Apple ha rilasciato aggiornamenti di sicurezza per iOS, iPadOS, macOS, visionOS e il suo browser web Safari per risolvere due difetti zero-day che sono stati sfruttati attivamente in natura.
I difetti sono elencati di seguito:
- CVE-2024-44308 – Una vulnerabilità in JavaScriptCore che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di contenuti Web dannosi
- CVE-2024-44309 – Una vulnerabilità nella gestione dei cookie in WebKit che potrebbe portare a un attacco di cross-site scripting (XSS) durante l’elaborazione di contenuti Web dannosi
Il produttore di iPhone ha affermato di aver affrontato CVE-2024-44308 e CVE-2024-44309 rispettivamente con controlli migliorati e una migliore gestione dello stato.
Non si sa molto sull’esatta natura dello sfruttamento, ma Apple ha riconosciuto che le due vulnerabilità “potrebbero essere state sfruttate attivamente su sistemi Mac basati su Intel”.
A Clément Lecigne e Benoît Sevens del Threat Analysis Group (TAG) di Google è stato attribuito il merito di aver scoperto e segnalato le due falle, indicando che probabilmente sono state utilizzate come parte di attacchi spyware altamente mirati sostenuti dal governo o mercenari.
Gli aggiornamenti sono disponibili per i seguenti dispositivi e sistemi operativi:
- iOS 18.1.1 e iPadOS 18.1.1 – iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici di terza generazione e successivi, iPad Pro da 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad 7a generazione e successive e iPad mini di quinta generazione e successive
- iOS 17.7.2 e iPadOS 17.7.2 – iPhone XS e versioni successive, iPad Pro 13 pollici, iPad Pro 12,9 pollici 2a generazione e versioni successive, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e versioni successive, iPad Air 3rd generazione e successive, iPad di sesta generazione e successive e iPad mini di quinta generazione e successive
- macOS Sequoia 15.1.1: Mac con macOS Sequoia
- visionOS 2.1.1 -Apple Vision Pro
- Safari 18.1.1: Mac con macOS Ventura e macOS Sonoma
Quest’anno Apple ha finora affrontato un totale di quattro zero-day nel suo software, incluso uno (CVE-2024-27834) che è stato dimostrato alla competizione di hacking Pwn2Own Vancouver. Gli altri tre sono stati aggiornati a gennaio e marzo 2024.
Si consiglia agli utenti di aggiornare i propri dispositivi alla versione più recente il prima possibile per proteggersi da potenziali minacce.
Related News :