Apple parandab iOS-is ja macOS-is “klõpsudeta” 0-päevase pilditöötluse haavatavuse

Apple on täna välja andnud iOS-i, iPadOS-i, macOS-i ja watchOS-i turvavärskendused, et parandada aktiivselt ära kasutatud nullpäeva turvavigu, mida saab kasutada pahavara installimiseks „pahatahtlikult loodud pildi” või manuse kaudu. iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 ja watchOS 9.6.2 värskendused parandavad vead kõigil Apple’i platvormidel. Selle kirjutamise seisuga pole vanematele versioonidele, nagu iOS 15 või macOS 12, värskendusi välja antud.

CVE-2023-41064 ja CVE-2023-41061 puudustest teatas Toronto Ülikooli Munk School of Global Affairs & Public Policy Citizen Lab. Citizen Labi sõnul on ka nimetusega BLASTPASS, et vead on tõsised, kuna neid saab ära kasutada lihtsalt pildi või manuse laadimisel, mis juhtub regulaarselt Safaris, Messages’is, WhatsAppis ja muudes esimese ja kolmanda osapoole rakendustes. Neid vigu nimetatakse ka “nullklõpsu” või “klõpsudeta” haavatavusteks.

Citizen Lab ütles ka, et BLASTPASS-i viga “kasutati NSO Groupi Pegasuse palgasõduri nuhkvara tarnimiseks “, mis on viimane sarnaste rünnakute reas , mida on kasutatud täielikult paigatud iOS- ja Android-seadmete nakatamiseks.

Seda tüüpi vigade pärast mures olevad kasutajad saavad neid ennetavalt leevendada, lubades oma iOS-i ja macOS-i seadmetes lukustusrežiimi ; muuhulgas blokeerib see paljusid manusetüüpe ja keelab linkide eelvaated, rünnakuvektorid, mida ründajad saavad kasutada nende klikivabade turvaaukude ärakasutamiseks.

“Usume ja Apple’i turvatehnika ja -arhitektuuri meeskond on meile kinnitanud, et lukustusrežiim blokeerib selle konkreetse rünnaku,” ütles Citizen Lab.

Need värskendused on tõenäoliselt ühed viimastest, mis avaldatakse enne Apple’i septembrikuu tooteteateüritust järgmisel nädalal , kus loodame saada iOS 17 , iPadOS 17 ja võib-olla ka muu tarkvara väljalaskekuupäevad.