NUOVE VULNERABILITÀ SUI SISTEMI APPLE

blogger-336371_1920_900x400.png

Alcune vulnerabilità affliggono i sistemi Apple, le più gravi tra queste consentono l’esecuzione di codice.

 

Durante la settimana attualmente in corso il personale di Apple ha rilasciato aggiornamenti che risolvono molteplici vulnerabilità all’interno dei sistemi e applicazioni prodotti dalla celebre società con sede a Cupertino. Alcuni di essi, i più gravi, permettono l’esecuzione di codice all’interno del sistema con gli stessi privilegi dell’utente che li ha eseguiti, mettendo a rischio l’integrità e la riservatezza dei dati.

Riportiamo di seguito tutti gli aggiornamenti rilasciati, con una breve descrizione delle problematiche, suddivise per sistema operativo o applicativo coinvolto.

iOS e iPadOS

  • Un’applicazione può eseguire codice arbitrario con i privilegi amministrativi. (CVE-2021-30837)
  • Un’attaccante locale, avente pertanto accesso fisico al sistema, può riuscire a leggere informazioni riservate. (CVE-2021-30811)
  • Un’applicazione malevola può eseguire codice arbitrario con privilegi elevati all’interno di un dispositivo in cui è attivo il motore neurale sviluppato dal personale di Apple. (CVE-2021-30838)
  • Un’attaccante avente accesso fisico al sistema può causare l’interruzione nell’esecuzione di un’applicazione o l’esecuzione di codice arbitrario. (CVE-2021-30825)
  • Un modello 3D creato per essere simile all’utente proprietario della periferica può essere in grado di autenticarsi attraverso l’applicazione di riconoscimento facciale “Face ID”. (CVE-2021-30863)
  • Un file di tipo “dfont” (formato standard utilizzato dai sistemi Apple per l’inserimento di nuovi tipi di carattere all’interno del sistema) avente contenuto malevolo può causare l’esecuzione di codice arbitrario con gli stessi privilegi dell’utente. (CVE-2021-30841, CVE-2021-30842, CVE-2021-30843)
  • L’interpretazione di un’immagine appositamente creata può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
  • Un’applicazione appositamente creata può eseguire codice arbitrario all’interno del sistema con privilegi elevati. (CVE-2021-30857)
  • Un’attaccante remoto può causare il blocco completo del dispositivo. (CVE-2013-0340)
  • L’interpretazione di un file USD appositamente creato può causare la divulgazione del contenuto della memoria della periferica. (CVE-2021-30819)
  • Un’applicazione può essere in grado di accedere a file normalmente non accessibili di sistema, causando gravi danni all’intero sistema operativo. (CVE-2021-30855)
  • Un processo funzionante all’interno di un ambiente isolato (sandbox) può aggirare le restrizioni imposte. (CVE-2021-30854)
  • Un’attaccante avente accesso fisico al dispositivo può riuscire a consultare i contatti contenuti all’interno della periferica senza disattivare il blocco dello schermo. (CVE-2021-30815)
  • In alcune situazioni non è possibile per il sistema operativo attivare le protezioni di integrità e crittografia nella modulazione del segnale. (CVE-2021-30826)
  • Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice arbitrario all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30848, CVE-2021-30851)
  • Un attaccante in prossimità del sistema vulnerabile può essere in grado di forzare l’utente alla connessione ad una rete Wireless appositamente creata durante la configurazione del dispositivo vulnerabile. (CVE-2021-30810)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212814

watchOS

  • Un’applicazione può essere in grado di eseguire codice arbitrario con privilegi elevati di sistema. (CVE-2021-30837)
  • Un attaccante avente accesso fisico al sistema può essere in grado di leggere informazioni riservate. (CVE-2021-30811)
  • Un file di tipo “dfont” (formato standard utilizzato dai sistemi Apple per l’inserimento di nuovi tipi di carattere all’interno del sistema) avente contenuto malevolo può causare l’esecuzione di codice arbitrario con gli stessi privilegi dell’utente. (CVE-2021-30841, CVE-2021-30842, CVE-2021-30843)
  • L’interpretazione di un’immagine appositamente creata avente contenuto malevolo può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
  • Un’applicazione appositamente creata può eseguire codice arbitrario all’interno del sistema con privilegi elevati. (CVE-2021-30857)
  • Un’attaccante remoto può causare il blocco completo del dispositivo. (CVE-2013-0340)
  • Un’applicazione può essere in grado di accedere a file normalmente non accessibili di sistema, causando gravi danni all’intero sistema operativo. (CVE-2021-30855)
  • Un processo funzionante all’interno di un ambiente isolato (sandbox) può aggirare le restrizioni imposte. (CVE-2021-30854)
  • Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30851)
  • Un attaccante in prossimità del sistema vulnerabile può essere in grado di forzare l’utente alla connessione ad una rete Wireless appositamente creata durante la configurazione del dispositivo vulnerabile. (CVE-2021-30810)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212819

tvOS

  • Un’applicazione può essere in grado di eseguire codice arbitrario con privilegi elevati di sistema. (CVE-2021-30837)
  • Un file di tipo “dfont” (formato standard utilizzato dai sistemi Apple per l’inserimento di nuovi tipi di carattere all’interno del sistema) avente contenuto malevolo può causare l’esecuzione di codice arbitrario con gli stessi privilegi dell’utente. (CVE-2021-30841, CVE-2021-30842, CVE-2021-30843)
  • L’interpretazione di un’immagine appositamente creata avente contenuto malevolo può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
  • Un’applicazione appositamente creata può eseguire codice arbitrario all’interno del sistema con privilegi elevati. (CVE-2021-30857)
  • Un’attaccante remoto può causare il blocco completo del dispositivo. (CVE-2013-0340)
  • Un processo funzionante all’interno di un ambiente isolato (sandbox) può aggirare le restrizioni imposte. (CVE-2021-30854)
  • Un utente può essere in grado di accedere a porzioni protette del file system. (CVE-2021-30850)
  • Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30851)
  • Un attaccante in prossimità del sistema vulnerabile può essere in grado di forzare l’utente alla connessione ad una rete Wireless appositamente creata durante la configurazione del dispositivo vulnerabile. (CVE-2021-30810)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212815

Xcode

  • Sono state corrette molteplici vulnerabilità all’interno dell’applicazione NGINX. (CVE-2016-0742, CVE-2016-0746, CVE-2016-0747, CVE-2017-7529, CVE-2018-16843, CVE-2018-16844, CVE-2018-16845, CVE-2019-20372).

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212818

Safari

  • Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30849, CVE-2021-30851)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212816

iTunes per Windows

  • L’interpretazione di un’immagine appositamente creata avente contenuto malevolo può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
  • Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212817

A causa delle molteplici vulnerabilità che possono causare la compromissione dei sistemi coinvolti anche durante la navigazione Internet, il nostro consiglio è quello di procedere, al più presto possibile, con l’aggiornamento completo di tutti i sistemi Apple quali Mac, iPhone, iPad, Apple Watch, Apple TV all’ultima versione disponibile. Inoltre è necessario aggiornare i sistemi dotati di sistema operativo Microsoft Windows nel caso in cui si utilizzi Safari o iTunes.

 

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy