蘋果修復了 iOS、macOS 中的“無點擊”0day 圖像處理漏洞

Apple 今天發布了 iOS、iPadOS、macOS 和 watchOS 的安全更新，以修復被主動利用的零日安全漏洞，這些漏洞可用於通過“惡意製作的圖像”或附件安裝惡意軟件。iOS 16.6.1、iPadOS 16.6.1、macOS 13.5.2 和 watchOS 9.6.2 更新修復了所有 Apple 平台上的缺陷。截至撰寫本文時，尚未發布 iOS 15 或 macOS 12 等舊版本的更新。

CVE-2023-41064 和 CVE-2023-41061 缺陷由多倫多大學蒙克全球事務與公共政策學院的公民實驗室報告。公民實驗室也被稱為“BLASTPASS”，表示這些錯誤很嚴重，因為只需加​​載圖像或附件就可以利用它們，這種情況在Safari、消息、WhatsApp 和其他第一方和第三方應用程序中經常發生。這些錯誤也稱為“零點擊”或“無點擊”漏洞。

Citizen Lab 還表示，BLASTPASS 漏洞“被用來傳播 NSO Group 的Pegasus 僱傭間諜軟件”，這是一系列類似漏洞中的最新一個，這些漏洞已被用來感染完全修補的 iOS 和 Android 設備。

擔心此類缺陷的用戶可以通過在 iOS 和 macOS 設備上啟用鎖定模式來主動緩解這些缺陷；除此之外，它還會阻止許多附件類型並禁用鏈接預覽，攻擊者可以利用這些攻擊向量來利用這些“無點擊”漏洞。

“我們相信，蘋果的安全工程和架構團隊已經向我們證實，鎖定模式可以阻止這種特殊的攻擊，”公民實驗室說。

這些更新可能是在下週蘋果 9 月產品發布活動之前發布的最後更新之一，我們預計將在活動中獲得iOS 17、iPadOS 17 以及可能的其他軟件的發布日期。