Apple ha emesso un avviso per i suoi utenti su un bug zero-day che viene sfruttato dagli attori delle minacce.
L'exploit, soprannominato CVE-2021-30869, colpisce sia gli utenti Mac che iPhone, ma Apple ha rapidamente rilasciato le rispettive patch per risolvere il problema.
Il bug non è stato scoperto da Apple, ma dai membri del gruppo di analisi delle minacce di Google e dai team di Project Zero, che cercano di proteggere gli utenti dagli hacker e dalle vulnerabilità zero-day.
Apple ha taciuto sul difetto e non ha condiviso alcun dettaglio se non affermando che consentiva agli hacker "… di eseguire codice arbitrario con privilegi del kernel". Secondo Help Net Security, la vulnerabilità colpisce XNU, che è il cuore di macOS e iOS.
L'accesso all'XNU avrebbe consentito a un hacker di eseguire il proprio codice senza essere fermato dal sistema operativo.
Le patch sono ora disponibili. La patch per iOS corregge anche i difetti scoperti in CoreGraphics e WebKit. È interessante notare che la vulnerabilità di iOS colpisce anche dispositivi molto più vecchi.
Oltre ai dispositivi attuali, l'exploit riguarda iPhone 5s, iPhone 6 e 6 Plus, iPad Air, iPad mini 2 e 3 e la sesta generazione di iPod touch.
Un altro analista di minacce di Google, Shane Huntley, ha dichiarato su Twitter che il team sta indagando sugli exploit e che seguiranno ulteriori dettagli.
Non si sa quanto siano pervasivi i problemi di sicurezza all'interno dei vecchi dispositivi Apple, ma non è raro. Un altro exploit all'inizio di settembre ha interessato le versioni precedenti di iOS e macOS. Da allora è stato corretto.
Apple sta esortando i suoi utenti a scaricare l'ultimo aggiornamento per sigillare la recente vulnerabilità.
