Nella giornata di ieri abbiamo riportato la notizia relativa alla grave falla di sicurezza corretta da Apple in iOS 16.3.1, presente in WebKit e già attivamente sfruttata dagli hacker. A conferma di come si tratti di un fix piuttosto importante, è arrivato anche il bollettino del CSIRT che consiglia di aggiornare subito.

In un bollettino pubblicato sul proprio sito web ufficiale, l’Agenzia per la Cybersicurezza Nazionale spiega che l’aggiornamento di sicurezza rilasciato qualche sera fa ha sanato tre vulnerabilità, di cui una 0-day che risulta essere sfruttata attivamente in rete ed è presente in Safari (versioni precedenti alla 16.3.1), iOS ed iPad precedenti alla 16.3.1 e macOS Ventura precedente alle 13.2.1.

Come indicato anche da Apple nelle note di lancio di iOS 16.3.1, la falla di WebKit permette anche di eseguire codice da remoto, e dal momento che interessa un’API presente in tutte le applicazioni l’impatto potrebbe essere devastante e non è infatti un caso che la stima d’impatto della vulnerabilità è indicata come GRAVE/ROSSO con un punteggio di 75,38/100.

Secondo Apple, il bug apre le porte “all’avvio di contenuti Web pericolosi che possono portare all’esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato”.