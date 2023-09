Tá an Ghníomhaireacht um Shlándáil Cybersecurity agus Bonneagair na SA (CISA) tar éis ordú a eisiúint do ghníomhaireachtaí cónaidhme leochaileachtaí slándála a shaothraíodh mar chuid de shlabhra dúshaothraithe iMessage le nial-cliceáil a phaisteáil. Baineadh úsáid as na leochaileachtaí seo chun iPhones a ionfhabhtú leis an earraí spiaireachta Pegasus arna fhorbairt ag NSO Group. Leanann an gníomh seo nuair a nocht Citizen Lab gur cuireadh i gcontúirt iPhones lán-phatáilte de chuid eagraíocht sochaí sibhialta i Washington DC trí úsáid a bhaint as slabhra dúshaothraithe ar a dtugtar BLASTPASS, a bhain úsáid as ceangaltáin PassKit a raibh íomhánna mailíseacha iontu.

Thug Citizen Lab rabhadh do chustaiméirí Apple freisin nuashonruithe éigeandála a eisíodh Déardaoin a chur i bhfeidhm láithreach. Tá siad tar éis spreagadh breise a thabhairt do dhaoine aonair a d'fhéadfadh a bheith i mbaol ionsaithe spriocdhírithe mar gheall ar a bhféiniúlacht nó a slí bheatha chun Mód Lockdown a chumasú.

Rianaíodh an dá leochaileacht, ar a dtugtar Image I/O agus Wallet, mar CVE-2023-41064 agus CVE-2023-41061 faoi seach. D’admhaigh Apple an tuarascáil ar shaothrú gníomhach agus ó shin tá réitigh eisithe aige do na leochaileachtaí sin sna leaganacha is déanaí de macOS Ventura, iOS, iPadOS, agus watchOS. Tugann na nuashonruithe seo aghaidh ar na saincheisteanna láimhseála cuimhne agus loighce a cheadaigh d'ionsaitheoirí cód treallach a fhorghníomhú ar fheistí nach raibh paistí.

Chuir CISA an dá locht slándála seo san áireamh ina chatalóg ar Aitheanta Leochaileachtaí Saothraithe, ag rá go ndírítear orthu go minic ag cibearghníomhaithe mailíseacha agus gur rioscaí suntasacha iad don fhiontar feidearálach. Mar thoradh air sin, ceanglaítear ar Ghníomhaireachtaí Brainse Feidhmiúcháin Sibhialtach Chónaidhme na Stát Aontaithe (FCEB) na leochaileachtaí go léir atá liostaithe sa chatalóg a phaisteáil laistigh de fhráma ama sonraithe, de réir treorach oibríochta ceangailteach (BOD 22-01) a foilsíodh i mí na Samhna 2022. I bhfianaise an nuashonraithe seo , ní mór do ghníomhaireachtaí cónaidhme feistí iOS, iPadOS, agus macOS leochaileacha a dhaingniú ar a líonraí i gcoinne CVE-2023-41064 agus CVE-2023-41061 faoin 2 Deireadh Fómhair, 2023.

Cé go mbaineann an treoir go príomha le gníomhaireachtaí feidearálacha SAM, molann CISA go láidir do chuideachtaí príobháideacha tosaíocht a thabhairt do na leochaileachtaí sin a shlánú a luaithe is féidir. Tá Apple ag tabhairt aghaidh go gníomhach ar leochaileachtaí náid lae ina chórais oibriúcháin i mbliana, agus 13 shaothrú san iomlán socraithe ó Eanáir 2023.

Sainmhínithe:

– Saothrú gan chliceáil: Cineál cibear-ionsaí nach bhfuil aon idirghníomhaíocht úsáideora ag teastáil chun leas a bhaint as an leochaileacht.

– iMessage: Ardán teachtaireachtaí arna fhorbairt ag Apple dá fheistí.

– Spyware: Bogearraí mailíseacha atá deartha chun faisnéis a bhailiú go rúnda ó spriocghléas nó ó ríomhaire.

Foinsí:

– CISA

– Saotharlann Saoránach