Apple opravuje zranitelnost „bez kliknutí“ 0denního zpracování obrazu v iOS, macOS

Apple dnes vydal bezpečnostní aktualizace pro iOS, iPadOS, macOS a watchOS, které opravují aktivně využívané zero-day bezpečnostní chyby, které lze použít k instalaci malwaru prostřednictvím „škodlivě vytvořeného obrázku“ nebo přílohy. Aktualizace iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 a watchOS 9.6.2 opravují nedostatky na všech platformách Apple. V době psaní tohoto článku nebyly vydány žádné aktualizace pro starší verze, jako je iOS 15 nebo macOS 12.

Chyby CVE-2023-41064 a CVE-2023-41061 byly hlášeny Citizen Lab na Munk School of Global Affairs & Public Policy na University of Toronto. Citizen Lab, nazývaná také „BLASTPASS“, říká, že chyby jsou závažné, protože je lze zneužít pouhým načtením obrázku nebo přílohy, což se běžně stává v Safari, Messages, WhatsApp a dalších aplikacích prvních a třetích stran. Tyto chyby se také nazývají zranitelnosti „nulového kliknutí“ nebo „bez kliknutí“.

Citizen Lab také uvedla, že chyba BLASTPASS byla „využívána k doručení žoldáckého spywaru Pegasus společnosti NSO Group “, nejnovějšího z dlouhé řady podobných exploitů, které byly použity k infikování plně opravených zařízení iOS a Android.

Uživatelé, kteří se obávají těchto nedostatků, je mohou proaktivně zmírnit povolením režimu uzamčení na svých zařízeních iOS a macOS; mimo jiné blokuje mnoho typů příloh a deaktivuje náhledy odkazů, tedy druhy útoků, které mohou útočníci využít ke zneužití těchto „bezklikacích“ zranitelností.

„Věříme a tým Apple Security Engineering and Architecture nám potvrdil, že Lockdown Mode blokuje tento konkrétní útok,“ uvedla Citizen Lab.

Tyto aktualizace budou pravděpodobně jedny z posledních, které budou vydány před zářijovým oznámením produktu Apple příští týden , kde očekáváme data vydání pro iOS 17 , iPadOS 17 a možná i další software.