Apple ha rilasciato nuovi aggiornamenti di sicurezza mirati a risolvere una vulnerabilità zero-day presente su iOS 16.6 e versioni precedenti, riguardante un’escalation dei privilegi dovuta a una debolezza nel kernel XNU.
La vulnerabilità, identificata come CVE-2023-42824, consentiva agli aggressori locali di elevare i privilegi su iPhone e iPad vulnerabili. Questo problema è stato attivamente sfruttato contro i dispositivi con iOS 16.6 e versioni precedenti. La correzione è stata implementata in iOS 16.7.1 e iPadOS 16.7.1 attraverso controlli migliorati, anche se l’identità del segnalatore originale rimane sconosciuta.
L’elenco dei dispositivi interessati comprende iPhone dalla 8 in poi, iPad Pro (tutti i modelli), iPad Air dalla 3a generazione in poi, iPad dalla 5a generazione in poi e iPad mini dalla 5a generazione in poi.
Oltre a questa vulnerabilità, è stato risolto un altro bug (CVE-2023-5217) causato da un’overflow del buffer heap nella codifica VP8 della libreria di codec video libvpx open source. Questa falla avrebbe potuto consentire agli attori delle minacce di eseguire codice arbitrario dopo un exploit riuscito. Anche se non ci sono segnalazioni di sfruttamento in natura da parte di Apple, sia Google che Microsoft avevano già affrontato e risolto questa vulnerabilità nei loro rispettivi servizi.
Con questi aggiornamenti, Apple ha riaffermato il suo impegno per la sicurezza dei suoi utenti, garantendo che i dispositivi più datati continuino a ricevere protezione contro le minacce online.
