Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L'ANALISI TECNICA

Apple corregge una nuova vulnerabilità zero-day nei vecchi iPhone e iPad: aggiorniamoli subito

In occasione degli aggiornamenti di sicurezza mensili, Apple ha rilasciato anche una patch per i vecchi modelli di iPhone e iPad che risolve una vulnerabilità zero-day attivamente sfruttata e che potrebbe consentire di mandare in crash i dispositivi ed eseguire codice arbitrario. Ecco tutti i dettagli

Pubblicato il 28 Mar 2023

Paolo Tarsitano

Editor Cybersecurity360.it

Apple vulnerabilità zero-day news

Dopo la vulnerabilità zero-day nei vecchi iPhone e iPad corretta lo scorso mese di gennaio 2023, Apple è di nuovo intervenuta per risolvere un altro problema di sicurezza identificato nella versione 15.7.4 di iOS e iPadOS che, quindi, interessa i seguenti dispositivi:

  • iPhone 6s (tutti i modelli);
  • iPhone 7 (tutti i modelli);
  • iPhone SE (prima generazione);
  • iPad Air 2;
  • iPad mini (quarta generazione);
  • iPod Touch (settima generazione).

In realtà, la nuova patch è un backport di un’altra vulnerabilità zero-day tracciata come CVE-2023-23529 che Apple ha già affrontato il mese scorso sui nuovi modelli di iPhone, iPad e Mac.

Secondo il bollettino del CSIRT Italia, la stima d’impatto della vulnerabilità è alta/arancione con un punteggio di 73,38/100.

Apple ha confermato che la vulnerabilità risulta essere attivamente sfruttata in rete, per cui è importante installare il prima possibile le patch sui propri dispositivi per metterli in sicurezza.

L’update è stato rilasciato contestualmente al consueto pacchetto mensile di aggiornamenti di sicurezza che sanano 68 vulnerabilità nei differenti prodotti ufficialmente supportati:

  • iOS e iPadOS 16.x, versioni precedenti alla 16.4;
  • Big Sur, versioni precedenti alla 11.7.5;
  • macOS Monterey, versioni precedenti alla 12.6.4;
  • macOS Ventura, versioni precedenti alla 13.3;
  • tvOS, versioni precedenti alla 16.4;
  • watchOS, versioni precedenti alla 9.4;
  • Safari, versioni precedenti alla 16.4;
  • Studio Display Firmware, versioni precedenti alla 16.4.

Zero-day corretta anche sui vecchi iPhone e iPad

La vulnerabilità CVE-2023-23529 è di tipo “type confusion” (ossia, consente l’accesso a una risorsa in memoria utilizzando un file di tipo incompatibile) ed è stata identificata nel componente WebKit, il motore di rendering utilizzato dai browser Web di Apple per visualizzare le pagine web.

Dunque, potrebbe essere sfruttata inducendo la vittima a visitare, con il proprio sistema esposto, una pagina web appositamente disegnata. Uno scenario di attacco semplice da gestire mediante attacchi di ingegneria sociale.

Una volta innescata, la vulnerabilità potrebbe provocare crash del sistema operativo e ottenere l’esecuzione di codice arbitrario su dispositivi iOS e iPadOS compromessi.

Da segnalare, inoltre, che il problema di sicurezza riguarda anche la versione del browser Safari 16.3.1 su sistemi macOS Big Sur e Monterey.

Aggiorniamo subito gli iPhone e iPad

Come dicevamo, Apple è a conoscenza del fatto che la vulnerabilità è stata attivamente sfruttata in attacchi mirati dei quali, però, non sono stati forniti ulteriori dettagli tecnici per consentire al maggior numero possibile di utenti di applicare la patch prima che altri aggressori riescano a sviluppare e distribuire ulteriori exploit.

Il consiglio è, dunque, quello di installare gli aggiornamenti di sicurezza il prima possibile.

Per farlo, è sufficiente accedere al menu Impostazioni dell’iPhone o dell’iPad, spostarsi nella sezione Generali e poi in Aggiornamento software, quindi selezionare la voce Scarica e installa.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Surfshark VPN su Android

  • LA GUIDA

    VPN Android: quali scegliere e come configurarle per la massima privacy

    20 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Truffa con SMS e telefonate false a tema UniCredit - Frodi via Sms: le strategie per contrastarle

  • L'ANALISI TECNICA

    Nuova truffa UniCredit con SMS e telefonate false a tema: come proteggersi

    15 Apr 2025

    di Salvatore Lombardo

    Condividi