Apple исправляет «бескликовую» уязвимость обработки изображений нулевого дня в iOS и macOS

Вчера компания Apple выпустила экстренные обновления безопасности, устраняющие две Zero-Click уязвимости нулевого дня. То есть методы взлома, которые были использованы в атаках, были неизвестны на момент, когда Apple впервые узнала о них, а для заражения потенциальной жертве даже не нужно было выполнять каких-либо действий.

Данные уязвимости использовались для атаки на представителей гражданского общества в Вашингтоне — совокупности различных организаций, групп и индивидуумов, которые действуют независимо от государства и выражают интересы и потребности разных сегментов населения. Гражданское общество в США имеет долгую историю, связанную с развитием демократии, прав человека и гражданских свобод.

Компания Citizen Lab, занимающаяся мониторингом интернет-активности правительственных организаций и прочими исследованиями по кибербезопасности, опубликовала короткий пост в своём блоге, в котором рассказала, что на прошлой неделе она обнаружила уязвимость , используемую для заражения жертв вредоносным ПО. Исследователи утверждают, что уязвимость была частью цепочки эксплойтов, разработанных для доставки ПО от NSO Group, известного как Pegasus.

«Цепочка эксплойтов могла скомпрометировать iPhone с последней версией iOS (16.6) без какого-либо взаимодействия с жертвой», — написали в Citizen Lab.

После обнаружения уязвимости исследователи сообщили о ней Apple, которая выпустила патч и поблагодарила Citizen Lab за их работу. Примечательно, что Apple, похоже, также закрыла и другую связанную уязвимость, приписав её обнаружение самой себе. Вероятно, исследователи компании выявили вторую уязвимость при изучении первой.

Уязвимости были обнаружены в системах Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена Citizen Lab) и CVE-2023-41061 (обнаружена Apple).

CVE-2023-41064 — это уязвимость, связанная с переполнением буфера, которая срабатывает при обработке изображений, созданных злоумышленниками, и это может привести к выполнению произвольного кода на уязвимых устройствах.

CVE-2023-41061 — это проблема с проверкой, которая может быть использована с помощью вредоносного вложения, чтобы также добиться выполнения произвольного кода на целевых устройствах.

Citizen Lab назвала цепочку эксплойтов «BLASTPASS», потому что она включала PassKit — фреймворк, который позволяет разработчикам интегрировать Apple Pay в свои приложения.

Apple исправила нулевые дни в macOS Ventura 13.5.2 , iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2 , улучшив логику обработки памяти.

Список затронутых устройств довольно обширен, поскольку две ошибки в системе безопасности затрагивают как старые, так и новые модели, и в него входят:

• iPhone 8 и более поздние версии;
• iPad Pro (все модели), iPad Air 3-го поколения и более поздних версий, iPad 5-го поколения и более поздних версий и iPad mini 5-го поколения и более поздних версий;
• Компьютеры Mac под управлением macOS Ventura;
• Apple Watch Series 4 и более поздних версий.

«Гражданское общество снова служит системой раннего предупреждения о кибербезопасности для миллиардов устройств по всему миру», — написал в своём блоге Джон Скотт-Рейлтон, один из старших научных сотрудников Citizen Lab.

Эксперты рекомендуют всем пользователям яблочной продукции обновить свои устройства, установив самые последние патчи безопасности.