Apple Perşembe günü, NSO Group’un Pegasus paralı asker casus yazılımını dağıtmak için vahşi doğada istismar edilen iki sıfır gün kusurunu gidermek amacıyla iOS, iPadOS, macOS ve watchOS için acil güvenlik güncellemeleri yayınladı.
Sorunlar aşağıda açıklanmaktadır:
- CVE-2023-41061 – Cüzdan’da, kötü amaçlarla oluşturulmuş bir ek işlenirken rastgele kod yürütülmesine neden olabilecek bir doğrulama sorunu.
- CVE-2023-41064 – Bir arabellek taşması sorunu Görüntü G/Ç bileşeni Bu, kötü amaçla hazırlanmış bir görüntüyü işlerken rastgele kod yürütülmesine neden olabilir.
CVE-2023-41064, Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab tarafından bulunurken, CVE-2023-41061, Citizen Lab’ın “yardımıyla” Apple tarafından dahili olarak keşfedildi.
Güncellemeler aşağıdaki cihazlar ve işletim sistemleri için mevcuttur:
Citizen Lab, ayrı bir uyarıda, Pegasus’u iOS 16.6 çalıştıran tam yamalı iPhone’lara dağıtmak için BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak ikiz kusurların silah haline getirildiğini ortaya çıkardı.
Disiplinlerarası laboratuvar, “Kötüye kullanım zinciri, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitedeydi” dedi. söz konusu. “Bu istismar, saldırganın iMessage hesabından kurbana gönderilen kötü amaçlı görüntüleri içeren PassKit eklerini içeriyordu.”
Eksikliklere ilişkin ek teknik özellikler, aktif kullanım nedeniyle saklı tutulmuştur. Bununla birlikte, istismarın sıfır tıklama saldırılarını azaltmak için Apple tarafından kurulan BlastDoor sanal alan çerçevesini atladığı söyleniyor.
Citizen Lab, “Bu son bulgu, sivil toplumun son derece karmaşık istismarlar ve paralı casus yazılımlar tarafından hedef alındığını bir kez daha gösteriyor” dedi ve sorunların geçen hafta Washington DC merkezli bir sivil toplum kuruluşu tarafından kullanılan kimliği belirsiz bir kişinin cihazı incelenirken tespit edildiğini de sözlerine ekledi. uluslararası ofislerle.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Cupertino, yılın başından bu yana yazılımında şu ana kadar toplam 13 sıfır gün hatasını düzeltti. En son güncellemeler, şirketin aktif olarak yararlanılan bir çekirdek hatasına (CVE-2023-38606) yönelik düzeltmeleri göndermesinden bir aydan fazla bir süre sonra geliyor.
Sıfır gün haberleri Çin hükümetinin bunu yaptığına inanıldığı için geliyor sipariş edildi A yasak yasaklayan Merkezi ve eyalet hükümeti yetkililerinin, denizaşırı teknolojiye olan bağımlılığı azaltmak amacıyla ve Çin-ABD ticaret savaşının tırmandığı bir dönemde iPhone’ları ve diğer yabancı markalı cihazları iş için kullanmasını yasakladı.
“Gerçek sebep [for the ban] şudur: siber güvenlik (sürpriz sürpriz),” Zuk Avraham, güvenlik araştırmacısı ve Zimperium’un kurucusu, söz konusu X’teki (eski adıyla Twitter) bir gönderide. “iPhone’lar en güvenli telefon olma imajına sahipler… ancak gerçekte iPhone’lar basit casusluklara karşı hiç de güvenli değil.”
“Bana inanmayın? Bir bireyin, bir kuruluşun veya bir hükümetin kendisini iPhone’lar aracılığıyla siber casusluğa karşı korumak için yapabileceği neredeyse hiçbir şeyin olmadığını anlamak için NSO gibi 0 tıklamayla ticari şirketlerin yıllar içinde elde ettiği rakamlara bakın. “