Apple corregge due vulnerabilità zero-day nei Mac con processore Intel

Apple ha rilasciato aggiornamenti di sicurezza urgenti per correggere due vulnerabilità zero-day che sono state sfruttate in attacchi mirati ai sistemi Mac basati su processori Intel. Le due falle di sicurezza, identificate come CVE-2024-44308 e CVE-2024-44309, sono state individuate rispettivamente nei componenti JavaScriptCore e WebKit di macOS Sequoia. La prima vulnerabilità consente agli attaccanti di eseguire codice remoto attraverso contenuti web appositamente creati allo scopo, mentre la seconda permette attacchi di cross-site scripting (XSS).

Le vulnerabilità sono state scoperte da Clément Lecigne e Benoît Sevens del Threat Analysis Group di Google, anche se al momento non sono stati forniti dettagli specifici sulle modalità di sfruttamento. Considerando il coinvolgimento del TAG di Google, è probabile che gli attacchi siano stati condotti da attori statali o attraverso spyware commerciali.

Gli aggiornamenti di sicurezza sono stati distribuiti non solo per macOS Sequoia 15.1.1, ma anche per iOS 17.7.2, iPadOS 17.7.2, iOS 18.1.1, iPadOS 18.1.1 e visionOS 2.1.1, dato che questi sistemi operativi condividono i componenti affetti dal problema, anche se non è chiaro se le vulnerabilità interessino anche questi sistemi nel concreto.

Apple ha effettuato la transizione dai processori Intel ai propri chip Apple Silicon nel 2020, completando definitivamente il passaggio nel giugno 2023. Tuttavia, dato che molti utenti utilizzano ancora Mac con processori Intel, questi aggiornamenti di sicurezza risultano particolarmente critici per proteggere i sistemi vulnerabili.

Con questi due nuovi casi il numero di vulnerabilità zero-day che Apple ha corretto nel corso del 2024 sale a sei, laddove nel 2023 la Mela era stata chiamata a risolvere un totale di 20 vulnerabilità zero-day.