Apple виправляє вразливість, пов’язану з 0-денною обробкою зображень без кліків, в iOS, macOS

Сьогодні Apple випустила оновлення безпеки для iOS, iPadOS, macOS і watchOS, щоб виправити активно використовувані недоліки безпеки нульового дня, які можна використовувати для встановлення зловмисного програмного забезпечення за допомогою «зловмисно створеного образу» або вкладення. Оновлення iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 і watchOS 9.6.2 виправляють недоліки на всіх платформах Apple. На момент написання цієї статті не було випущено оновлень для старіших версій, таких як iOS 15 або macOS 12.

Про недоліки CVE-2023-41064 і CVE-2023-41061 повідомила Citizen Lab Школи глобальних справ і публічної політики Мунка в Університеті Торонто. Також під назвою «BLASTPASS» Citizen Lab каже, що помилки серйозні, оскільки їх можна використати, просто завантаживши зображення або вкладений файл, що регулярно трапляється в Safari, Повідомленнях, WhatsApp та інших програмах перших і сторонніх розробників. Ці помилки також називають уразливістю без клацання або без клацання.

Citizen Lab також повідомила, що помилка BLASTPASS «використовується для доставки найманців-шпигунських програм Pegasus від NSO Group », останнього в довгій низці подібних експлойтів, які використовувалися для зараження повністю виправлених пристроїв iOS і Android.

Користувачі, які турбуються про такі недоліки, можуть заздалегідь усунути їх, увімкнувши режим блокування на своїх пристроях iOS і macOS; серед іншого, він блокує багато типів вкладень і вимикає попередній перегляд посилань, типи векторів атак, які зловмисники можуть використовувати для використання цих «неклацаючих» уразливостей.

«Ми вважаємо, і команда безпеки і архітектури Apple підтвердила нам, що режим блокування блокує цю конкретну атаку», — заявили в Citizen Lab.

Ці оновлення, ймовірно, будуть одними з останніх, які будуть випущені напередодні вересневого анонсування продуктів Apple наступного тижня , де ми очікуємо отримати дати випуску iOS 17 , iPadOS 17 і, можливо, іншого програмного забезпечення.