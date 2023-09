Apple ha rilasciato aggiornamenti di sicurezza di emergenza per iOS, iPadOS, macOS e watchOS per correggere due vulnerabilità zero-day che sono state sfruttate in natura dallo spyware Pegasus di NSO Group. Il primo difetto, noto come CVE-2023-41061, è un problema di convalida in Wallet che può portare all'esecuzione di codice arbitrario durante la gestione di un allegato dannoso. Il secondo difetto, CVE-2023-41064, è un problema di buffer overflow nel componente Image I/O che può provocare l'esecuzione di codice arbitrario durante l'elaborazione di un'immagine dannosa.

Le vulnerabilità sono state scoperte da Citizen Lab presso la Munk School dell'Università di Toronto e internamente da Apple. Citizen Lab ha anche rivelato che le falle sono state utilizzate in una catena di exploit iMessage senza clic denominata BLASTPASS, consentendo a Pegasus di essere implementato su iPhone con patch complete. Questa catena di exploit può compromettere gli iPhone che eseguono l'ultima versione di iOS senza alcuna interazione da parte della vittima. L'attacco prevede l'invio di allegati PassKit contenenti immagini dannose dall'account iMessage di un utente malintenzionato alla vittima.

Gli aggiornamenti di Apple risolvono queste vulnerabilità, ma le specifiche tecniche sui difetti non sono state divulgate a causa dello sfruttamento attivo. Si dice che l'exploit aggiri il framework sandbox BlastDoor di Apple progettato per mitigare gli attacchi zero-click. Quest’ultima scoperta evidenzia il fatto che le organizzazioni della società civile vengono prese di mira da sofisticati exploit e spyware.

Quest’anno Apple ha corretto un totale di 13 bug zero-day. I recenti aggiornamenti arrivano dopo le correzioni dell'azienda per un difetto del kernel sfruttato attivamente. Il governo cinese ha imposto un divieto che vieta ai funzionari governativi di utilizzare iPhone e altri dispositivi di marca straniera per lavoro, citando problemi di sicurezza informatica. Questo divieto sottolinea le sfide legate alla protezione dallo spionaggio informatico, anche su dispositivi con una forte reputazione in termini di sicurezza come gli iPhone.

Fonte:

– Laboratorio del Cittadino

- X

Tieni presente che questo è un articolo immaginario generato da un assistente AI e le informazioni fornite potrebbero non essere accurate o aggiornate.