Apple corregge due zero-day sfruttate in attacchi contro iPhone e iPad: aggiorniamo subito
2024-3-7 06:16:57 Author: www.cybersecurity360.it(查看原文) 阅读量:6 收藏

SICUREZZA MOBILE

Apple ha rilasciato nuovi aggiornamenti di sicurezza per sanare quattro vulnerabilità nei suoi sistemi operativi iOS e iPadOS: due di queste sono zero-day e risultano essere già attivamente sfruttate in attacchi mirati contro iPhone e iPad. È urgente aggiornare i propri dispositivi: ecco come

Pubblicato il 06 Mar 2024

Apple ha rilasciato aggiornamenti di emergenza per risolvere quattro vulnerabilità di iOS e iPadOS, tra cui due zero-day che sono state sfruttate in attacchi mirati contro iPhone e iPad esposti, così come confermato dalla stessa azienda nel relativo bollettino di sicurezza.

Il loro sfruttamento consente di condurre attacchi di tipo:

  • Data Manipulation
  • Information Disclosure
  • Remote Code Execution
  • Security Restriction Bypass

Secondo quanto riferito dal CSIRT Italia, l’impatto delle vulnerabilità è grave/rosso (76,66/100).

Le due vulnerabilità zero-day corrette da Apple

La prima delle due vulnerabilità zero-day corrette da Apple in occasione del rilascio degli aggiornamenti di questo mese riguarda il kernel di iOS.

La Top 5 delle minacce informatiche e come contrastarle

Tracciata come CVE-2024-23225, consiste in un problema di corruzione della memoria nel kernel che un utente malintenzionato con capacità di lettura e scrittura arbitraria può sfruttare per aggirare le protezioni della memoria del kernel stesso.

La seconda vulnerabilità zero-day, tracciata come CVE-2024-23296, riguarda, invece, un problema di corruzione della memoria nel sistema operativo in tempo reale (RTOS) RTKit che un aggressore con capacità di lettura e scrittura arbitraria del kernel può sfruttare, anche in questo caso, per aggirare le protezioni della memoria del kernel.

Al momento non si hanno altre informazioni tecniche sulle due vulnerabilità e non è chiaro come le falle vengano utilizzate come cyber armi offensive da parte dei criminal hacker.

Ciononostante, è utile ricordare che, il più delle volte, la scoperta e la divulgazione di vulnerabilità zero-day hanno portato alla luce campagne spyware condotte da gruppi criminali state-sponsored contro individui ad alto rischio come giornalisti, politici di opposizione e dissidenti.

I dispositivi esposti alle vulnerabilità zero-day

Vista la gravità delle due nuove vulnerabilità zero-day, è dunque urgente installare il prima possibile le patch seguendo le indicazioni riportate nei bollettini di sicurezza pubblicati da Apple (qui e qui).

La Casa di Cupertino ha dichiarato che entrambe le vulnerabilità sono state risolte con un miglioramento della convalida in iOS 17.4, iPadOS 17.4, iOS 16.7.6 e iPadOS 16.7.6.

In particolare, a seconda della versione aggiornata del sistema operativo, abbiamo elencato i dispositivi per i quali sono disponibili gli update:

  • iPhone 8, iPhone 8 Plus, iPhone X, iPad di quinta generazione, iPad Pro 9,7 pollici e iPad Pro 12,9 pollici di prima generazione, su cui girano la versione iOS 16.7.6 and iPadOS 16.7.6
  • iPhone XS e successivi, iPad Pro 12,9 pollici di seconda generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi e iPad mini di quinta generazione e successivi, su cui girano le versioni iOS 17.4 e iPadOS 17.4.

Installiamo subito gli aggiornamenti Applie

I nuovi aggiornamenti sono disponibili attraverso il meccanismo standard di Aggiornamento software nell’app Impostazioni dell’iPhone o dell’iPad.

Una volta installate le patch, gli utenti iOS/iPadOS 16.5.1 vedranno una versione aggiornata del software presente sul proprio dispositivo.

Spostandosi nella sezione Impostazioni e tappando su Informazioni sarà possibile visualizzare i dettagli sulla versione del sistema operativo installato e sull’aggiornamento.

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/apple-corregge-due-zero-day-sfruttate-in-attacchi-contro-iphone-e-ipad-aggiorniamo-subito/
如有侵权请联系:admin#unsafe.sh