Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Aggiornamenti di sicurezza Apple (AL01/240917/CSIRT-ITA) – Aggiornamento

Data:
21 Ottobre 2024 10:20

Data di creazione: 17/09/2024 – 08:56

Sintesi

Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità presenti nei propri prodotti.

Note (aggiornamento del 21/10/2024): un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-44133 risulta disponibile in rete.
Note (aggiornamento del 14/10/2024): un Proof of Concept (PoC) per lo sfruttamento della CVE-2023-5841 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (66,41/100)1.

Tipologia

  • Arbitrary code execution
  • Arbitrary File Write
  • Authentication Bypass
  • Denial of Service
  • Elevation of Privilege
  • Information Disclosure
  • Information Leakage
  • Security Restrictions Bypass
  • Spoofing

Prodotti e versioni affette

Apple

  • iOS, versione 18
  • iOS 17.x, versioni precedenti alla 17.7
  • iPadOS, versione 18
  • iPadOS 17.x, versioni precedenti alla 17.7
  • macOS Sequoia, versione 15
  • macOS Sonoma, versioni precedenti alla 14.7
  • macOS Ventura, versioni precedenti alla 13.7
  • Safari, versioni precedenti alla 18
  • tvOS, versioni precedenti alla 18
  • watchOS, versioni precedenti alla 11
  • visionOS, versioni precedenti alla 2
  • Xcode, versioni precedenti alla 16

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-IDs
CVE-2024-40840 CVE-2024-40830 CVE-2024-44171 CVE-2024-40852
CVE-2024-27874 CVE-2024-27876 CVE-2024-27869 CVE-2024-44124
CVE-2024-44131 CVE-2024-40850 CVE-2024-27880 CVE-2024-44176
CVE-2024-44169 CVE-2024-44165 CVE-2024-44191 CVE-2024-44198
CVE-2024-40791 CVE-2024-44183 CVE-2023-5841 CVE-2024-44147
CVE-2024-44167 CVE-2024-40826 CVE-2024-44202 CVE-2024-44127
CVE-2024-40863 CVE-2024-44139 CVE-2024-44180 CVE-2024-44170
CVE-2024-44184 CVE-2024-27879 CVE-2024-40857 CVE-2024-44187
CVE-2024-40856 CVE-2024-44129 CVE-2024-44153 CVE-2024-44188
CVE-2024-40825 CVE-2024-44130 CVE-2024-44182 CVE-2024-44154
CVE-2024-40845 CVE-2024-40846 CVE-2024-44164 CVE-2024-40837
CVE-2024-40847 CVE-2024-40848 CVE-2024-44168 CVE-2024-27860
CVE-2024-27861 CVE-2024-40841 CVE-2024-27795 CVE-2024-44135
CVE-2024-44132 CVE-2024-44128 CVE-2024-44151 CVE-2024-27875
CVE-2024-44146 CVE-2023-4504 CVE-2024-44148 CVE-2024-44177
CVE-2024-40831 CVE-2024-40861 CVE-2024-44160 CVE-2024-44161
CVE-2024-44181 CVE-2023-5841 CVE-2024-27858 CVE-2024-40838
CVE-2024-44186 CVE-202
4-39894		 CVE-2024-44178 CVE-2024-44149
CVE-2024-40797 CVE-2024-44125 CVE-2024-44163 CVE-2024-40801
CVE-2024-44158 CVE-2024-40844 CVE-2024-40860 CVE-2024-44152
CVE-2024-44166 CVE-2024-44190 CVE-2024-44133 CVE-2024-40859
CVE-2024-41957 CVE-2024-40866 CVE-2024-40770 CVE-2024-23237
CVE-2024-44134 CVE-2024-44189 CVE-2024-40842 CVE-2024-40843
CVE-2024-40790 CVE-2024-44162 CVE-2024-40862 CVE-2024-27886
CVE-2024-40814

Riferimenti

https://support.apple.com/en-us/HT201222

https://support.apple.com/en-sg/121250

https://support.apple.com/en-sg/121238

https://support.apple.com/en-sg/121248

https://support.apple.com/en-sg/121240

https://support.apple.com/en-sg/121249

https://support.apple.com/en-sg/121241

https://support.apple.com/en-sg/121239

https://support.apple.com/en-sg/121246

https://support.apple.com/en-sg/121247

https://support.apple.com/en-sg/121234

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.