Aggiornamenti recenti Gennaio 9th, 2025 10:00 AM
Giu 23, 2023 Marina Londei Attacchi, In evidenza, News, RSS, Vulnerabilità 0
Mercoledì 21 giugno Apple ha rilasciato una serie di aggiornamenti di sicurezza per tre vulnerabilità zero-day che colpivano Safari, iOS, iPadOS, macOS e WatchOS.
Come riporta The Hacker News, due delle vulnerabilità identificate erano in uso dal 2019 nella campagna di attacchi ai dispositivi mobile Operation Triangulation.
Queste due vulnerabilità, identificate come CVE-2023-32434 e CVE-2023-32435, colpivano le versioni 15.7.7 di iOS e di iPadOS, la 8.81 di watchOS, le versione 16.5.1 di iOS e iPadOS, la 13.4.1 di macOS Ventura, la 12.6.7 di macOS Monterey, la 11.7.8 di macOS Big Sur e la 9.5.2 di watchOS.
La CVE-2023-32434 è stata la più diffusa tra i dispositivi e permetteva di eseguire codice arbitrario con privilegi di kernel, sfruttando un problema di integer overflow; similmente, la CVE-2023-32435 permetteva di eseguire codice arbitrario quando le applicazioni processavano contenuti web creati ad hoc, in questo caso sfruttando un problema di memory corruption.
Apple non ha rivelato ulteriori dettagli sulle caratteristiche e sugli impatti delle due vulnerabilità. L’azienda non esclude che i due bug potrebbero essere stati sfruttati per attaccare anche le versioni precedenti di iOS 15.7, ma non ci sono ancora evidenze in tal senso.
La terza vulnerabilità, la CVE-2023-32439, permetteva l’esecuzione di codice arbitrario durante il processamento di contenuti web malevoli, come la CVE-2023-32435. Quest’ultima vulnerabilità è stata individuata da un ricercatore rimasto anonimo e sfruttava un errore di type confusion.
Con le nuove patch Apple ha risolto un totale di nove vulnerabilità zero-day dall’inizio dell’anno. A febbraio e aprile l’azienda aveva risolto tre vulnerabilità che permettevano l’esecuzione di codice con privilegi elevati; in seguito, a maggio, Apple aveva rilasciato un nuovo aggiornamento per risolvere tre nuove vulnerabilità presenti in WebKit che permettevano a un attaccante di eludere la protezione della sandbox, accedere a dati sensibili ed eseguire codice.
Gen 07, 2025 0
Dic 27, 2024 0
Dic 20, 2024 0
Nov 25, 2024 0
Gen 09, 2025 0
Gen 08, 2025 0
Gen 06, 2025 0
Gen 03, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 07, 2025 0
Lo scorso venerdì Moxa, provider di reti industriali, ha...Gen 06, 2025 0
Nel corso della scorsa settimana, il CERT-AGID ha...Gen 03, 2025 0
I ricercatori di SafeBreach hanno pubblicato una PoC di...