Lunedì Apple ha rilasciato patch di sicurezza per iOS, iPadOS, macOS, tvOS, watchOS e il browser web Safari per risolvere molteplici difetti di sicurezza, oltre alle correzioni di backport per due zero-day recentemente divulgati sui dispositivi più vecchi.
Ciò include aggiornamenti per 12 vulnerabilità di sicurezza in iOS e iPadOS che comprendono AVEVideoEncoder, ExtensionKit, Dov’è, ImageIO, Kernel, Safari Private Browsing e WebKit. macOS Sonoma 14.2 , da parte sua, risolve 39 difetti, contando sei bug che influiscono sulla libreria ncurses .
Tra i difetti degno di nota c’è CVE-2023-45866 , un problema di sicurezza critico che potrebbe consentire a un utente malintenzionato in una posizione privilegiata sulla rete di iniettare sequenze di tasti falsificando una tastiera.
La vulnerabilità è stata rivelata la settimana scorsa dal ricercatore di sicurezza SkySafe Marc Newlin. Il problema è stato corretto in iOS 17.2, iPadOS 17.2 e macOS Sonoma 14.2 con controlli migliorati, ha affermato il produttore di iPhone.
Apple ha rilasciato anche Safari 17.2 , contenente correzioni per due difetti WebKit – CVE-2023-42890 e CVE-2023-42883 – che potrebbero portare all’esecuzione di codice arbitrario e a una condizione di negazione del servizio (DoS). L’aggiornamento è disponibile per i Mac con macOS Monterey e macOS Ventura .
iOS 17.2 e iPadOS 17.2, oltre a risolvere un bug di Siri che potrebbe consentire a un avversario con accesso fisico di ottenere dati sensibili, integrano un aggiornamento di sicurezza sotto forma di Contact Key Verification , che garantisce la privacy delle conversazioni di iMessage consentendo agli utenti di verificare i contatti con cui stanno comunicando.
“iMessage Contact Key Verification fa avanzare lo stato dell’arte delle implementazioni di Key Transparency consentendo ai dispositivi utente stessi di verificare le prove di coerenza e garantire la coerenza del sistema KT su tutti i dispositivi utente per un account”, ha osservato Apple in una spiegazione tecnica nell’ottobre 2023.
“Questi miglioramenti proteggono dalla compromissione delle directory chiave nonché dalla compromissione del servizio di trasparenza stesso e possono rilevare visualizzazioni divise presentate da entrambi i servizi.”
In concomitanza con gli aggiornamenti, Apple ha rilasciato anche iOS 16.7.3 e iPadOS 16.7.3 per risolvere ben otto problemi di sicurezza, due dei quali riguardano WebKit ( CVE-2023-42916 e CVE-2023-42917 ) e sono stati divulgati da Redmond perché è stato attivamente sfruttato in natura all’inizio di questo mese.
Entrambe le vulnerabilità sono state corrette anche in tvOS 17.2 e watchOS 10.2 . Non sono ancora disponibili ulteriori dettagli sulla natura dello sfruttamento e sugli autori delle minacce che potrebbero utilizzarli.
Fonte @thehackernews.com
About Author
