Citizen Lab, NSO Group’un Pegasus’undan paralı casus yazılım dağıtan kimliği belirsiz bir kişinin cihazını kontrol ederken iki adet tıklamasız sıfır gün güvenlik açığı keşfetti.
Vatandaş Laboratuvarı bu bilgiyi derhal Apple’a açıkladı ve soruşturmaya yardımcı oldu. Apple da bu istismar zincirine iki CVE ekledi: CVE-2023-41064 ve CVE-2023-41061.
Citizen Lab’deki araştırmacılar, iOS 16.6.1 çalıştıran iPhone’ları ve iPadOS 16.6.1 çalıştıran tabletleri herhangi bir kurban etkileşimi olmadan tehlikeye atabilen istismar zincirine “Blastpass” adını veriyor. “Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak kötüye kullanılmış olabileceğine dair bir raporun farkındadır.” şirket dedi Bir açıklamada.
Bu güvenlik açığı Apple’ın en son yamalarında giderildi ve araştırmacılar kullanıcılara cihazlarını güncellemelerini öneriyor. Kimliği veya mesleği nedeniyle son derece yüksek risk altında olanların, kilitleme modu, Çok az kişi bu şekilde saldırıya uğrasa da, karmaşık dijital tehditlerin hedefi olabilecek kişiler için olağanüstü bir koruma önlemi.