Apple aizlabo “bezklikšķu” 0 dienu attēlu apstrādes ievainojamību operētājsistēmās iOS, macOS

Apple šodien ir izlaidusi drošības atjauninājumus operētājsistēmām iOS, iPadOS, macOS un watchOS, lai novērstu aktīvi izmantotās nulles dienas drošības nepilnības, kuras var izmantot ļaunprātīgas programmatūras instalēšanai, izmantojot “ļaunprātīgi izveidotu attēlu” vai pielikumu. iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 un watchOS 9.6.2 atjauninājumi novērš trūkumus visās Apple platformās. Šī raksta laikā nav izdoti atjauninājumi vecākām versijām, piemēram, iOS 15 vai macOS 12.

Par CVE-2023-41064 un CVE-2023-41061 trūkumiem ziņoja Toronto Universitātes Munka Globālo lietu un sabiedriskās politikas skolas Citizen Lab. Citizen Lab, kas saukts arī par BLASTPASS, saka, ka kļūdas ir nopietnas, jo tās var izmantot, vienkārši ielādējot attēlu vai pielikumu, kas regulāri notiek programmās Safari, Messages, WhatsApp un citās pirmās un trešās puses lietotnēs. Šīs kļūdas sauc arī par “nulles klikšķu” vai “bezklikšķu” ievainojamību.

Citizen Lab arī paziņoja, ka BLASTPASS kļūda “tiek izmantota, lai piegādātu NSO Group Pegasus algotņu spiegprogrammatūru “, kas ir jaunākā līdzīgu darbību virkne , kas tika izmantota, lai inficētu pilnībā izlabotas iOS un Android ierīces.

Lietotāji, kas uztraucas par šāda veida trūkumiem, var tos proaktīvi mazināt, iespējojot bloķēšanas režīmu savās iOS un macOS ierīcēs; cita starpā tas bloķē daudzus pielikumu veidus un atspējo saišu priekšskatījumus — uzbrukuma vektorus, ko uzbrucēji var izmantot, lai izmantotu šīs “bezklikšķu” ievainojamības.

“Mēs uzskatām, un Apple drošības inženieru un arhitektūras komanda mums ir apstiprinājusi, ka bloķēšanas režīms bloķē šo konkrēto uzbrukumu,” sacīja Citizen Lab.

Šie atjauninājumi, iespējams, būs daži no pēdējiem, kas tiks izlaisti pirms Apple septembra produktu paziņojuma pasākuma nākamajā nedēļā , kur mēs sagaidām iOS 17 , iPadOS 17 un, iespējams, citas programmatūras izlaišanas datumus.