Apple logo in red


Security


Η Apple υποστηρίζει την επιδιόρθωση BLASTPASS zero-day σε παλαιότερα iPhone



By

Marizas Dimitris

Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας για παλαιότερα iPhone για να διορθώσει μια ευπάθεια zero-day που παρακολουθείται ως CVE-2023-41064 και η οποία αξιοποιήθηκε ενεργά για να μολύνει

iOS με το λογισμικό κατασκοπείας

της NSO.

Το CVE-2023-31064 είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που χρησιμοποιείται με την αποστολή εικόνων που έχουν δημιουργηθεί με κακόβουλο τρόπο μέσω

iMessage.

Όπως αναφέρθηκε από το Citizen Lab νωρίτερα αυτό το μήνα, το CVE-2023-31064 και ένα δεύτερο ελάττωμα που εντοπίστηκε ως CVE-2023-41061 χρησιμοποιήθηκαν ως αλυσίδα επίθεσης μηδενικού κλικ με την ονομασία BLASTPASS, η οποία περιλαμβάνει την αποστολή ειδικά διαμορφωμένων εικόνων σε συνημμένα iMessage PassKit για εγκατάσταση λογισμικού κατασκοπείας .

Όταν τα τηλέφωνα έλαβαν και επεξεργάστηκαν το συνημμένο, εγκατέστησαν το λογισμικό κατασκοπείας Pegasus της NSO, ακόμη και σε πλήρως επιδιορθωμένες συσκευές iOS (16.6).

Η Apple κυκλοφόρησε διορθώσεις για τα δύο ελαττώματα με το macOS Ventura 13.5.2, το iOS 16.6.1, το iPadOS 16.6.1 και το watchOS 9.6.2 και η CISA δημοσίευσε μια ειδοποίηση που απαιτεί από τις ομοσπονδιακές υπηρεσίες να ενημερώσουν το λογισμικό έως τις 2 Οκτωβρίου 2023.

Οι ενημερώσεις ασφαλείας έχουν πλέον γίνει backport

iOS 15.7.9 και iPadOS 15.7.9

,

macOS Monterey 12.6.9

και

macOS Big Sur 11.7.10

για να αποτρέψετε τη χρήση αυτής της αλυσίδας επίθεσης σε αυτές τις συσκευές.

Αξίζει να σημειωθεί ότι η υποστήριξη για το iOS 15 έληξε πριν από ένα χρόνο, τον Σεπτέμβριο του 2022, ενώ ο προμηθευτής εξακολουθεί να υποστηρίζει το Monterey και το Big Sur.

Οι ενημερώσεις ασφαλείας καλύπτουν όλα τα μοντέλα iPhone 6s, το iPhone 7, την πρώτη γενιά του

, το iPad Air 2, την τέταρτη γενιά του iPad mini και την έβδομη γενιά του

touch.

Αν και δεν έχουν παρατηρηθεί επιθέσεις σε υπολογιστές macOS, το ελάττωμα είναι θεωρητικά αξιοποιήσιμο και εκεί, επομένως συνιστάται ανεπιφύλακτα η εφαρμογή των ενημερώσεων ασφαλείας.

Από την αρχή του έτους, η Apple έχει καθορίσει συνολικά 13 zero-days που αξιοποιήθηκαν για να στοχεύσει συσκευές με iOS, macOS, iPadOS και watchOS, συμπεριλαμβανομένων:



bleepingcomputer.com


Follow TechWar.gr on Google News






0-ημέρα


Apple


iMessage


ios


iOS 16


iPadOS


iPhone


Pegasus Spyware


Ενεργά εκμετάλλευση


Ημέρα Μηδέν






Marizas Dimitris



118747 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.


More Stories


Το TikTok αμείβει $1 ανά 1000 προβολές: Πώς μπορείς να…



Ασύρματη κοινή χρήση αρχείων από smartphone σε υπολογιστή



Το TikTok αποσαφηνίζει τις πολιτικές του μετριασμού εν μέσω…