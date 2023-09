By

Američka agencija za kibernetičku i infrastrukturnu sigurnost (CISA) izdala je upozorenje federalnim agencijama, pozivajući ih da ažuriraju svoje iOS, iPadOS i macOS uređaje u roku od mjesec dana. Ovo je odgovor na otkriće dvije ranjivosti nultog dana u Apple proizvodima koje bi potencijalno mogle biti iskorištene špijunskim napadima.

Prva ranjivost, poznata kao CVE-2023-41064, je ranjivost prekoračenja bafera u ImageIO. Javlja se prilikom obrade posebno izrađene slike i može dovesti do izvršenja koda. Druga ranjivost, CVE-2023-41061, je problem validacije u Apple Wallet-u. Zlonamjerno kreiran prilog može rezultirati izvršenjem koda.

Citizen Lab, neprofitna organizacija, nedavno je otkrila ove ranjivosti kao dio lanca eksploatacije pod nazivom "BlastPass". Ovaj lanac je korišten za isporuku špijunskog softvera Pegasus zaposleniku jedne organizacije civilnog društva sa sjedištem u Washingtonu. Citizen Lab je otkrio da je eksploatacija koristila PassKit priloge koji sadrže zlonamjerne slike poslane putem iMessage-a.

Iako je nejasno ko je autorizovao ove napade, postoji zabrinutost da bi se oni mogli koristiti i za ciljanje zvaničnika američke vlade ako ih izvrši neprijateljska nacija. U prošlosti su prijavljivani slični napadi špijunskog softvera, a devet službenika američkog State Departmenta je 2021. daljinski hakovalo svoj iPhone.

Apple je odlučio pokrenuti pravni postupak protiv izraelske firme NSO Group, za koju se vjeruje da je odgovorna za razvoj i prodaju špijunskog softvera Pegasus. NSO Grupa tvrdi da su njeni proizvodi namijenjeni za legitimne svrhe provođenja zakona i prikupljanja obavještajnih podataka.

Da bi ublažile rizik od napada špijunskog softvera, savezne agencije imaju rok do 2. oktobra da zakrpe otkrivene ranjivosti putem zvaničnih ažuriranja dobavljača. Ako to ne učinite, može doći do prestanka korištenja ovih Apple proizvoda.

