Apple ha recentemente rilasciato degli aggiornamenti di sicurezza per risolvere la prima vulnerabilità zero-day di quest'anno. Tale bug è stato sfruttato negli attacchi che hanno colpito iPhone, Mac e Apple TV. Il problema zero-day risolto viene tracciato come CVE-2024-23222 (iOS, macOS, tvOS). Si tratta di un problema di WebKit confusion che gli aggressori potrebbero sfruttare per ottenere l'esecuzione di codice sui dispositivi presi di mira. Lo sfruttamento riuscito consente agli autori delle minacce di eseguire codice dannoso arbitrario su dispositivi che eseguono versioni vulnerabili di iOS, macOS e tvOS dopo aver aperto una pagina Web dannosa. Come ricorda Apple sul suo sito web: “L'elaborazione di contenuti web dannosi può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato”. Sebbene la società abbia rivelato di essere a conoscenza dello sfruttamento in-the-wild, non ha ancora pubblicato ulteriori dettagli su questi attacchi.
Apple: i dispositivi vulnerabili all’attacco zero-day recentemente risolto
Apple ha risolto CVE-2024-23222 con controlli migliorati in iOS 16.7.5 e versioni successive, iPadOS 16.7.5 e versioni successive e macOS Monterey 12.7.3 e versioni successive, nonché su tvOS 17.3 e versioni successive. L'elenco completo dei dispositivi interessati da questo WebKit zero-day è piuttosto ampio, poiché il bug colpisce modelli vecchi e nuovi. Tra questi vi sono iPhone 8, iPhone 8 Plus, iPhone X, iPad di quinta generazione, iPad Pro da 9,7 e 12,9 pollici di prima generazione, iPhone XS e successivi, iPad Pro 12,9 pollici di seconda generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi e iPad mini di quinta generazione e successivi. Inoltre, il bug riguarda anche Mac con macOS Monterey e versioni successive, ma anche Apple TV HD e Apple TV 4K (tutti i modelli).
Tale vulnerabilità zero-day sia stata probabilmente utilizzata solo in attacchi mirati. Tuttavia, è altamente consigliabile installare gli aggiornamenti di sicurezza di oggi il prima possibile per bloccare potenziali tentativi di attacco. Infine, Apple ha anche eseguito il backport delle patch sui vecchi modelli di iPhone e iPad per altri due WebKit zero-day (CVE-2023-42916 e CVE-2023-42917) patchati a novembre.