Apple retter “klikfri” 0-dages billedbehandlingssårbarhed i iOS, macOS

Apple har udgivet sikkerhedsopdateringer til iOS, iPadOS, macOS og watchOS i dag for at rette aktivt udnyttede nul-dages sikkerhedsfejl, der kan bruges til at installere malware via et “ondsindet udformet billede” eller vedhæftet fil. Opdateringerne til iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 og watchOS 9.6.2 retter fejlene på tværs af alle Apples platforme. I skrivende stund er der ikke frigivet opdateringer til ældre versioner som iOS 15 eller macOS 12.

CVE-2023-41064 og CVE-2023-41061 fejlene blev rapporteret af Citizen Lab på Munk School of Global Affairs & Public Policy ved University of Toronto. Også kaldet “BLASTPASS”, siger Citizen Lab, at fejlene er alvorlige, fordi de kan udnyttes blot ved at indlæse et billede eller en vedhæftet fil, hvilket sker regelmæssigt i Safari, Beskeder, WhatsApp og andre første- og tredjepartsapps. Disse fejl kaldes også “nul-klik” eller “klikfri” sårbarheder.

Citizen Lab sagde også, at BLASTPASS-fejlen “blev brugt til at levere NSO Groups Pegasus lejesoldatsspyware ,” den seneste i en lang række af lignende udnyttelser, der er blevet brugt til at inficere fuldt patchede iOS- og Android-enheder.

Brugere, der er bekymrede over denne slags fejl, kan afbøde dem proaktivt ved at aktivere Lockdown Mode på deres iOS- og macOS-enheder; blandt andet blokerer det mange vedhæftede filer og deaktiverer linkforhåndsvisninger, den slags angrebsvektorer, som angribere kan bruge til at udnytte disse “klikløse” sårbarheder.

“Vi tror, ​​og Apples Security Engineering and Architecture-team har bekræftet over for os, at Lockdown Mode blokerer dette særlige angreb,” sagde Citizen Lab.

Disse opdateringer vil sandsynligvis være nogle af de sidste, der frigives forud for Apples produktannonceringsbegivenhed i september i næste uge , hvor vi forventer at få udgivelsesdatoer for iOS 17 , iPadOS 17 og muligvis anden software.