Apple исправляет «бескликовую» уязвимость обработки изображений нулевого дня в iOS и macOS

Вчера компания Apple выпустила экстренные обновления безопасности, устраняющие две Zero-Click уязвимости нулевого дня. То есть методы взлома, которые были использованы в атаках, были неизвестны на момент, когда Apple впервые узнала о них, а для заражения потенциальной жертве даже не нужно было выполнять каких-либо действий.

Данные уязвимости использовались для атаки на представителей гражданского общества в Вашингтоне — совокупности различных организаций, групп и индивидуумов, которые действуют независимо от государства и выражают интересы и потребности разных сегментов населения. Гражданское общество в США имеет долгую историю, связанную с развитием демократии, прав человека и гражданских свобод.

Компания Citizen Lab, занимающаяся мониторингом интернет-активности правительственных организаций и прочими исследованиями по кибербезопасности, опубликовала короткий пост в своём блоге, в котором рассказала, что на прошлой неделе она обнаружила уязвимость, используемую для заражения жертв вредоносным ПО. Исследователи утверждают, что уязвимость была частью цепочки эксплойтов, разработанных для доставки ПО от NSO Group, известного как Pegasus.

«Цепочка эксплойтов могла скомпрометировать iPhone с последней версией iOS (16.6) без какого-либо взаимодействия с жертвой», — написали в Citizen Lab.

После обнаружения уязвимости исследователи сообщили о ней Apple, которая выпустила патч и поблагодарила Citizen Lab за их работу. Примечательно, что Apple, похоже, также закрыла и другую связанную уязвимость, приписав её обнаружение самой себе. Вероятно, исследователи компании выявили вторую уязвимость при изучении первой.

Уязвимости были обнаружены в системах Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена Citizen Lab) и CVE-2023-41061 (обнаружена Apple).

CVE-2023-41064 — это уязвимость, связанная с переполнением буфера, которая срабатывает при обработке изображений, созданных злоумышленниками, и это может привести к выполнению произвольного кода на уязвимых устройствах.

CVE-2023-41061 — это проблема с проверкой, которая может быть использована с помощью вредоносного вложения, чтобы также добиться выполнения произвольного кода на целевых устройствах.

Citizen Lab назвала цепочку эксплойтов «BLASTPASS», потому что она включала PassKit — фреймворк, который позволяет разработчикам интегрировать Apple Pay в свои приложения.

Apple исправила нулевые дни в macOS Ventura 13.5.2 , iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2 , улучшив логику обработки памяти.

Список затронутых устройств довольно обширен, поскольку две ошибки в системе безопасности затрагивают как старые, так и новые модели, и в него входят:

• iPhone 8 и более поздние версии;
• iPad Pro (все модели), iPad Air 3-го поколения и более поздних версий, iPad 5-го поколения и более поздних версий и iPad mini 5-го поколения и более поздних версий;
• Компьютеры Mac под управлением macOS Ventura;
• Apple Watch Series 4 и более поздних версий.

«Гражданское общество снова служит системой раннего предупреждения о кибербезопасности для миллиардов устройств по всему миру», — написал в своём блоге Джон Скотт-Рейлтон, один из старших научных сотрудников Citizen Lab.

Эксперты рекомендуют всем пользователям яблочной продукции обновить свои устройства, установив самые последние патчи безопасности.