Apple ha rilasciato importanti aggiornamenti per la sicurezza, inclusi gli update a iOS e iPadOS 17.7.2, iOS e iPadOS 18.1.1, macOS Sequoia 15.1.1, visionOS 2.1.1, oltre a Safari 18.1.1 per macOS Sonoma e Ventura
Gli aggiornamenti in questione permettono di risolvere due vulnerabilità critiche che potrebbero permettere di eseguire codice da remoto e di perpetrare attacchi di tipo Cross Site Scripting (XSS) tramite risorse web opportunamente predisposte.
Apple ha fatto sapere che le due vulnerabilità potrebbero essere attivamente sfruttate prendendo di mira i Mac con chip Intel ma Michael Covington, esperto di sicurezza e vice presidente Portfolio Strategy di Jamf, invita tutti gli utenti ad aggiornare qualsiasi dispositivo (anche gli iPhone e gli iPad, così come i Mac con chip Apple Silicon M1, M2, M3 ecc.).
“iOS 18.1.1 e iPadOS 18.1.1 integrano importanti fix di sicurezza a bug che potrebbero permettere ad attacker di compromettere da remoto i dispositivi dell’utente”, spiega Covington. “Apple avvisato che le vulnerabilità, presenti anche in macOS, potrebbero essere sfruttate attivamente sui sistemi basati su chip Intel, raccomandiamo l’installazione su qualsiasi dispositivo a rischio”.
La vulnerabilità etichettata nei database dedicati come CVE-2024-44308 riguarda JavaScriptCore (framework di Apple che fornisce un motore JavaScript per le app e i browser web): un contenuto web malevolo potrebbe in alcuni casi consentire l’esecuzione di codice malevolo tramite web.
La vulnerabilità CVE-2024-44309 riguarda il WebKit (il motore di rendering di Apple) consentendo l’esecuzione di attacchi scripting cross-site sfruttando la modalità di gestione dei cookie. È fondamentale applicare prima possibile patch che riguardano vulnerabilità nel WebKit, essendo quest’ultimo un framework alla base di Safari, sfruttato anche per mostrare altri contenuti web-based.
“I fix forniti da Apple adottano controlli più severi per individuare e impedire attività malevole e migliorano inoltre la modalità di gestione e tracciamento dei dati durante il browsing sul web dei dispositivi”, spiega Covington. “Con attacker in grado potenzialmente di sfruttare tutte e due le vulnerabilità, è fondamentale che utenti e organizzazioni dominate da dispositivi mobili applicano le patch appena hanno la possibilità di farlo.”
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
