Apple repareert het ‘klikloze’ 0-dagen-kwetsbaarheidsprobleem bij beeldverwerking in iOS en macOS

Apple heeft vandaag beveiligingsupdates uitgebracht voor iOS, iPadOS, macOS en watchOS om actief uitgebuite zero-day-beveiligingsfouten op te lossen die kunnen worden gebruikt om malware te installeren via een “kwaadwillig vervaardigde afbeelding” of bijlage. De iOS 16.6.1-, iPadOS 16.6.1-, macOS 13.5.2- en watchOS 9.6.2-updates herstellen de tekortkomingen op alle Apple-platforms. Op het moment van schrijven zijn er geen updates uitgebracht voor oudere versies zoals iOS 15 of macOS 12.

De gebreken in CVE-2023-41064 en CVE-2023-41061 zijn gemeld door het Citizen Lab van de Munk School of Global Affairs & Public Policy van de Universiteit van Toronto. Ook wel “BLASTPASS” genoemd, zegt Citizen Lab dat de bugs ernstig zijn omdat ze kunnen worden misbruikt door alleen maar een afbeelding of bijlage te laden, wat regelmatig gebeurt in Safari, Berichten, WhatsApp en andere apps van eerste en derde partijen. Deze bugs worden ook wel ‘zero-click’- of ‘clickless’-kwetsbaarheden genoemd.

Citizen Lab zei ook dat de BLASTPASS-bug “werd gebruikt om Pegasus-huursoldaten van NSO Group af te leveren ”, de laatste in een lange reeks soortgelijke exploits die zijn gebruikt om volledig gepatchte iOS- en Android-apparaten te infecteren.

Gebruikers die zich zorgen maken over dit soort fouten kunnen deze proactief verhelpen door de Lockdown-modus in te schakelen op hun iOS- en macOS-apparaten; Het blokkeert onder andere veel soorten bijlagen en schakelt linkvoorbeelden uit, het soort aanvalsvectoren dat aanvallers kunnen gebruiken om deze ‘klikloze’ kwetsbaarheden te misbruiken.

“Wij geloven, en het Security Engineering and Architecture-team van Apple heeft ons bevestigd, dat de Lockdown-modus deze specifieke aanval blokkeert”, aldus Citizen Lab.

Deze updates zullen waarschijnlijk tot de laatste behoren die worden uitgebracht voorafgaand aan Apple’s productaankondigingsevenement in september volgende week , waar we releasedatums verwachten voor iOS 17 , iPadOS 17 en mogelijk andere software.