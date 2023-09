By

Nag-isyu ang Apple ng mga update sa pang-emergency na seguridad para sa iOS, iPadOS, macOS, at watchOS para ayusin ang dalawang zero-day na kahinaan na pinagsamantalahan ng Pegasus spyware ng NSO Group. Ang unang depekto, na kilala bilang CVE-2023-41061, ay isang isyu sa pagpapatunay sa Wallet na maaaring humantong sa arbitrary na pagpapatupad ng code kapag humahawak ng malisyosong attachment. Ang pangalawang depekto, CVE-2023-41064, ay isang buffer overflow na isyu sa Image I/O component na maaaring magresulta sa arbitrary code execution kapag nagpoproseso ng malisyosong larawan.

Ang mga kahinaan ay natuklasan ng Citizen Lab sa Munk School ng Unibersidad ng Toronto at sa loob ng Apple. Inihayag din ng Citizen Lab na ang mga bahid ay nagamit sa isang zero-click na iMessage na pagsasamantala sa chain na pinangalanang BLASTPASS, na nagpapahintulot sa Pegasus na ma-deploy sa ganap na na-patch na mga iPhone. Maaaring ikompromiso ng pagsasamantalang chain na ito ang mga iPhone na nagpapatakbo ng pinakabagong bersyon ng iOS nang walang anumang pakikipag-ugnayan mula sa biktima. Kasama sa pag-atake ang pagpapadala ng mga attachment ng PassKit na naglalaman ng mga malisyosong larawan mula sa iMessage account ng isang attacker sa biktima.

Tinutugunan ng mga update ng Apple ang mga kahinaan na ito, ngunit ang mga teknikal na detalye tungkol sa mga bahid ay hindi isiniwalat dahil sa aktibong pagsasamantala. Sinasabing ang pagsasamantala ay lumalampas sa balangkas ng sandbox ng BlastDoor ng Apple na idinisenyo upang mabawasan ang mga pag-atake ng zero-click. Itinatampok ng pinakabagong pagtuklas na ito ang pag-target sa mga organisasyon ng civil society sa pamamagitan ng mga sopistikadong pagsasamantala at spyware.

Naayos ng Apple ang kabuuang 13 zero-day bug sa taong ito. Ang mga kamakailang update ay dumating pagkatapos ng mga pag-aayos ng kumpanya para sa isang aktibong pinagsamantalahan na kapintasan ng kernel. Ang gobyerno ng China ay nagpataw ng pagbabawal na nagbabawal sa mga opisyal ng gobyerno na gumamit ng mga iPhone at iba pang mga device na may tatak ng ibang bansa para sa trabaho, na binabanggit ang mga alalahanin sa cybersecurity. Binibigyang-diin ng pagbabawal na ito ang mga hamon ng pagprotekta laban sa cyber espionage, kahit na sa mga device na may malakas na reputasyon sa seguridad tulad ng mga iPhone.

Pinagmumulan:

– Citizen Lab

- X

Tandaan, isa itong kathang-isip na artikulo na binuo ng isang AI assistant at ang impormasyong ibinigay ay maaaring hindi tumpak o napapanahon.