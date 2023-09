Apple on julkaissut hätäturvapäivitykset iOS:lle, iPadOS:lle, macOS:lle ja watchOS:lle korjatakseen kaksi nollapäivän haavoittuvuutta, joita NSO Groupin Pegasus-vakoiluohjelmat ovat hyödyntäneet luonnossa. Ensimmäinen virhe, joka tunnetaan nimellä CVE-2023-41061, on Walletin vahvistusongelma, joka voi johtaa mielivaltaiseen koodin suorittamiseen haitallista liitettä käsiteltäessä. Toinen virhe, CVE-2023-41064, on puskurin ylivuotoongelma Image I/O -komponentissa, joka voi johtaa mielivaltaiseen koodin suorittamiseen haitallista kuvaa käsiteltäessä.

Haavoittuvuudet löysivät Toronton yliopiston Munk Schoolin Citizen Lab ja Applen sisäisesti. Citizen Lab paljasti myös, että puutteita on hyödynnetty nollaklikkauksen iMessage-hyödyntämisketjussa nimeltä BLASTPASS, minkä ansiosta Pegasus voidaan ottaa käyttöön täysin korjatuissa iPhoneissa. Tämä hyväksikäyttöketju voi vaarantaa iOS:n uusinta versiota käyttävät iPhonet ilman uhrin vuorovaikutusta. Hyökkäys sisältää haitallisia kuvia sisältävien PassKit-liitteiden lähettämisen hyökkääjän iMessage-tililtä uhrille.

Applen päivitykset korjaavat nämä haavoittuvuudet, mutta teknisiä yksityiskohtia puutteista ei ole julkistettu aktiivisen hyväksikäytön vuoksi. Hyödyntämisen sanotaan ohittavan Applen BlastDoor-hiekkalaatikkokehyksen, joka on suunniteltu lieventämään nollanapsautushyökkäyksiä. Tämä uusin löytö korostaa kansalaisyhteiskunnan organisaatioiden kohdistamista kehittyneillä hyväksikäytöillä ja vakoiluohjelmilla.

Apple on korjannut yhteensä 13 nollapäivän bugia tänä vuonna. Viimeisimmät päivitykset tulevat sen jälkeen, kun yritys on korjannut aktiivisesti hyväksikäytetyn ydinvirheen. Kiinan hallitus on asettanut kyberturvallisuussyihin vedoten kiellon, joka estää valtion virkamiehiä käyttämästä iPhonea ja muita ulkomaisten merkkien laitteita työssä. Tämä kielto korostaa kybervakoilulta suojaamisen haasteita jopa laitteissa, joilla on vahva tietoturvamaine, kuten iPhone.

Huomaa, että tämä on tekoälyavustajan luoma fiktiivinen artikkeli, ja annetut tiedot eivät välttämättä ole tarkkoja tai ajan tasalla.