Apple łata lukę w zabezpieczeniach przetwarzania obrazu 0-day „bez kliknięcia” w iOS i macOS

Firma Apple udostępniła dziś aktualizacje zabezpieczeń dla systemów iOS, iPadOS, macOS i watchOS, które naprawiają aktywnie wykorzystywane luki w zabezpieczeniach typu zero-day, które można wykorzystać do zainstalowania złośliwego oprogramowania za pośrednictwem „złośliwie spreparowanego obrazu” lub załącznika. Aktualizacje iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 i watchOS 9.6.2 łatają wady na wszystkich platformach Apple. W chwili pisania tego tekstu nie wydano żadnych aktualizacji dla starszych wersji, takich jak iOS 15 lub macOS 12.

Błędy CVE-2023-41064 i CVE-2023-41061 zostały zgłoszone przez Citizen Lab w Szkole Spraw Globalnych i Polityki Publicznej Munk na Uniwersytecie w Toronto. Program Citizen Lab, nazywany także „BLASTPASS”, twierdzi, że błędy są poważne, ponieważ można je wykorzystać po prostu poprzez załadowanie obrazu lub załącznika, co regularnie zdarza się w Safari, Wiadomościach, WhatsApp oraz innych aplikacjach własnych i zewnętrznych. Błędy te nazywane są także lukami typu „zero-click” lub „bez kliknięcia”.

Citizen Lab stwierdziło również, że błąd BLASTPASS był „wykorzystywany do dostarczania najemniczego oprogramowania szpiegującego Pegasus należącego do NSO Group ” – najnowszego z długiej listy podobnych exploitów wykorzystywanych do infekowania w pełni załatanych urządzeń z systemami iOS i Android.

Użytkownicy martwiący się tego rodzaju wadami mogą proaktywnie je złagodzić, włączając tryb blokady na swoich urządzeniach z systemem iOS i macOS; między innymi blokuje wiele typów załączników i wyłącza podgląd linków, czyli rodzaje wektorów ataku, które osoby atakujące mogą wykorzystać do wykorzystania luk „bez kliknięcia”.

„Wierzymy, a zespół inżynierii i architektury bezpieczeństwa firmy Apple nam to potwierdził, że tryb blokady blokuje ten konkretny atak” – powiedział Citizen Lab.

Aktualizacje te będą prawdopodobnie jednymi z ostatnich, które zostaną wydane przed wrześniową zapowiedzią produktów Apple w przyszłym tygodniu , podczas której spodziewamy się poznać daty premiery systemów iOS 17 , iPadOS 17 i być może innego oprogramowania.