Apple, iOS cihazlarına NSO’nun Pegasus casus yazılımını bulaştırmak için aktif olarak kullanılan, CVE-2023-41064 olarak takip edilen sıfır gün güvenlik açığını düzeltmek amacıyla eski iPhone’lar için güvenlik güncellemeleri yayınladı.
CVE-2023-31064, iMessage aracılığıyla kötü amaçlarla hazırlanmış görseller gönderilerek yararlanılan bir uzaktan kod yürütme kusurudur.
Citizen Lab tarafından bu ayın başında bildirildiği üzere, CVE-2023-31064 ve CVE-2023-41061 olarak izlenen ikinci bir kusur, casus yazılım yüklemek için iMessage PassKit eklerine özel hazırlanmış görüntülerin gönderilmesini içeren BLASTPASS adlı sıfır tıklamalı saldırı zinciri olarak kullanıldı. .
Telefonlar eki alıp işlediğinde, tamamen yama uygulanmış iOS (16.6) cihazlara bile NSO’nun Pegasus casus yazılımını yükledi.
Apple, macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 ve watchOS 9.6.2’deki iki kusur için düzeltmeler yayınladı ve CISA, federal kurumların 2 Ekim 2023’e kadar yama yapmalarını gerektiren bir uyarı yayınladı.
Bu saldırı zincirinin bu cihazlarda kullanılmasını önlemek için güvenlik güncellemeleri artık iOS 15.7.9 ve iPadOS 15.7.9, macOS Monterey 12.6.9 ve macOS Big Sur 11.7.10’a desteklendi.
iOS 15 desteğinin bir yıl önce, Eylül 2022’de sona erdiğini ancak satıcının hâlâ Monterey ve Big Sur’u desteklediğini belirtmekte fayda var.
Güvenlik güncellemeleri tüm iPhone 6s modellerini, iPhone 7’yi, iPhone SE’nin ilk neslini, iPad Air 2’yi, iPad mini’nin dördüncü neslini ve iPod touch’ın yedinci neslini kapsıyor.
Her ne kadar macOS bilgisayarlarda herhangi bir saldırı gözlenmese de kusur teorik olarak orada da kullanılabilir; bu nedenle güvenlik güncellemelerinin uygulanması şiddetle tavsiye edilir.
Apple, yılın başından bu yana iOS, macOS, iPadOS ve watchOS çalıştıran cihazları hedeflemek için istismar edilen toplam 13 sıfır günü düzeltti; bunlara aşağıdakiler dahildir: