Компания обнаружила уязвимости CVE-2023-41064 и CVE-2023-41061 в последних прошивках iOS, iPadOS, macOS и watchOS.
Они позволяли злоумышленникам получать доступ к устройствам благодаря обработке вредоносного изображения, которая в результате приводила к выполнению произвольного кода. Как Apple, это связано с процессом ImageIO.
Компания исправила его, решив проблему переполнения буфера и улучшив работу с памятью. Кроме того, в iOS, iPadOS и watchOS вредоносное вложение в Wallet также могло привести к выполнению произвольного кода. Apple решила и эту проблему.
- Теперь компания настоятельно рекомендует обновиться до iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 и watchOS 9.6.2.
По Citizen Lab, обнаруженные Apple уязвимости CVE-2023-41064 и CVE-2023-41061 являются частью цепочки эксплойтов BLASTPASS. Исследователи Citizen Lab обнаружили активно эксплуатируемую уязвимость «нулевого клика» на прошлой неделе.
Это произошло в ходе проверки устройства сотрудника одной из общественных организаций, которая расположена в Вашингтоне и имеет международные представительства.
По уверениям Citizen Lab, уязвимость используется для установки вредоносного шпионского ПО Pegasus от NSO Group.
Мы призываем всех пользователей, подверженных риску, рассмотреть возможность включения режима блокировки, поскольку, по нашему мнению, он блокирует эту атаку. Мы призываем всех немедленно обновить свои устройства.
Например, уязвимость позволяла отправлять через iMessage вредоносное изображение PassKit (в Apple Pay и Wallet) и заражать устройство «без какого-либо взаимодействия с жертвой».
[yuzo id=820442 ]