Apple corregge la vulnerabilità dell’elaborazione delle immagini 0-day “senza clic” in iOS e macOS

Apple ha rilasciato oggi aggiornamenti di sicurezza per iOS, iPadOS, macOS e watchOS per correggere le falle di sicurezza zero-day sfruttate attivamente che possono essere utilizzate per installare malware tramite una “immagine o un allegato creato in modo dannoso”. Gli aggiornamenti iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 e watchOS 9.6.2 correggono i difetti su tutte le piattaforme Apple. Al momento della stesura di questo articolo, non sono stati rilasciati aggiornamenti per versioni precedenti come iOS 15 o macOS 12.

I difetti CVE-2023-41064 e CVE-2023-41061 sono stati segnalati dal Citizen Lab presso la Munk School of Global Affairs & Public Policy dell’Università di Toronto. Soprannominato anche “BLASTPASS”, Citizen Lab afferma che i bug sono seri perché possono essere sfruttati semplicemente caricando un’immagine o un allegato, cosa che avviene regolarmente in Safari, Messaggi, WhatsApp e altre app di prima e terza parte. Questi bug sono anche chiamati vulnerabilità “zero-click” o “senza clic”.

Citizen Lab ha anche affermato che il bug BLASTPASS veniva “utilizzato per fornire lo spyware mercenario Pegasus di NSO Group “, l’ ultimo di una lunga serie di exploit simili che sono stati utilizzati per infettare dispositivi iOS e Android completamente patchati.

Gli utenti preoccupati per questo tipo di difetti possono mitigarli in modo proattivo abilitando la modalità di blocco sui propri dispositivi iOS e macOS; tra le altre cose, blocca molti tipi di allegati e disabilita le anteprime dei collegamenti, i tipi di vettori di attacco che gli aggressori possono utilizzare per sfruttare queste vulnerabilità “senza clic”.

“Crediamo, e il team di ingegneria e architettura della sicurezza di Apple ci ha confermato, che la modalità di blocco blocca questo particolare attacco”, ha affermato Citizen Lab.

Questi aggiornamenti saranno probabilmente tra gli ultimi ad essere rilasciati prima dell’evento di annuncio del prodotto Apple di settembre della prossima settimana , dove prevediamo di ottenere le date di rilascio per iOS 17 , iPadOS 17 e possibilmente altri software.