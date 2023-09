D'US Cybersecurity and Infrastructure Security Agency (CISA) huet eng Warnung un d'Federal Agenturen erausginn, déi se fuerderen hir iOS, iPadOS, a macOS Geräter bannent engem Mount ze aktualiséieren. Dëst ass als Äntwert op d'Entdeckung vun zwou Null-Dag Schwachstelle bei Apple Produkter, déi potenziell vu Spyware Attacken exploitéiert kënne ginn.

Déi éischt Schwachstelle, bekannt als CVE-2023-41064, ass eng Puffer Iwwerfloss Schwachstelle am ImageIO. Et geschitt wann Dir e speziell erstallt Bild veraarbecht a kéint zu Code Ausféierung féieren. Déi zweet Schwachstelle, CVE-2023-41061, ass e Validatiounsprobleem an Apple Wallet. E béiswëlleg erstallt Uschlëss kéint zu der Ausféierung vum Code féieren.

Citizen Lab, eng Net-Gewënn Organisatioun, huet viru kuerzem dës Schwachstelle entdeckt als Deel vun enger Exploitkette mam Numm "BlastPass". Dës Kette gouf benotzt fir d'Pegasus Spyware un en Employé vun enger Washington-baséierter Zivilgesellschaft Organisatioun ze liwweren. Citizen Lab huet opgedeckt datt den Ausbeutung PassKit Uschlëss benotzt huet mat béiswëlleg Biller, déi iwwer iMessage geschéckt goufen.

Och wann et net kloer ass wien dës Attacke autoriséiert huet, gëtt et Suergen datt se och benotzt kënne fir US Regierungsbeamten ze zielen wann se vun enger feindlecher Natioun duerchgefouert ginn. An der Vergaangenheet sinn ähnlech Spyware Attacke gemellt ginn, mat néng US State Department Beamten, déi hir iPhones am Joer 2021 op afstand gehackt hunn.

Apple huet decidéiert juristesch Moossname géint d'israelesch Firma NSO Group ze huelen, déi ugeholl gëtt fir d'Entwécklung an d'Verkaaf vun der Pegasus Spyware verantwortlech ze sinn. NSO Group behaapt datt seng Produkter fir legitim Gesetzesvollzéier an Intelligenz Sammelzwecker geduecht sinn.

Fir de Risiko vu Spywareattacken ze reduzéieren, hunn d'Federal Agenturen bis den 2. Oktober fir déi entdeckte Schwachstelle duerch offiziell Updates vum Verkeefer ze patchen. Wann Dir dëst net maacht, kann et zu der Stéierung vun der Benotzung vun dësen Apple Produkter féieren.

Quellen:

- "D'US Cybersecurity and Infrastructure Security Agency (CISA) fuerdert direkt Patch vu bekannten Apple Vulnerabilitéiten" - CISA

– “BlastPass: Zero-Click Mobile Exploitation of Apple’s iMessage” – Citizen Lab