Apple korrigerar ”klickfri” 0-dagars bildbehandlingssårbarhet i iOS, macOS

Apple har släppt säkerhetsuppdateringar för iOS, iPadOS, macOS och watchOS idag för att åtgärda aktivt utnyttjade nolldagars säkerhetsbrister som kan användas för att installera skadlig programvara via en ”skadlig bild” eller bilaga. Uppdateringarna för iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 och watchOS 9.6.2 korrigerar bristerna på alla Apples plattformar. När detta skrivs har inga uppdateringar släppts för äldre versioner som iOS 15 eller macOS 12.

CVE-2023-41064- och CVE-2023-41061-bristerna rapporterades av Citizen Lab vid Munk School of Global Affairs & Public Policy vid University of Toronto. Även kallad ”BLASTPASS”, säger Citizen Lab att buggarna är allvarliga eftersom de kan utnyttjas bara genom att ladda en bild eller bilaga, vilket händer regelbundet i Safari, Messages, WhatsApp och andra första- och tredjepartsappar. Dessa buggar kallas även ”nollklick” eller ”klickfria” sårbarheter.

Citizen Lab sa också att BLASTPASS-felet ”används för att leverera NSO Groups Pegasus legosoldatspyware ”, den senaste i en lång rad liknande exploateringar som har använts för att infektera helt patchade iOS- och Android-enheter.

Användare som är oroliga för den här typen av brister kan mildra dem proaktivt genom att aktivera låsningsläge på sina iOS- och macOS-enheter; bland annat blockerar den många typer av bilagor och inaktiverar länkförhandsvisningar, de typer av attackvektorer som angripare kan använda för att utnyttja dessa ”klickfria” sårbarheter.

”Vi tror, ​​och Apples säkerhetsteknik- och arkitekturteam har bekräftat för oss, att Lockdown Mode blockerar just denna attack,” sa Citizen Lab.

Dessa uppdateringar kommer sannolikt att vara några av de sista som släpps inför Apples produktannonseringsevenemang i september nästa vecka, där vi förväntar oss att få releasedatum för iOS 17 , iPadOS 17 och eventuellt annan programvara.