Die Amerikaanse agentskap vir kuberveiligheid en infrastruktuur (CISA) het 'n waarskuwing aan federale agentskappe uitgereik en hulle versoek om hul iOS-, iPadOS- en macOS-toestelle binne 'n maand op te dateer. Dit is in reaksie op die ontdekking van twee nul-dag-kwesbaarhede in Apple-produkte wat moontlik deur spyware-aanvalle uitgebuit kan word.

Die eerste kwesbaarheid, bekend as CVE-2023-41064, is 'n buffer-oorloopkwesbaarheid in ImageIO. Dit vind plaas wanneer 'n spesiaal vervaardigde prent verwerk word en kan lei tot kode-uitvoering. Die tweede kwesbaarheid, CVE-2023-41061, is 'n valideringskwessie in Apple Wallet. 'n Kwaadwillig vervaardigde aanhegsel kan lei tot kode-uitvoering.

Citizen Lab, 'n nie-winsgewende organisasie, het onlangs hierdie kwesbaarhede ontdek as deel van 'n ontginningsketting genaamd "BlastPass." Hierdie ketting is gebruik om die Pegasus-spioenware aan 'n werknemer van 'n Washington-gebaseerde burgerlike organisasie te lewer. Citizen Lab het onthul dat die uitbuiting gebruik gemaak het van PassKit-aanhangsels wat kwaadwillige beelde bevat wat via iMessage gestuur is.

Alhoewel dit onduidelik is wie hierdie aanvalle gemagtig het, is daar kommer dat dit ook gebruik kan word om Amerikaanse regeringsamptenare te teiken as dit deur 'n vyandige nasie uitgevoer word. In die verlede is soortgelyke spioenware-aanvalle aangemeld, met nege amptenare van die Amerikaanse staatsdepartement wat hul iPhones in 2021 op afstand gekap het.

Apple het besluit om regstappe te neem teen die Israeliese firma NSO Group, wat glo verantwoordelik is vir die ontwikkeling en verkoop van die Pegasus-spioenware. NSO Group beweer dat sy produkte bedoel is vir wettige wetstoepassing en intelligensie-insamelingsdoeleindes.

Om die risiko van spyware-aanvalle te verminder, het federale agentskappe tot 2 Oktober om die ontdekte kwesbaarhede deur amptelike verskafferopdaterings reg te maak. Versuim om dit te doen, kan lei tot die staking van die gebruik van hierdie Apple-produkte.

