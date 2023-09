De US Cybersecurity and Infrastructure Security Agency (CISA) hat in opdracht útjûn foar federale ynstânsjes om feiligens kwetsberens te patchjen dy't waarden eksploitearre as ûnderdiel fan in nul-klik iMessage eksploitaasjeketen. Dizze kwetsberens waarden brûkt om iPhones te ynfektearjen mei de Pegasus-spyware ûntwikkele troch NSO Group. Dizze aksje folget de iepenbiering troch Citizen Lab dat folslein patched iPhones dy't hearre ta in organisaasje fan 'e boargerlike maatskippij yn Washington DC waarden kompromittearre mei in eksploitaasjeketen neamd BLASTPASS, dy't PassKit-bylagen brûkte mei kweade ôfbyldings.

Citizen Lab hat Apple-klanten ek warskôge om needupdates dy't op tongersdei waarden frijlitten fuortendaliks oan te passen. Se hawwe fierders oproppen persoanen dy't gefoelich binne foar doelgerichte oanfallen fanwegen har identiteit of berop om Lockdown Mode yn te skeakeljen.

De twa kwetsberens, bekend as Image I/O en Wallet, binne respektivelik folge as CVE-2023-41064 en CVE-2023-41061. Apple erkende it rapport fan aktive eksploitaasje en hat sûnt reparaasjes foar dizze kwetsberens frijlitten yn 'e lêste ferzjes fan macOS Ventura, iOS, iPadOS en watchOS. Dizze fernijings behannelje de ûnthâldôfhanneling en logikaproblemen wêrtroch oanfallers willekeurige koade kinne útfiere op apparaten dy't net patched wiene.

CISA hat dizze twa befeiligingsfouten opnommen yn har katalogus fan bekende eksploitearre kwetsberens, en stelt dat se faaks wurde rjochte troch kweade cyberakteurs en wichtige risiko's foarmje foar de federale ûndernimming. As gefolch, US Federal Civilian Executive Branch Agencies (FCEB) binne ferplichte om alle kwetsberens neamd yn 'e katalogus binnen in spesifisearre tiidframe te patchjen, neffens in binende operasjonele rjochtline (BOD 22-01) publisearre yn novimber 2022. Yn it ljocht fan dizze fernijing , federale ynstânsjes moatte foar 2023 oktober 41064 kwetsbere iOS-, iPadOS- en macOS-apparaten op har netwurken befeiligje tsjin CVE-2023-41061 en CVE-2-2023.

Hoewol de rjochtline foaral jildt foar Amerikaanske federale ynstânsjes, advisearret CISA partikuliere bedriuwen sterk om it patchjen fan dizze kwetsberens sa gau mooglik te prioritearjen. Apple hat dit jier aktyf oanpakt nul-day-kwetsberheden yn har bestjoeringssystemen, mei in totaal fan 13 eksploaten dy't sûnt jannewaris 2023 repareare binne.

Definysjes:

- Nul-klik eksploitaasje: In soarte fan cyberoanfal dêr't gjin brûkersynteraksje nedich is om de kwetsberens te eksploitearjen.

- iMessage: In berjochtenplatfoarm ûntwikkele troch Apple foar har apparaten.

- Spyware: Malicious software ûntworpen om geheim ynformaasje te sammeljen fan in doelapparaat of kompjûter.

boarnen:

- CISA

- Citizen Lab