Nowe aktualizacje bezpieczeństwa od Apple
W czwartek, firma Apple wprowadziła nagłe aktualizacje zabezpieczeń dla swoich systemów operacyjnych, takich jak iOS, iPadOS, macOS i watchOS. Celem tych aktualizacji było usunięcie dwóch krytycznych luk, które stanowiły zagrożenie ze strony narzędzia szpiegowskiego Pegasus, opracowanego przez NSO Group. Oto więcej szczegółów na ten temat:
Podatność CVE-2023-41061
- Dotyczy ona aplikacji Wallet i związana jest z problemem w procesie weryfikacji. Atakujący mógł wykorzystać złośliwy załącznik, aby zdalnie wykonać dowolny kod.
Podatność CVE-2023-41064
- Ta podatność związana jest z przepełnieniem bufora w komponencie wejścia/wyjścia obrazu. Atakujący, wykorzystując złośliwie spreparowany obraz, mógł zdalnie uruchomić dowolny kod.
Warto zaznaczyć, iż podatność CVE-2023-41064 została wykryta przez Citizen Lab na Uniwersytecie w Toronto, podczas gdy CVE-2023-41061 została wewnętrznie zidentyfikowana przez Apple przy współpracy z Citizen Lab.
Aktualizacje dostępne dla wielu urządzeń
Te istotne aktualizacja jest dostępna dla różnych urządzeń i systemów operacyjnych:
- iOS 16.6.1 i iPadOS 16.6.1 obejmują iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3. generacji i nowsze, iPad 5. generacji i nowsze oraz iPad mini 5. generacji i nowsze.
- macOS Ventura 13.5.2 jest skierowane do urządzeń z systemem macOS Ventura.
- watchOS 9.6.2 jest przeznaczone dla Apple Watch Series 4 i nowszych.
Złożony atak przez iMessage
W osobnym komunikacie, Citizen Lab ujawniło, iż obie te podatności były wykorzystywane jako część złożonego łańcucha exploitów w komunikatorze iMessage. Ten łańcuch, nazwany BLASTPASS, pozwalał atakującym zainfekować pełnoprawne iPhone’y z systemem iOS 16.6 bez konieczności interakcji ze strony użytkownika. Atak polegał na wysyłaniu złośliwych obrazów jako załączników PassKit z konta atakującego w iMessage.
Niestety, szczegóły techniczne dotyczące podatności nie zostały ujawnione ze względu na ich aktywne wykorzystywanie. Warto jednak zaznaczyć, iż exploit omijał platformę piaskownicy BlastDoor, stworzonej przez Apple w celu ograniczenia ataków typu zero-click.
To odkrycie podkreśla, iż zaawansowane narzędzia i oprogramowanie szpiegowskie są wykorzystywane przeciwko organizacjom społeczeństwa obywatelskiego. Problemy te zostały wykryte podczas analizy urządzenia, które należało do osoby związaną z organizacją społeczeństwa obywatelskiego z siedzibą w Waszyngtonie i biurami międzynarodowymi.
W bieżącym roku Apple już naprawiło łącznie 13 błędów dnia zerowego w swoim oprogramowaniu, a najnowsze aktualizacje zostały wprowadzone ponad miesiąc po rozwiązaniu błędu jądra oznaczonego jako CVE-2023-38606.
Te informacje pojawiają się w kontekście zakazu wydawanego przez chiński rząd, który zabrania urzędnikom używania iPhone’ów i innych zagranicznych urządzeń. Decyzja ta ma na celu zmniejszenie zależności od technologii zagranicznych i odgrywa istotną rolę w obliczu eskalacji chińsko-chińskiego konfliktu handlowego.