Apple ha rilasciato una serie di aggiornamenti di sicurezza per iOS, iPadOS, macOS, visionOS e Safari per correggere due vulnerabilità zero-day attivamente sfruttate dagli hacker. Le falle, tracciate come CVE-2024-44309 e CVE-2024-44308, interessano WebKit e JavaScriptCore.
Gli aggiornamenti sono cruciali per proteggere i dispositivi Apple (come i nuovi iPhone 16 Pro che potete trovare su Amazon) da potenziali attacchi. La prima vulnerabilità potrebbe consentire attacchi di cross-site scripting (XSS), ovvero la possibilità di “iniettare” script dannosi in remoto, mentre la seconda potrebbe portare all'esecuzione di codice arbitrario.
Apple ha corretto il problema di gestione dei cookie in WebKit migliorando la gestione dello stato, mentre la falla in JavaScriptCore è stata risolta con controlli più rigorosi. L'azienda non ha fornito dettagli sugli attacchi o sui responsabili.
Le vulnerabilità sono state scoperte da Clément Lecigne e Benoît Sevens del Threat Analysis Group di Google, un team che si occupa di monitorare e contrastare minacce avanzate e attività di cyber-spionaggio. Questo suggerisce che le falle potrebbero essere state sfruttate da attori sofisticati.
Apple ha rilasciato i seguenti aggiornamenti per i seguenti dispositivi:
- iOS 18.1.1 e iPadOS 18.1.1 per iPhone XS e successivi, iPad Pro 13", iPad Pro 12.9" di 3a generazione e successivi, iPad Pro 11" di 1a generazione e successivi, iPad Air di 3a generazione e successivi, iPad di 7a generazione e successivi, iPad mini di 5a generazione e successivi.
- iOS 17.7.2 e iPadOS 17.7.2 per modelli leggermente più vecchi di iPhone e iPad.
- Safari 18.1.1 per sistemi macOS Ventura e Sonoma.
- macOS Sequoia 15.1.1
- visionOS 2.1.1
Data la natura delle vulnerabilità e il loro sfruttamento attivo, si consiglia vivamente agli utenti di dispositivi Apple di installare gli aggiornamenti il prima possibile per proteggere i propri sistemi da potenziali attacchi.