Apple ha confermato che CVE-2024-44308 e CVE-2024-44309 sono attualmente sfruttate attivamente in ambienti reali. Entrambe le vulnerabilità sono legate all’elaborazione di contenuti web appositamente creati, il che le rende particolarmente preoccupanti a causa del maggiore potenziale di sfruttamento diffuso su sistemi vulnerabili.

Riassunto tecnico

Apple ha rilasciato aggiornamenti di emergenza per iOS, iPadOS, macOS e visionOS per risolvere due vulnerabilità zero-day attivamente sfruttate:

• CVE-2024-44308: una falla in JavaScriptCore che consente l’esecuzione arbitraria di codice tramite contenuti web dannosi.
• CVE-2024-44309: una vulnerabilità nella gestione dei cookie in WebKit che permette attacchi di tipo cross-site scripting (XSS) mediante contenuti web dannosi.

Raccomandazioni

Per mitigare questi rischi, si raccomanda agli utenti Apple di aggiornare i propri dispositivi alle versioni più recenti disponibili:

• iOS 18.1.1 / 17.7.2: compatibili con iPhone XS e successivi, iPad Pro e altri iPad supportati.
• macOS Sequoia 15.1.1: per gli utenti di macOS Sequoia.
• visionOS 2.1.1: per Apple Vision Pro.
• Safari 18.1.1: per utenti macOS Ventura e Sonoma.