Vulnerabilità critica nei dispositivi Apple

Notizie brevi sulla sicurezza informatica B2B

Condividi post

Apple ha recentemente rilasciato un aggiornamento software per iOS e iPadOS 15.6.1 per correggere una vulnerabilità zero-day del kernel identificata come CVE-2022-32917. Questa vulnerabilità critica nei dispositivi Apple consente l'esecuzione di codice con i privilegi del kernel. Lookout spiega come.

Apple è a conoscenza di un rapporto che menziona lo sfruttamento attivo della vulnerabilità in natura. Questa vulnerabilità potrebbe consentire a un'applicazione pericolosa di eseguire codice arbitrario con privilegi del kernel. Questo CVE potrebbe influire sui modelli Apple iPhone, iPad e iPod Touch, il che significa che chiunque utilizzi uno di questi dispositivi dovrebbe aggiornare immediatamente il proprio dispositivo andando su Impostazioni, Generali e quindi Aggiornamento software. Apple ha risolto questa vulnerabilità sia in iOS 15.7 che in iOS 16.

Già l'ottava vulnerabilità nel 8

Questa è l'ottava vulnerabilità zero-day che Apple ha risolto quest'anno a livello di sistema operativo. L'aggiornamento di iOS 15.7 copre anche altre 10 vulnerabilità di varia gravità, incluse due vulnerabilità del webkit che possono essere sfruttate anche da remoto tramite un sito Web predisposto, e le tre vulnerabilità del kernel che vanno dalla concessione dell'accesso privilegiato all'esposizione della memoria del kernel sono sufficienti.

La vulnerabilità consente il controllo del dispositivo

Insieme, questi CVE potrebbero concedere il controllo del dispositivo a un utente remoto utilizzando tecniche come Exploitation for Privilege Escalation (T1404) e Drive-by Compromise (T1456) presenti nella matrice MITRE Mobile ATT&CK. Alla luce dei rapporti sulla vulnerabilità del kernel CVE-2022-32917 attivamente sfruttata in natura, Lookout suggerisce vivamente agli amministratori di stabilire politiche che incoraggino i propri utenti ad aggiornare i propri dispositivi Apple almeno alla versione 15.7. CVE-2022-32917 è stato segnalato sotto le linee guida CISA, rendendo obbligatorio per tutte le agenzie governative seguire le linee guida del fornitore dell'aggiornamento della sicurezza.

Altro su Lookout.com

 


A proposito di Lookout

I co-fondatori di Lookout John Hering, Kevin Mahaffey e James Burgess si sono riuniti nel 2007 con l'obiettivo di proteggere le persone dai rischi per la sicurezza e la privacy posti da un mondo sempre più connesso. Ancor prima che gli smartphone fossero nelle tasche di tutti, si sono resi conto che la mobilità avrebbe avuto un profondo impatto sul modo in cui lavoriamo e viviamo.


 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

BSI stabilisce gli standard minimi per i browser web

La BSI ha rivisto lo standard minimo per i browser web per l'amministrazione e ha pubblicato la versione 3.0. Puoi ricordartelo ➡ Leggi di più

Il malware invisibile prende di mira le aziende europee

Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno segnalato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Test: software di sicurezza per endpoint e singoli PC

Gli ultimi risultati dei test del laboratorio AV-TEST mostrano ottime prestazioni di 16 soluzioni di protezione affermate per Windows ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

HeadCrab 2.0 scoperto

La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali ➡ Leggi di più