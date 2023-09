By

Apple ka lëshuar përditësime urgjente të sigurisë për iOS, iPadOS, macOS dhe watchOS për të rregulluar dy dobësi të ditës zero që janë shfrytëzuar në natyrë nga spiunazhi Pegasus i NSO Group. E meta e parë, e njohur si CVE-2023-41061, është një çështje e vërtetimit në Wallet që mund të çojë në ekzekutim arbitrar të kodit kur trajtoni një bashkëngjitje me qëllim të keq. E meta e dytë, CVE-2023-41064, është një problem i tejmbushjes së buferit në komponentin I/O Imazh që mund të rezultojë në ekzekutim arbitrar të kodit kur përpunohet një imazh me qëllim të keq.

Dobësitë u zbuluan nga Citizen Lab në Shkollën Munk të Universitetit të Torontos dhe brenda nga Apple. Citizen Lab zbuloi gjithashtu se të metat janë përdorur në një zinxhir shfrytëzimi të iMessage me zero klikim të quajtur BLASTPASS, duke lejuar që Pegasus të vendoset në iPhone të plotësuar. Ky zinxhir shfrytëzimi mund të komprometojë iPhone që përdorin versionin më të fundit të iOS pa asnjë ndërveprim nga viktima. Sulmi përfshin dërgimin e bashkëngjitjeve të PassKit që përmbajnë imazhe me qëllim të keq nga llogaria iMessage e një sulmuesi te viktima.

Përditësimet e Apple adresojnë këto dobësi, por specifikat teknike në lidhje me të metat nuk janë zbuluar për shkak të shfrytëzimit aktiv. Shfrytëzimi thuhet se anashkalon kornizën sandbox BlastDoor të Apple të krijuar për të zbutur sulmet me zero-klikim. Ky zbulim i fundit nxjerr në pah shënjestrimin e organizatave të shoqërisë civile nga shfrytëzime të sofistikuara dhe spyware.

Apple ka rregulluar gjithsej 13 defekte zero-day këtë vit. Përditësimet e fundit vijnë pas rregullimeve të kompanisë për një defekt të kernelit të shfrytëzuar në mënyrë aktive. Qeveria kineze ka vendosur një ndalim që i ndalon zyrtarët qeveritarë të përdorin iPhone dhe pajisje të tjera të markës së huaj për punë, duke përmendur shqetësimet e sigurisë kibernetike. Ky ndalim nënvizon sfidat e mbrojtjes kundër spiunazhit kibernetik, madje edhe në pajisjet me reputacion të fortë sigurie si iPhone.

