistema, quindi su Generale e Aggiornamento software; sui Mac pre-Ventura, trova l'app Preferenze di Sistema, quindi Aggiornamento software.