Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Aggiornamenti di sicurezza Apple (AL01/221214/CSIRT-ITA) – Aggiornamento

Data:
1 Febbraio 2024 11:00

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. 

Data di creazione: 14/12/2022 10:46

Sintesi

Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità che interessano i propri prodotti.

Note

  • il vendor afferma che le CVE-2022-42856 e CVE-2022-48618 (aggiornamento del 01/02/2024) potrebbero essere sfruttate attivamente in rete;
  • anche la vulnerabilità tracciata tramite la CVE-2022-42821 e denominata Achilles, secondo una dichiarazione di Microsoft, potrebbe potenzialmente essere sfruttata attivamente in rete;
  • Proof of Concept (PoC) per le vulnerabilità CVE-2022-42821 e CVE-2022-46689 risultano disponibili in rete.
Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (75,38/100)1.

Tipologia

  • Remote Code Execution
  • Privilege Escalation

Prodotti e versioni affette

Apple

  • iCloud for Windows, versioni precedenti alla 14.1;
  • Safari, versioni precedenti alla 16.2;
  • macOS Monterey, versioni precedenti alla 12.6.2;
  • macOS Big Sur, versioni precedenti alla 11.7.2;
  • tvOS, versioni precedenti alla 16.2;
  • watchOS, versioni precedenti alla 9.2;
  • iOS e iPadOS, versioni precedenti alla 15.7.2;
  • iOS e iPadOS, versioni precedenti alla 16.2;
  • macOS Ventura, versioni precedenti alla 13.1.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE

CVE-2022-32942

CVE-2022-42846

CVE-2022-42856

CVE-2022-46690

CVE-2022-32943

CVE-2022-42847

CVE-2022-42859

CVE-2022-46691

CVE-2022-40303

CVE-2022-42848

CVE-2022-42861

CVE-2022-46692

CVE-2022-40304

CVE-2022-42849

CVE-2022-42862

CVE-2022-46693

CVE-2022-42821

CVE-2022-42850

CVE-2022-42863

CVE-2022-46694

CVE-2022-42837

CVE-2022-42851

CVE-2022-42864

CVE-2022-46695

CVE-2022-42840

CVE-2022-42852

CVE-2022-42865

CVE-2022-46696

CVE-2022-42841

CVE-2022-42853

CVE-2022-42866

CVE-2022-46697

CVE-2022-42842

CVE-2022-42854

CVE-2022-42867

CVE-2022-46698

CVE-2022-42843

CVE-2022-42855

CVE-2022-46689

CVE-2022-46699

CVE-2022-46701

CVE-2022-46702

CVE-2022-46700

 CVE-2022-48618

Riferimenti

https://support.apple.com/it-it/HT213538

https://support.apple.com/it-it/HT213537

https://support.apple.com/it-it/HT213533

https://support.apple.com/it-it/HT213534

https://support.apple.com/it-it/HT213535

https://support.apple.com/it-it/HT213536

https://support.apple.com/it-it/HT213531

https://support.apple.com/it-it/HT213530

https://support.apple.com/it-it/HT213532

https://support.apple.com/en-sg/HT201222

https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/

 

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.