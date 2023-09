Ang US Cybersecurity and Infrastructure Security Agency (CISA) ay naglabas ng utos para sa mga pederal na ahensya na i-patch ang mga kahinaan sa seguridad na pinagsamantalahan bilang bahagi ng isang zero-click na iMessage na pagsasamantala sa chain. Ang mga kahinaan na ito ay ginamit upang mahawahan ang mga iPhone gamit ang Pegasus spyware na binuo ng NSO Group. Ang pagkilos na ito ay kasunod ng pagsisiwalat ng Citizen Lab na ang mga ganap na na-patch na mga iPhone na kabilang sa isang civil society organization sa Washington DC ay nakompromiso gamit ang isang exploit chain na tinatawag na BLASTPASS, na gumamit ng mga PassKit attachment na naglalaman ng mga nakakahamak na larawan.

Binalaan din ng Citizen Lab ang mga customer ng Apple na agad na mag-apply ng mga emergency update na inilabas noong Huwebes. Hinikayat pa nila ang mga indibidwal na maaaring madaling kapitan ng mga target na pag-atake dahil sa kanilang pagkakakilanlan o trabaho na paganahin ang Lockdown Mode.

Ang dalawang kahinaan, na kilala bilang Image I/O at Wallet, ay sinusubaybayan bilang CVE-2023-41064 at CVE-2023-41061 ayon sa pagkakabanggit. Kinilala ng Apple ang ulat ng aktibong pagsasamantala at mula noon ay naglabas na ng mga pag-aayos para sa mga kahinaang ito sa mga pinakabagong bersyon ng macOS Ventura, iOS, iPadOS, at watchOS. Tinutugunan ng mga update na ito ang mga isyu sa pangangasiwa ng memory at logic na nagpapahintulot sa mga umaatake na magsagawa ng arbitrary code sa mga device na hindi pa na-patch.

Isinama ng CISA ang dalawang bahid sa seguridad na ito sa Catalog ng Kilalang Pinagsasamantalahang Vulnerabilities nito, na nagsasaad na madalas silang tina-target ng mga malisyosong cyber actor at nagdudulot ng malalaking panganib sa pederal na negosyo. Bilang resulta, kinakailangan ng US Federal Civilian Executive Branch Agencies (FCEB) na i-patch ang lahat ng vulnerabilities na nakalista sa catalog sa loob ng tinukoy na timeframe, ayon sa isang umiiral na operational directive (BOD 22-01) na inilathala noong Nobyembre 2022. Kaugnay ng update na ito , dapat na i-secure ng mga pederal na ahensya ang mga mahihinang iOS, iPadOS, at macOS device sa kanilang mga network laban sa CVE-2023-41064 at CVE-2023-41061 bago ang ika-2 ng Oktubre, 2023.

Bagama't pangunahing nalalapat ang direktiba sa mga ahensyang pederal ng US, mariing pinapayuhan ng CISA ang mga pribadong kumpanya na unahin ang pagtatambal ng mga kahinaang ito sa lalong madaling panahon. Ang Apple ay aktibong tinutugunan ang mga zero-day na kahinaan sa mga operating system nito ngayong taon, na may kabuuang 13 pagsasamantala na naayos mula noong Enero 2023.

Kahulugan:

– Zero-click exploit: Isang uri ng cyber attack kung saan walang kinakailangang interaksyon ng user para mapakinabangan ang kahinaan.

– iMessage: Isang platform ng pagmemensahe na binuo ng Apple para sa mga device nito.

– Spyware: Malisyosong software na idinisenyo upang lihim na mangalap ng impormasyon mula sa isang target na device o computer.

Pinagmumulan:

– CISA

– Citizen Lab