Apple risolve bug zero-day di Safari WebKit sfruttato al Pwn2Own

Apple ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità zero-day nel browser web Safari. Questo difetto è stato sfruttato durante la competizione di hacking Pwn2Own di Vancouver di quest'anno. L’azienda ha risolto il problema di sicurezza (tracciato come CVE-2024-27834) sui sistemi che eseguono macOS Monterey e macOS Ventura con controlli migliorati. L’azienda di Cupertino ha affermato solo che la vulnerabilità è stata segnalata da Manfred Paul, in collaborazione con Zero Day Initiative di Trend Micro. Tuttavia, questo è uno dei bug che il ricercatore di sicurezza ha collegato con un bug di underflow di numeri interi per ottenere l'esecuzione di codice in modalità remota (RCE) e guadagnare 60.000 dollari durante il Pwn2Own. Come ha spiegato Apple in un avviso: “un utente malintenzionato con capacità di lettura e scrittura arbitrarie potrebbe essere in grado di aggirare l'autenticazione del puntatore”.

Apple: come aggiornare il browser Safari alla v.17.5

Safari 17.5 è disponibile anche per iOS 17.5, iPadOS 17.5, macOS Sonoma 14.5 e visionOS 1.2. Tuttavia, Apple deve ancora confermare se ha corretto il bug CVE-2024-27834 anche su queste piattaforme. Gli utenti che utilizzano macOS Ventura o macOS Monterey, possono aggiornare Safari senza aggiornare macOS cliccando sul logo Apple, poi “Impostazioni di sistema”, “Generali” e, infine, “Aggiornamento software”. Infine, basterà cliccare su "Ulteriori informazioni..." in "Aggiornamenti disponibili".

I ricercatori di sicurezza hanno raccolto 1.132.500 dollari dopo aver sfruttato e segnalato 29 zero-day al concorso di hacking di Vancouver di quest'anno. Manfred Paul è emerso come vincitore e ha guadagnato 202.500 dollari in contanti dopo aver dimostrato una combinazione RCE zero-day contro il browser Web Safari di Apple e un exploit RCE con doppio tocco mirato a una debolezza di convalida impropria della quantità specificata nell'input nei browser web Google Chrome e Microsoft Edge durante il primo giorno della competizione di hacking. Il secondo giorno Manfred Paul ha poi sfruttato un bug zero-day di scrittura out-of-bounds (OOB) per aggirare i controlli di sicurezza della sandbox di Firefox.

Google e Mozilla hanno risolto gli zero-day sfruttati al Pwn2Own Vancouver 2024 entro pochi giorni dalla fine del concorso. Tuttavia, i fornitori raramente si affrettano a correggere le falle di sicurezza sfruttate al Pwn2Own poiché la Zero Day Initiative di Trend Micro rivela pubblicamente i dettagli del bug dopo 90 giorni. Lunedì scorso Apple ha anche eseguito il backport delle patch di sicurezza rilasciate a marzo sugli iPhone e iPad più vecchi. In questo modo ah corretto uno zero-day iOS contrassegnato come sfruttato negli attacchi.