US Cybersecurity and Infrastructure Security Agency (CISA) te bay ajans federal yo yon avètisman, pou mande yo mete ajou iOS, iPadOS, ak macOS aparèy yo nan yon mwa. Sa a se an repons a dekouvèt de vilnerabilite zewo jou nan pwodwi Apple ki ta ka potansyèlman eksplwate pa atak espyon.

Premye vilnerabilite, ke yo rekonèt kòm CVE-2023-41064, se yon vilnerabilite debòde tanpon nan ImageIO. Li rive lè w ap trete yon imaj espesyalman fabrike epi li ka mennen nan ekzekisyon kòd. Dezyèm vilnerabilite a, CVE-2023-41061, se yon pwoblèm validation nan Apple Wallet. Yon atachman malveyan fabrike ka lakòz ekzekisyon kòd.

Citizen Lab, yon òganizasyon san bi likratif, fèk dekouvri vilnerabilite sa yo kòm yon pati nan yon chèn esplwate ki rele "BlastPass." Yo te itilize chèn sa a pou delivre espyon Pegasus a bay yon anplwaye yon òganizasyon sosyete sivil ki baze nan Washington. Citizen Lab te revele ke eksplwatasyon an te itilize atachman PassKit ki gen imaj move ki te voye atravè iMessage.

Pandan ke li pa klè ki moun ki otorize atak sa yo, gen enkyetid ke yo ta ka itilize tou pou vize ofisyèl gouvènman ameriken an si se te fè pa yon nasyon ostil. Nan tan lontan an, yo te rapòte atak espyon menm jan an, ak nèf ofisyèl Depatman Deta Ameriken ki te pirate iPhone yo adistans nan 2021.

Apple te deside pran aksyon legal kont konpayi Izraelyen NSO Group la, ki moun ki kwè ki responsab pou devlope ak vann espyon Pegasus la. NSO Group deklare ke pwodwi li yo gen entansyon pou fè respekte lalwa lejitim ak objektif rasanbleman entèlijans.

Pou diminye risk pou atak espyon, ajans federal yo gen jiska 2 oktòb pou patche frajilite yo dekouvri atravè mizajou ofisyèl machann yo. Si w pa fè sa, sa ka lakòz sispann sèvi ak pwodwi Apple sa yo.

