Сегодня Apple выпустила обновления безопасности для iOS, iPadOS, macOS и watchOS, чтобы исправить активно эксплуатируемые уязвимости нулевого дня, которые можно использовать для установки вредоносного ПО через «злонамеренно созданный образ» или вложение. Обновления iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 и watchOS 9.6.2 исправляют недостатки на всех платформах Apple. На момент написания этой статьи обновлений для более старых версий, таких как iOS 15 или macOS 12, не было выпущено.
Об уязвимостях CVE-2023-41064 и CVE-2023-41061 сообщила Гражданская лаборатория Школы глобальных отношений и государственной политики Мунка при Университете Торонто. Компания Citizen Lab, также получившая название BLASTPASS, заявляет, что ошибки серьезны, поскольку ими можно воспользоваться, просто загрузив изображение или вложение, что регулярно происходит в Safari, Сообщениях, WhatsApp и других собственных и сторонних приложениях. Эти ошибки также называют уязвимостями «нулевого щелчка» или «безкликабельных».
Citizen Lab также сообщила, что ошибка BLASTPASS «использовалась для доставки шпионского ПО Pegasus от NSO Group » — последнего в длинной череде подобных эксплойтов, которые использовались для заражения полностью исправленных устройств iOS и Android.
Пользователи, обеспокоенные подобными недостатками, могут заранее их устранить, включив режим блокировки на своих устройствах iOS и macOS; среди прочего, он блокирует многие типы вложений и отключает предварительный просмотр ссылок — виды векторов атак, которые злоумышленники могут использовать для использования этих «бескликерских» уязвимостей.
«Мы считаем, и команда Apple по разработке и архитектуре безопасности подтвердила нам, что режим блокировки блокирует эту конкретную атаку», — заявили в Citizen Lab.
Эти обновления, вероятно, будут одними из последних, которые будут выпущены в преддверии сентябрьского анонса продуктов Apple на следующей неделе , где мы ожидаем узнать даты выпуска iOS 17 , iPadOS 17 и, возможно, другого программного обеспечения.