Apple risolve due vulnerabilità zero-day su sistemi macOS Intel: Aggiornate Subito!

Aggiornamenti disponibili anche per sistemi e dispositivi non basati su x86

Errore critico: Ricercatori di Google hanno individuato alcune vulnerabilità zero-day nei componenti WebKit di Apple. Sebbene queste siano state già corrette, Apple incita gli utenti ad aggiornare i propri dispositivi il prima possibile, in quanto si ritiene che gli hacker stiano sfruttando attivamente queste falle di sicurezza.

Apple ha rilevato due gravi vulnerabilità nei componenti JavaScriptCore e WebKit dei suoi sistemi operativi. Questi problemi di sicurezza interessano solo i sistemi basati su Intel, tuttavia gli aggiornamenti di sicurezza sono destinati a tutte le piattaforme informatiche di Apple.

Il primo problema (CVE-2024-44308) colpisce il framework JavaScriptCore, che fornisce il motore JavaScript incluso in WebKit. Contenuti web creati con cattive intenzioni potrebbero portare all’esecuzione di codice arbitrario. Apple ha osservato che attori minacciosi non identificati potrebbero aver sfruttato questa vulnerabilità sui sistemi Mac basati su Intel.

La seconda vulnerabilità (CVE-2024-44309) riguarda il motore di layout WebKit, utilizzato da Safari e alcuni altri browser web. La falla potrebbe permettere agli hacker di sviluppare un attacco di scripting tra siti (cross-site scripting) mirato ai sistemi Mac Intel.

I malintenzionati che mirano a compromettere i dispositivi Apple hanno costantemente preso di mira WebKit come principale punto debole. Una volta compromesso il browser web, gli hacker possono estendere il loro attacco più a fondo nel sistema per vari scopi, inclusi l’armaiolo degli iPhone, il furto di dati degli utenti e l’intercettazione delle comunicazioni tra obiettivi vulnerabili.

Clément Lecigne e Benoît Sevens del Gruppo di Analisi delle Minacce di Google, un team di sicurezza creato per contrastare le attività di hacking supportate dai governi, hanno scoperto le vulnerabilità. I dispositivi Apple sono spesso uno dei principali bersagli delle piattaforme di spyware commerciali, note per fare affari ricercando e sfruttando vulnerabilità sconosciute per i loro clienti.

LEGGI  Lo smontaggio di iFixit rivela che il nuovo Mac mini ha un "futuro riparabile" nonostante il design compatto

Apple non ha fornito dettagli specifici riguardo agli hacker che cercano di sfruttare queste vulnerabilità. Gli sviluppatori di Cupertino hanno corretto i due problemi zero-day migliorando i controlli JS in JavaScriptCore e la gestione degli stati in WebKit.

Le correzioni per JavaScriptCore e WebKit sono disponibili nelle ultime versioni di macOS Sequoia (15.1.1), iOS (18.1.1) e iPadOS (18.1.1). Le patch sono state anche implementate su iOS 17.7.2 e iPadOS 17.7.2. Ulteriori aggiornamenti di sicurezza sono disponibili per il browser Safari su macOS Ventura, macOS Sonoma e per il visore di realtà mista Vision Pro (visionOS 2.1.1).

Messaggi simili: