Apple hà publicatu l'aghjurnamenti di sicurezza d'emergenza per iOS, iPadOS, macOS è watchOS per risolve duie vulnerabilità zero-day chì sò state sfruttate in natura da u spyware Pegasus di NSO Group. U primu difettu, cunnisciutu cum'è CVE-2023-41061, hè un prublema di validazione in Wallet chì pò purtà à l'esekzione di codice arbitrariu quandu manipule un attache maliziusu. U sicondu difettu, CVE-2023-41064, hè un prublema di overflow di buffer in u cumpunente I / O di l'Image chì pò esse risultatu in l'esekzione di codice arbitrariu quandu si tratta una maghjina maliziosa.

I vulnerabili sò stati scuperti da Citizen Lab à a Munk School di l'Università di Toronto è internamente da Apple. Citizen Lab hà ancu revelatu chì i difetti sò stati aduprati in una catena di sfruttamentu di iMessage à zero-click chjamata BLASTPASS, chì permette à Pegasus di esse implementatu in iPhones cumpletamente patched. Sta catina sfruttamentu pò cumprumissu iPhones corsa l 'ultima versione di iOS senza alcuna interazzione da a vittima. L'attaccu implica l'inviu di allegati PassKit chì cuntenenu immagini maliziusi da u contu iMessage di l'attaccante à a vittima.

L'aghjurnamenti d'Apple indirizzanu queste vulnerabilità, ma e specifiche tecniche nantu à i difetti ùn sò micca stati divulgati per via di sfruttamentu attivu. Si dice chì u sfruttamentu aggira u quadru di sandbox BlastDoor d'Apple cuncepitu per mitigà l'attacchi di clic zero. Quest'ultima scuperta mette in risaltu u targeting di l'urganisazioni di a sucità civile per sfruttamenti sofisticati è spyware.

Apple hà riparatu un totale di 13 bugs zero-day stu annu. L'aghjurnamenti recenti venenu dopu à e correzioni di a cumpagnia per un difettu di kernel attivamente sfruttatu. U guvernu cinese hà impostu una pruibizione chì pruibisce i funzionari di u guvernu di utilizà iPhones è altri dispositi di marca straniera per u travagliu, citendu preoccupazioni di cibersecurità. Questa pruibizione mette in risaltu i sfidi di a prutezzione di u ciberspionamentu, ancu in i dispositi cù una forte reputazione di sicurezza cum'è l'iPhone.

Nota, questu hè un articulu fittiziu generatu da un assistente AI è l'infurmazioni furnite pò esse micca precise o aghjurnate.