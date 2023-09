By

Apple ha rilasciato aggiornamenti di sicurezza di emergenza per risolvere due vulnerabilità zero-day che sono state sfruttate negli attacchi contro gli utenti iPhone e Mac. Queste ultime correzioni portano a 13 il numero totale di zero-day patchati quest’anno.

Le falle di sicurezza sono state scoperte nei framework Image I/O e Wallet e sono identificate come CVE-2023-41064 e CVE-2023-41061. CVE-2023-41064 è una debolezza di buffer overflow che può essere attivata dall'elaborazione di immagini dannose, portando potenzialmente all'esecuzione di codice arbitrario su dispositivi privi di patch. D'altro canto, CVE-2023-41061 è un problema di convalida che può anche comportare l'esecuzione di codice arbitrario tramite un allegato dannoso.

Apple ha risolto queste vulnerabilità in vari aggiornamenti del sistema operativo, tra cui macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2. Questi aggiornamenti includono miglioramenti nella logica e nella gestione della memoria per mitigare i rischi associati alle vulnerabilità zero-day.

L'impatto di questi bug di sicurezza è significativo, poiché interessano un'ampia gamma di dispositivi, inclusi iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi, iPad mini 5a generazione e versioni successive e Mac con macOS Ventura. Inoltre, sono interessati anche i modelli Apple Watch Series 4 e successivi.

Sebbene dettagli specifici sugli attacchi che sfruttano queste vulnerabilità non siano stati divulgati da Apple, ha riconosciuto che CVE-2023-41064 è stato scoperto e segnalato da Citizen Lab, un'organizzazione di ricerca nota per le sue scoperte sugli zero-day di Apple sfruttati in attacchi mirati. .

Questa non è la prima volta che Apple affronta le vulnerabilità zero-day quest’anno. A luglio, la società ha rilasciato aggiornamenti Rapid Security Response (RSR) fuori banda per correggere una vulnerabilità che colpisce iPhone, Mac e iPad con patch complete. Tuttavia, questi aggiornamenti inizialmente causavano problemi con la navigazione web e Apple ha dovuto rilasciare versioni corrette delle patch.

