Apple Perşembe günü, NSO Group’un Pegasus paralı asker casus yazılımını dağıtmak için vahşi doğada istismar edilen iki sıfır gün kusurunu gidermek amacıyla iOS, iPadOS, macOS ve watchOS için acil güvenlik güncellemeleri yayınladı.
Sorunlar aşağıda açıklanmaktadır:
- CVE-2023-41061 – Cüzdan’da, kötü amaçlarla oluşturulmuş bir ek işlenirken rastgele kod yürütülmesine neden olabilecek bir doğrulama sorunu.
- CVE-2023-41064 – Görüntü G/Ç bileşeninde, kötü amaçla oluşturulmuş bir görüntüyü işlerken rastgele kod yürütülmesine neden olabilecek bir arabellek taşması sorunu.
CVE-2023-41064, Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab tarafından bulunurken, CVE-2023-41061, Citizen Lab’ın “yardımıyla” Apple tarafından dahili olarak keşfedildi.
Güncellemeler aşağıdaki cihazlar ve işletim sistemleri için mevcuttur:
Citizen Lab, ayrı bir uyarıda, Pegasus’u iOS 16.6 çalıştıran tam yamalı iPhone’lara dağıtmak için BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak ikiz kusurların silah haline getirildiğini ortaya çıkardı.
Disiplinlerarası laboratuvar, “Kötüye kullanım zinciri, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitedeydi” dedi. “Bu istismar, saldırganın iMessage hesabından kurbana gönderilen kötü amaçlı görüntüleri içeren PassKit eklerini içeriyordu.”
Eksikliklere ilişkin ek teknik özellikler, aktif kullanım nedeniyle saklı tutulmuştur. Bununla birlikte, istismarın sıfır tıklama saldırılarını azaltmak için Apple tarafından kurulan BlastDoor sanal alan çerçevesini atladığı söyleniyor.
Citizen Lab, “Bu son bulgu, sivil toplumun son derece karmaşık istismarlar ve paralı casus yazılımlar tarafından hedef alındığını bir kez daha gösteriyor” dedi ve sorunların geçen hafta Washington DC merkezli bir sivil toplum kuruluşu tarafından kullanılan kimliği belirsiz bir kişinin cihazı incelenirken tespit edildiğini de sözlerine ekledi. uluslararası ofislerle.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Cupertino, yılın başından bu yana yazılımında şu ana kadar toplam 13 sıfır gün hatasını düzeltti. En son güncellemeler, şirketin aktif olarak yararlanılan bir çekirdek hatasına (CVE-2023-38606) yönelik düzeltmeleri göndermesinden bir aydan fazla bir süre sonra geliyor.
Sıfır gün haberleri, Çin hükümetinin, yurt dışı teknolojiye olan bağımlılığı azaltmak amacıyla ve Çin’deki artan gerilimin ortasında, merkezi ve eyalet hükümeti yetkililerinin iş için iPhone’ları ve diğer yabancı markalı cihazları kullanmasını yasaklayan bir yasaklama emri verdiğine inanıldığı bir dönemde geldi. ABD ticaret savaşı.
“Gerçek sebep [for the ban] şudur: siber güvenlik (sürpriz sürpriz),” Zuk Avraham, güvenlik araştırmacısı ve Zimperium’un kurucusu, söz konusu X’teki bir gönderide “iPhone’lar en güvenli telefon olma imajına sahip… ancak gerçekte iPhone’lar basit casusluklara karşı hiç de güvenli değil.”
“Bana inanmayın? Bir bireyin, bir kuruluşun veya bir hükümetin kendisini iPhone’lar yoluyla yapılan siber casusluğa karşı korumak için yapabileceği neredeyse hiçbir şeyin olmadığını anlamak için NSO gibi 0 tıklamayla ticari şirketlerin yıllar içinde elde ettiği rakamlara bakın. “