Natychmiast aktualizuj urządzenia od Apple! Pegasus może nas szpiegować

itweek.pl 1 rok temu
Zdjęcie: Natychmiast aktualizuj urządzenia od Apple! Pegasus może nas szpiegować, itweek.pl


Nowe aktualizacje bezpieczeństwa od Apple

W czwartek, firma Apple wprowadziła nagłe aktualizacje zabezpieczeń dla swoich systemów operacyjnych, takich jak iOS, iPadOS, macOS i watchOS. Celem tych aktualizacji było usunięcie dwóch krytycznych luk, które stanowiły zagrożenie ze strony narzędzia szpiegowskiego Pegasus, opracowanego przez NSO Group. Oto więcej szczegółów na ten temat:

Podatność CVE-2023-41061

  • Dotyczy ona aplikacji Wallet i związana jest z problemem w procesie weryfikacji. Atakujący mógł wykorzystać złośliwy załącznik, aby zdalnie wykonać dowolny kod.

Podatność CVE-2023-41064

  • Ta podatność związana jest z przepełnieniem bufora w komponencie wejścia/wyjścia obrazu. Atakujący, wykorzystując złośliwie spreparowany obraz, mógł zdalnie uruchomić dowolny kod.

Warto zaznaczyć, iż podatność CVE-2023-41064 została wykryta przez Citizen Lab na Uniwersytecie w Toronto, podczas gdy CVE-2023-41061 została wewnętrznie zidentyfikowana przez Apple przy współpracy z Citizen Lab.

Aktualizacje dostępne dla wielu urządzeń

Te istotne aktualizacja jest dostępna dla różnych urządzeń i systemów operacyjnych:

  • iOS 16.6.1 i iPadOS 16.6.1 obejmują iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3. generacji i nowsze, iPad 5. generacji i nowsze oraz iPad mini 5. generacji i nowsze.
  • macOS Ventura 13.5.2 jest skierowane do urządzeń z systemem macOS Ventura.
  • watchOS 9.6.2 jest przeznaczone dla Apple Watch Series 4 i nowszych.

Złożony atak przez iMessage

W osobnym komunikacie, Citizen Lab ujawniło, iż obie te podatności były wykorzystywane jako część złożonego łańcucha exploitów w komunikatorze iMessage. Ten łańcuch, nazwany BLASTPASS, pozwalał atakującym zainfekować pełnoprawne iPhone’y z systemem iOS 16.6 bez konieczności interakcji ze strony użytkownika. Atak polegał na wysyłaniu złośliwych obrazów jako załączników PassKit z konta atakującego w iMessage.

Niestety, szczegóły techniczne dotyczące podatności nie zostały ujawnione ze względu na ich aktywne wykorzystywanie. Warto jednak zaznaczyć, iż exploit omijał platformę piaskownicy BlastDoor, stworzonej przez Apple w celu ograniczenia ataków typu zero-click.

To odkrycie podkreśla, iż zaawansowane narzędzia i oprogramowanie szpiegowskie są wykorzystywane przeciwko organizacjom społeczeństwa obywatelskiego. Problemy te zostały wykryte podczas analizy urządzenia, które należało do osoby związaną z organizacją społeczeństwa obywatelskiego z siedzibą w Waszyngtonie i biurami międzynarodowymi.

W bieżącym roku Apple już naprawiło łącznie 13 błędów dnia zerowego w swoim oprogramowaniu, a najnowsze aktualizacje zostały wprowadzone ponad miesiąc po rozwiązaniu błędu jądra oznaczonego jako CVE-2023-38606.

Te informacje pojawiają się w kontekście zakazu wydawanego przez chiński rząd, który zabrania urzędnikom używania iPhone’ów i innych zagranicznych urządzeń. Decyzja ta ma na celu zmniejszenie zależności od technologii zagranicznych i odgrywa istotną rolę w obliczu eskalacji chińsko-chińskiego konfliktu handlowego.

Idź do oryginalnego materiału