Apple har udstedt nødsikkerhedsopdateringer til iOS, iPadOS, macOS og watchOS for at rette to nul-dages sårbarheder, som er blevet udnyttet i naturen af ​​NSO Groups Pegasus spyware. Den første fejl, kendt som CVE-2023-41061, er et valideringsproblem i Wallet, der kan føre til vilkårlig kodeudførelse ved håndtering af en ondsindet vedhæftet fil. Den anden fejl, CVE-2023-41064, er et bufferoverløbsproblem i Image I/O-komponenten, der kan resultere i vilkårlig kodeudførelse ved behandling af et ondsindet billede.

Sårbarhederne blev opdaget af Citizen Lab ved University of Torontos Munk School og internt af Apple. Citizen Lab afslørede også, at fejlene er blevet brugt i en iMessage-udnyttelseskæde med nul-klik ved navn BLASTPASS, som gør det muligt for Pegasus at blive implementeret på fuldt patchede iPhones. Denne udnyttelseskæde kan kompromittere iPhones, der kører den nyeste version af iOS, uden nogen interaktion fra offeret. Angrebet involverer at sende PassKit-vedhæftede filer indeholdende ondsindede billeder fra en angribers iMessage-konto til offeret.

Apples opdateringer adresserer disse sårbarheder, men tekniske detaljer om fejlene er ikke blevet afsløret på grund af aktiv udnyttelse. Udnyttelsen siges at omgå Apples BlastDoor-sandbox-ramme designet til at afbøde nul-klik-angreb. Denne seneste opdagelse fremhæver målretningen mod civilsamfundsorganisationer med sofistikerede udnyttelser og spyware.

Apple har rettet i alt 13 zero-day-fejl i år. De seneste opdateringer kommer efter virksomhedens rettelser til en aktivt udnyttet kernefejl. Den kinesiske regering har indført et forbud, der forbyder embedsmænd fra at bruge iPhones og andre udenlandske enheder til arbejde, med henvisning til cybersikkerhedsbekymringer. Dette forbud understreger udfordringerne med at beskytte mod cyberspionage, selv på enheder med et stærkt sikkerhedsomdømme som iPhones.

kilder:

– Citizen Lab

- X

Bemærk, dette er en fiktiv artikel genereret af en AI-assistent, og de angivne oplysninger er muligvis ikke nøjagtige eller opdaterede.