iOS 18.1.1, iPadOS 18.1.1, macOS Sequoia 15.1.1 o anche visionOS 2.1.1, ma anche iOS 17.7.2, iPadOS 17.7.2, nonché il browser Safari 18.1 per macOS Ventura e macOS Sonoma. Apple rilascia aggiornamenti dedicati alla correzione delle vulnerabilità della sicurezza.
La presente pubblicazione avviene con urgenza, in quanto i due vizi da correggere sono oggetto di a sfruttamento attivo negli attacchi. Influenzano JavaScriptCore e WebKit.
Nell'avviso di sicurezza Apple menziona la possibilità di un'esecuzione arbitraria di codice tramite l'elaborazione di contenuti web dannosi e di un attacco Cross-Site Scripting (XSS; indirect code injection) in relazione ad un problema nella gestione dei cookie.
Una piccola idea della natura degli attacchi
Con riferimento a CVE-2024-44308 e CVE-2024-44309, le due vulnerabilità 0-day sono state segnalate ad Apple dai ricercatori di sicurezza all'indirizzo Gruppo di analisi delle minacce (TAG) di Google. In assenza di ulteriori dettagli al momento, questo è già un indizio sul contenuto dello sfruttamento attivo.
La missione principale del TAG è rintracciare gli attori coinvolti in operazioni di informazione, attacchi sostenuti dal governo e abusi motivati finanziariamente. Di particolare interesse sono le attività dei fornitori di spyware commerciali.
Un punto degno di nota è che le relazioni operative riguardano Computer Mac basati su Intel. Detto questo, non bisogna trascurare azioni correttive per tutti i sistemi citati da Apple.
Meno vulnerabilità 0-day rispetto al 2023
Maggiori informazioni sulle vulnerabilità e sugli attacchi arriveranno probabilmente in seguito, quando le patch saranno state sufficientemente implementate dagli utenti.
Secondo i resoconti tenuti da BleepingComputer, Apple ha corretto sei vulnerabilità 0-day dall’inizio di quest’anno 2024. Attualmente, questo totale è migliore rispetto allo scorso anno con una ventina di vulnerabilità 0-day sfruttate in natura.
