US Cybersecurity and Infrastructure Security Agency (CISA) har utstedt en advarsel til føderale byråer, og oppfordret dem til å oppdatere iOS-, iPadOS- og macOS-enhetene sine innen en måned. Dette er et svar på oppdagelsen av to nulldagers sårbarheter i Apple-produkter som potensielt kan bli utnyttet av spyware-angrep.

Den første sårbarheten, kjent som CVE-2023-41064, er et bufferoverløpssårbarhet i ImageIO. Det oppstår ved behandling av et spesiallaget bilde og kan føre til kodekjøring. Det andre sikkerhetsproblemet, CVE-2023-41061, er et valideringsproblem i Apple Wallet. Et skadelig vedlegg kan føre til kodekjøring.

Citizen Lab, en ideell organisasjon, oppdaget nylig disse sårbarhetene som en del av en utnyttelseskjede kalt «BlastPass». Denne kjeden ble brukt til å levere Pegasus-spyware til en ansatt i en Washington-basert sivilsamfunnsorganisasjon. Citizen Lab avslørte at utnyttelsen brukte PassKit-vedlegg som inneholdt ondsinnede bilder sendt via iMessage.

Selv om det er uklart hvem som autoriserte disse angrepene, er det bekymring for at de også kan bli brukt til å målrette amerikanske myndighetspersoner hvis de utføres av en fiendtlig nasjon. Tidligere har lignende spyware-angrep blitt rapportert, med ni tjenestemenn i det amerikanske utenriksdepartementet som fikk iPhone-ene sine eksternt hacket i 2021.

Apple har bestemt seg for å ta rettslige skritt mot det israelske firmaet NSO Group, som antas å være ansvarlig for å utvikle og selge Pegasus-spionvaren. NSO Group hevder at produktene deres er beregnet på legitime rettshåndhevelse og etterretningsinnhentingsformål.

For å redusere risikoen for spyware-angrep har føderale byråer frist til 2. oktober til å lappe de oppdagede sårbarhetene gjennom offisielle leverandøroppdateringer. Unnlatelse av å gjøre dette kan føre til at du slutter å bruke disse Apple-produktene.

