Apple rilascia una patch per una vulnerabilità critica zero-day
2024-1-24 00:4:28 Author: www.securityinfo.it(查看原文) 阅读量:4 收藏

Gen 23, 2024 In evidenza, News, RSS, Vulnerabilità


Ieri Apple ha rilasciato una serie di aggiornamenti di sicurezza per risolvere 29 vulnerabilità in diversi prodotti, di cui una zero-day a rischio critico che colpisce Safari, iOS, iPadOS, macOS, tvOS e watchOS.

Il bug, identificato come CVE-2024-23222, nasce da un errore di type confusion in WebKit che si verifica quando si cerca di accedere a una risorsa con tipo incompatibile. Processando un contenuto web malevolo creato ad hoc da un attaccante, il bug espone i dispositivi all’esecuzione di codice da remoto.

In uno degli avvisi di sicurezza pubblicati ieri Apple ha affermato che è a conoscenza di un report secondo il quale la vulnerabilità sarebbe già stata sfruttata, ma non ha condiviso altri dettagli.

Le patch sono disponibili in tvOS 17.3, iOS 17.3 e 16.7.5, iPadOS 17.3 e 16.7.5, Safari 17.3, macOS Sonoma 14.3, macOS Ventura 13.6.4 e macOS Monterey 12.7.3. Tutte le versioni precedenti a quelle contenenti la patch sono vulnerabili al bug.

Vista la gravità del bug, e dal momento che potrebbe essere stato già sfruttato, Apple consiglia ai propri utenti di aggiornare i dispositivi all’ultima versione disponibile. 

Nell’advisory di Apple ci sono altre tre vulnerabilità di WebKit: la CVE-2024-23206, la CVE-2024-23213 e la CVE-2024-23214. La prima consente a un attaccante di effettuare il fingerprinting dell’utente, mentre la seconda e la terza consentono di eseguire codice da remoto sul dispositivo della vittima. In tutti e tre i casi un attaccante può sfruttare i bug creando pagine web ad hoc e contenuti malevoli che vengono processati erroneamente da WebKit.



Altro in questa categoria


文章来源: https://www.securityinfo.it/2024/01/23/apple-rilascia-una-patch-per-una-vulnerabilita-critica-zero-day/
如有侵权请联系:admin#unsafe.sh