Apple heeft donderdag noodbeveiligingsupdates uitgebracht voor iOS, iPadOS, macOS en watchOS om twee fouten aan te pakken die in het wild werden uitgebuit om de Pegasus-huursoldaat-spyware van NSO Group te introduceren.
De problemen worden als volgt beschreven:
- CVE-2023-41061 – Een validatieprobleem in Wallet dat kan leiden tot het uitvoeren van willekeurige code bij het omgaan met een kwaadwillig gegenereerde bijlage.
- CVE-2023-41064 Probleem met bufferoverloop Afbeelding I/O-component Dit kan leiden tot het uitvoeren van willekeurige code bij het verwerken van een kwaadaardig beeld.
Terwijl CVE-2023-41064 werd gevonden door Citizen Lab aan het Munk College van de Universiteit van Toronto, werd CVE-2023-41061 intern ontdekt door Apple, met “hulp” van Citizen Lab.
Updates zijn beschikbaar voor de volgende apparaten en besturingssystemen:
In een afzonderlijke waarschuwing onthulde Citizen Lab dat de dubbelblinde fout werd uitgebuit als onderdeel van een no-click iMessage-exploitreeks genaamd BLASTPASS om Pegasus te implementeren op volledig gepatchte iPhones met iOS 16.6.
“De exploitketen was in staat iPhones met de nieuwste iOS-versie (16.6) in gevaar te brengen zonder enige interactie van het slachtoffer”, aldus de multidisciplinaire tester. Hij zei. De exploit omvatte PassKit-bijlagen met kwaadaardige afbeeldingen die vanaf het iMessage-account van de aanvaller naar het slachtoffer werden verzonden.
Aanvullende technische details over de tekortkomingen zijn achtergehouden in het licht van actieve exploitatie. De exploit omzeilt echter naar verluidt het BlastDoor-sandboxframework dat Apple heeft gebouwd om zero-click-aanvallen te beperken.
“Deze nieuwste ontdekking toont eens te meer aan dat het maatschappelijk middenveld het doelwit is van zeer geavanceerde exploits en spyware van huurlingen”, aldus Citizen Lab, eraan toevoegend dat de problemen vorige week werden ontdekt bij het onderzoeken van het apparaat van een ongeïdentificeerde persoon die voor een in Washington D.C. gevestigd bedrijf werkt. organisatie uit het maatschappelijk middenveld. met internationale kantoren.
Een zeer zwakke methode: het detecteren van de aanvalsoppervlaktestatus van de identiteit
Heb je een ministerie van Buitenlandse Zaken? bam? Bescherming van serviceaccounts? Ontdek hoe goed uw organisatie is toegerust tegen identiteitsbedreigingen
Tot nu toe heeft het bedrijf uit Cupertino sinds begin dit jaar in totaal 13 bugs in zijn software opgelost. De nieuwste updates komen ook meer dan een maand nadat het bedrijf oplossingen heeft uitgebracht voor een actief uitgebuit kernelfout (CVE-2023-38606).
Het nieuws over de Zero Days komt zoals men denkt dat de Chinese regering dat deed Commando A verbieden verbieden Het verbieden van centrale en deelstaatoverheidsfunctionarissen om iPhones en andere apparaten van buitenlandse merken op het werk te gebruiken in een poging om de afhankelijkheid van externe technologie te verminderen en te midden van de escalerende Chinees-Amerikaanse handelsoorlog.
“De echte reden [for the ban] IS: Cybersecurity (verrassing, verrassing),” Zook Abraham, beveiligingsonderzoeker en oprichter van Zimperium, Hij zei In een bericht op X (voorheen Twitter). “iPhones worden gezien als de veiligste telefoons… maar in werkelijkheid zijn iPhones helemaal niet veilig tegen eenvoudige spionage.”
“Geloof me niet? Je hoeft alleen maar te kijken naar het aantal zero clicks dat commerciële bedrijven als NSO door de jaren heen hebben gehad om te begrijpen dat een individu, organisatie of overheid vrijwel niets kan doen om zichzelf te beschermen tegen cyberspionage via iPhones .”
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
