Apple har utstedt sikkerhetsoppdateringer for eldre iPhone-modeller for å løse et nylig oppdaget nulldagerssårbarhet. Sporet som CVE-2023-41064, ble dette sikkerhetsproblemet aktivt utnyttet til å infisere iOS-enheter med Pegasus-spyware utviklet av NSO Group.

Zero-day-sårbarheten, CVE-2023-41064, er en feil ved ekstern kjøring av kode som utnyttes ved å sende skadelig utformede bilder gjennom iMessage. Citizen Lab, en sikkerhetsforskningsgruppe, avslørte tidligere denne måneden at denne sårbarheten, sammen med en annen feil kjent som CVE-2023-41061, var en del av en null-klikk-angrepskjede kalt BLASTPASS. I dette angrepet ble spesiallagde bilder sendt via iMessage PassKit-vedlegg for å installere spyware på målrettede enheter.

Selv fullstendig patchede iOS-enheter som kjører versjon 16.6 var utsatt for dette angrepet. Som svar ga Apple ut macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 og watchOS 9.6.2 som sikkerhetsoppdateringer for å fikse disse sårbarhetene. Cybersecurity and Infrastructure Security Agency (CISA) utstedte også et varsel som krever at føderale byråer bruker oppdateringene innen 2. oktober 2023.

For ytterligere å beskytte enheter har Apple tilbakeført sikkerhetsoppdateringene til eldre programvareversjoner. iOS 15.7.9 og iPadOS 15.7.9, macOS Monterey 12.6.9 og macOS Big Sur 11.7.10 inkluderer nå de nødvendige rettelsene.

Det skal bemerkes at støtten for iOS 15 ble avsluttet i september 2022, mens Monterey og Big Sur fortsatt støttes av Apple. Sikkerhetsoppdateringene dekker en rekke eldre iPhone-modeller, inkludert iPhone 6s, iPhone 7, førstegenerasjons iPhone SE, iPad Air 2, fjerdegenerasjons iPad mini og sjuendegenerasjons iPod touch.

Selv om ingen angrep på macOS-datamaskiner har blitt observert så langt, anbefales det fortsatt sterkt å bruke sikkerhetsoppdateringene på disse enhetene også. Apple har jobbet iherdig gjennom året for å fikse ulike nulldagssårbarheter på tvers av plattformene sine, med totalt 13 sårbarheter som er rettet så langt.

