17 Febbraio 2023
Con gli aggiornamenti rilasciati poche ore fa per iOS, iPadOS e macOS, Apple ha voluto correggere tre gravi vulnerabilità scoperte di recente dal Citizen Lab dell'Università di Toronto e classificate dall'Agenzia per la Cybersicurezza Nazionale come a rischio grave (75,8/100).
Una di queste - CVE-2023-23529 - viene definita di tipo 0-day (ovvero sfruttata attivamente in rete per potenziali attacchi) e riguarda il motore di rendering web di Safari WebKit. Una volta aperta una pagina web dannosa, potrebbe essere utilizzato per causare arresti anomali del sistema operativo e ottenere l'esecuzione di codice malevolo sui dispositivi compromessi.
CHI PUÓ ESSERE COLPITO
La vulnerabilità riguarda diversi prodotti Apple: iPhone 8 e versioni successive, iPad Pro, iPad Air 3a gen e successive, iPad 5a gen e successive, iPad mini 5a gen e successive, Mac con macOS Ventura installato.
- Safari in versione precedente alla 16.3.1
- iOS e iPadOS nelle versioni precedenti alla 16.3.1
- macOS Ventura nelle versioni precedenti alla 13.2.1
- CVE-2023-23529 | Safari 16.3.1: l'elaborazione di contenuti web pericolosi può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
- iOS 16.3.1 e iPadOS 16.3.1:
- CVE-2023-23514 | Kernel: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi del kernel
- CVE-2023-23529 | WebKit: l'elaborazione di contenuti web pericolosi può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
- macOS Ventura 13.2.1:
- CVE-2023-23514 | Kernel: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi del kernel
- CVE-2023-23522 | Shortcuts: un'app potrebbe essere in grado di osservare dati utente non protetti
- CVE-2023-23529 | WebKit: l'elaborazione di contenuti web pericolosi può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato.
Il consiglio è dunque di non attendere e di aggiornare al più presto i propri dispositivi.
Commenti
prima ne devo comprare uno! :)
Si appunto a parte il fatto che dopo 2/3 major updates è meglio fermarsi li per non trasformare poi il telefono in un mattone…….
un po' come la gente che non gliene frega della privacy su internet e mette i suoi dati ovunque perché non ha nulla da nascondere insomma
Per fix di sicurezza più urgenti sono già previsti aggiornamenti indipendenti dalla release di iOS
Che c'entra la percentuale della gente che aggiorna,si parla di tempistiche.
Sarebbe più sicuro se fosse un'app a se,in modo tale che se esce un fix,l'aggiorni subito e non devi aspettare il roll-out del nuovo s.o. che per forza di cose richiede più tempo.
Perché la percentuale di gente che aggiorna l'iphone è talmente alta che il discorso di gestire gli aggiornamenti tramite store visto che i telefono fanno due release quando va bene non sussiste...
Semplicemente non me ne frega nulla di aggiornare perchè tanto lo uso per le solite due cose in croce e non vado di certo a rischiare di perderci in autonomia o prestazioni solo per avere l'ultimo numerino nelle info del software. Infine a breve lo vendo quindi cavoli di chi se lo compra, a lui la scelta.
non so perchè leggendo il titolo ero quasi certo di trovare al primo post un commento del genere! ogni tanto riproponilo deve stare in cima!
Per adesso.
Se gli exploit sono stati introdotti son ios 16 può avere anche un senso, altrimenti no. Non essedo nemmeno il primo aggiornamento di vunerabilità critiche negli ultimi mesi qualcosa mi dice che il tuo telefono è leggermente più esposto di uno con ios 16.3.1
iOs 11 è meglio
il mio costava meno
Anche agli ucraini
Aggiornato è già risolto allora. Grazie
Leopard quanto ci manchi
Ma questo è impossibile! Soltanto Windows e Android possono concedersi il lusso di avere gravi vulnerabilità!
Hai visto? Mito da sfatare: nessuno mi ha rubato la carta di credito, non mi hanno rapito o minacciato, non mi hanno rubato il conto corrente, non mi hanno rubato nessun account e tutti i miei famigliari sono vegeti!
Dopo ios 16.3.1 sul mio telefono non vnano piu le notifiche, su tutti gli altri device sì. Bah
che uomo!
Si, Safari.
Saluti
Solo Apple TV ed HomePod sono avanti di una release perchè si erano aggiornati alla 16.3.1 la settimana scorsa.
Saluti
Ma perchè webkit non è un'app da poter aggiornare dallo store? Almeno su Android è così (app) e sarebbe meglio lato update e sicurezza (così come lo sono le app di base android).
Perdonate la mia ignoranza, ma i codici degli aggiornamenti sono uguali x ogni sistema? perche' a me questa mattina si e' aggiornata apple tv alla versione tvOS 16.3.2 (20K672)
Presto che è tardi!
\s
Esattamente, e vado avanti così! https://uploads.disquscdn.c...
Guarda caso mi arrivano con più frequenza da qualche giorno SMS di phishing con link (perfetti da aprire su telefono). Vorrei aprirli in una sandbox e analizzarne un po' il js.
naaa non aggiorno al 16 aspetto 17 e rimango col 15 tutte monate
La definizione di falla 0day è errata
LOL
Stanno aggiornando anche i dispositivi non compatibili iOS16, qundi se lo sono arriverà un aggiornamento.
Che disagio questa azienda.
Monterey non era affetto? Nessun aggiornamento oggi
Ma quindi i dispositivi non compatibili con iOS 16 sono vulnerabili?
anche sul mio mac mini. Se è per questo con iOs ho gli sfondi dei gruppi di icone che appaiono solo a fine animazione...
Continuano a sfornare nuove versioni dell'OS senza mettere a posto quello che già ci sta e che richiede ottimizzazione e bug fixing, e secondo me è una tattica demenziale.
Con Safari 16.3.1 speravo sistemassero anche le favicon su Big Sur, invece son rimasti quadrati trasparenti... :/