Citizen Lab, NSO Group’un Pegasus’undan paralı casus yazılım dağıtan kimliği belirsiz bir kişinin cihazını kontrol ederken iki adet tıklamasız sıfır gün güvenlik açığı keşfetti.
Citizen Lab bu bilgiyi derhal Apple’a açıkladı ve soruşturmaya yardımcı oldu. Apple da bu istismar zincirine iki CVE ekledi: CVE-2023-41064 ve CVE-2023-41061.
Citizen Lab’deki araştırmacılar, herhangi bir kurban etkileşimi olmadan iOS 16.6.1 çalıştıran iPhone’ları ve iPadOS 16.6.1 çalıştıran tabletleri tehlikeye atabilen istismar zincirine “Blastpass” adını veriyor. “Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak kötüye kullanılmış olabileceğine dair bir raporun farkındadır.” şirket bir açıklamada şunları söyledi.
Bu güvenlik açığı Apple’ın en son yamalarında giderildi ve araştırmacılar kullanıcılara cihazlarını güncellemelerini öneriyor. Kimlikleri veya meslekleri nedeniyle son derece yüksek risk altında olanlar, çok az kişi bu şekilde saldırıya uğrasa da, karmaşık dijital tehditlerin hedefi olabilecek kişiler için aşırı bir koruma önlemi olan kilitleme modunu etkinleştirmelidir.