L'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units ha emès un avís a les agències federals, instant-les a actualitzar els seus dispositius iOS, iPadOS i macOS en un mes. Això respon al descobriment de dues vulnerabilitats de dia zero als productes Apple que podrien ser explotades per atacs de programari espia.

La primera vulnerabilitat, coneguda com CVE-2023-41064, és una vulnerabilitat de desbordament de memòria intermèdia a ImageIO. Es produeix quan es processa una imatge especialment dissenyada i pot provocar l'execució de codi. La segona vulnerabilitat, CVE-2023-41061, és un problema de validació a Apple Wallet. Un fitxer adjunt creat de manera malintencionada podria provocar l'execució de codi.

Citizen Lab, una organització sense ànim de lucre, va descobrir recentment aquestes vulnerabilitats com a part d'una cadena d'explotacions anomenada "BlastPass". Aquesta cadena es va utilitzar per lliurar el programari espia Pegasus a un empleat d'una organització de la societat civil amb seu a Washington. Citizen Lab va revelar que l'explotació utilitzava fitxers adjunts PassKit que contenien imatges malicioses enviades mitjançant iMessage.

Tot i que no està clar qui va autoritzar aquests atacs, hi ha la preocupació que també es puguin utilitzar per atacar funcionaris del govern dels EUA si els porta a terme una nació hostil. En el passat, s'han informat atacs de programari espia similars, amb nou funcionaris del Departament d'Estat dels EUA piratejats els seus iPhones de forma remota el 2021.

Apple ha decidit emprendre accions legals contra la firma israeliana NSO Group, que es creu que és la responsable de desenvolupar i vendre el programari espia Pegasus. NSO Group afirma que els seus productes estan destinats a finalitats legítimes d'aplicació de la llei i de recollida d'intel·ligència.

Per mitigar el risc d'atacs de programari espia, les agències federals tenen fins al 2 d'octubre per corregir les vulnerabilitats descobertes mitjançant actualitzacions oficials dels proveïdors. Si no ho feu, es podria deixar d'utilitzar aquests productes Apple.

