„Apple“ pataiso „iOS“, „MacOS“ 0 dienų vaizdo apdorojimo pažeidžiamumą be paspaudimų

„Apple“ šiandien išleido „iOS“, „iPadOS“, „MacOS“ ir „watchOS“ saugos naujinimus, kad ištaisytų aktyviai išnaudotus nulinės dienos saugos trūkumus, kurie gali būti naudojami kenkėjiškoms programoms įdiegti naudojant „piktybiškai sukurtą vaizdą“ arba priedą. iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 ir watchOS 9.6.2 naujiniai pataiso visų Apple platformų trūkumus. Iki šio rašymo senesnių versijų, tokių kaip „iOS 15“ ar „macOS 12“, naujinimai nebuvo išleisti.

Apie CVE-2023-41064 ir CVE-2023-41061 trūkumus pranešė Toronto universiteto Munko pasaulinių reikalų ir viešosios politikos mokyklos Piliečių laboratorija. „Citizen Lab“, dar vadinama „BLASTPASS“, teigia, kad klaidos yra rimtos, nes jas galima išnaudoti tiesiog įkeliant vaizdą arba priedą, o tai reguliariai vyksta „Safari“, „Messages“, „WhatsApp“ ir kitose pirmosios ir trečiosios šalies programose. Šios klaidos taip pat vadinamos „nulinio paspaudimo“ arba „nepaspaudimų“ pažeidžiamumu.

„Citizen Lab“ taip pat teigė, kad BLASTPASS klaida „buvo naudojama norint pristatyti NSO Group Pegasus samdinių šnipinėjimo programinę įrangą “, kuri yra naujausia iš daugybės panašių išnaudojimų, kurie buvo naudojami užkrėsti visiškai pataisytus iOS ir Android įrenginius.

Naudotojai, nerimaujantys dėl tokių trūkumų, gali jas aktyviai sumažinti, įjungdami užrakinimo režimą savo iOS ir macOS įrenginiuose; be kita ko, jis blokuoja daugybę priedų tipų ir išjungia nuorodų peržiūras – atakų vektorius, kuriuos užpuolikai gali naudoti, kad išnaudotų šias „be paspaudimų“ pažeidžiamas vietas.

„Manome, o „Apple“ saugumo inžinerijos ir architektūros komanda mums patvirtino, kad užrakinimo režimas blokuoja šią konkrečią ataką“, – sakė „Citizen Lab“.

Tikėtina, kad šie naujinimai bus vieni iš paskutinių, kurie bus išleisti prieš kitą savaitę vyksiantį „Apple“ pranešimo apie produktą renginį rugsėjį , kur tikimės gauti „ iOS 17“ , „iPadOS 17“ ir galbūt kitos programinės įrangos išleidimo datas.