Apple korjaa ”napsautuksettoman” 0-päiväisen kuvankäsittelyn haavoittuvuuden iOS- ja macOS-järjestelmissä

Apple korjaa ”napsautuksettoman” 0-päiväisen kuvankäsittelyn haavoittuvuuden iOS- ja macOS-järjestelmissä

Apple on julkaissut tietoturvapäivitykset iOS:lle, iPadOS:lle, macOS:lle ja watchOS:lle tänään korjatakseen aktiivisesti hyödynnetyt nollapäivän tietoturvavirheet, joita voidaan käyttää haittaohjelmien asentamiseen ”haitallisesti muodostetun kuvan” tai liitteen kautta. iOS 16.6.1-, iPadOS 16.6.1-, macOS 13.5.2- ja watchOS 9.6.2 -päivitykset korjaavat puutteet kaikilla Applen alustoilla. Tätä kirjoitettaessa vanhemmille versioille, kuten iOS 15 tai macOS 12, ei ole julkaistu päivityksiä.

Toronton yliopiston Munk School of Global Affairs & Public Policy -koulun Citizen Lab raportoi CVE-2023-41064- ja CVE-2023-41061-virheistä . Myös nimellä ”BLASTPASS” kutsuttu Citizen Lab sanoo, että virheet ovat vakavia, koska niitä voidaan hyödyntää vain lataamalla kuva tai liite, mikä tapahtuu säännöllisesti Safarissa, Viestiissä, WhatsAppissa ja muissa ensimmäisen ja kolmannen osapuolen sovelluksissa. Näitä vikoja kutsutaan myös ”nollanapsautus”- tai ”napsautusvapauksiksi” haavoittuvuuksiksi.

Citizen Lab sanoi myös, että BLASTPASS-virhettä ”käytettiin NSO Groupin Pegasus palkkasoturi-vakoiluohjelman toimittamiseen ”, viimeisin pitkästä joukosta vastaavia hyväksikäyttöjä, joita on käytetty täysin korjattujen iOS- ja Android-laitteiden tartuttamiseen.

Tällaisista puutteista huolissaan olevat käyttäjät voivat lieventää niitä ennakoivasti ottamalla käyttöön lukitustilan iOS- ja macOS-laitteissaan. Se estää muun muassa monia liitetyyppejä ja poistaa käytöstä linkkien esikatselun, hyökkäysvektorit, joita hyökkääjät voivat käyttää hyödyntääkseen näitä ”napsautusttomia” haavoittuvuuksia.

”Uskomme, ja Applen turvallisuussuunnittelu- ja arkkitehtuuritiimi on vahvistanut meille, että Lockdown Mode estää tämän hyökkäyksen”, Citizen Lab sanoi.

Nämä päivitykset ovat todennäköisesti viimeisiä, jotka julkaistaan ​​ennen Applen syyskuun tuotejulkistustapahtumaa ensi viikolla , jossa odotamme saavamme julkaisupäivät iOS 17: lle , iPadOS 17:lle ja mahdollisesti muille ohjelmistoille.

Posted on
News
admin

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Google saa tahtonsa, leipoo käyttäjiä seuraavan mainosalustan suoraan Chromeen
Cash App Session Error Domain 503 -virheen korjaaminen