Firma Apple wydała awaryjne aktualizacje zabezpieczeń, które naprawiają dwie nowe luki dnia zerowego wykorzystywane w atakach na użytkowników telefonów iPhone i komputerów Mac.
Błędy wykryto w frameworkach Image I/O i Wallet i są one śledzone jako CVE-2023-41064.
Citizen Lab ujawniło dzisiaj również, że błędy CVE-2023-41064 i CVE-2023-41061 były aktywnie wykorzystywane w ramach łańcucha exploitów iMessage działającego bez kliknięcia o nazwie BLASTPASS, który został wykorzystany do wdrożenia najemniczego oprogramowania szpiegującego Pegasus należącego do NSO Group na całkowicie załatane iPhone’y (z systemem iOS (16.6) za pośrednictwem załączników PassKit zawierających złośliwe obrazy.
CVE-2023-41064 to luka polegająca na przepełnieniu bufora, która wyzwala się podczas przetwarzania złośliwie spreparowanych obrazów i może prowadzić do wykonania dowolnego kodu na niezałatanych urządzeniach.
CVE-2023-41061 to problem z weryfikacją, który można wykorzystać przy użyciu złośliwego załącznika w celu wykonania dowolnego kodu na docelowych urządzeniach.
Firma Apple naprawiła problem dni zerowych w systemach macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 i watchOS 9.6.2, poprawiając logikę i obsługę pamięci.
Link | Produkt |
macOS Ventura 13.5.2 | macOS Ventura |
iOS 16.6.1 and iPadOS 16.6.1 | iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3. generacji i nowsze, iPad 5. generacji i nowsze oraz iPad mini 5. generacji i nowsze |
watchOS 9.6.2 | Apple Watch Series 4 i nowsze |