Citizen Lab, Apple tarafından bugün acil durum güvenlik güncellemelerinde düzeltilen iki sıfır gün özelliğinin, NSO Group’un Pegasus ticari casus yazılımını tam yama uygulanmış iPhone’lara dağıtmak için sıfır tıklamayla yararlanma zincirinin bir parçası olarak aktif olarak kötüye kullanıldığını söyledi.
CVE-2023-41064 ve CVE-2023-41061 olarak takip edilen iki hata, saldırganların, iOS 16.6 çalıştıran ve Washington DC merkezli bir sivil toplum kuruluşuna ait tam yama uygulanmış bir iPhone’a, kötü amaçlı görüntüler içeren PassKit ekleri aracılığıyla virüs bulaştırmasına olanak sağladı.
“Biz istismar zincirine şu şekilde atıfta bulunuyoruz: PATLAMA GEÇİŞİ. Citizen Lab, istismar zincirinin, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitede olduğunu söyledi.
“Bu istismar, saldırganın iMessage hesabından kurbana gönderilen kötü amaçlı görüntüleri içeren PassKit eklerini içeriyordu.”
Citizen Lab ayrıca Apple müşterilerini cihazlarını derhal güncellemeye çağırdı ve kimlikleri veya meslekleri nedeniyle hedefli saldırı riski taşıyanları Kilitleme Modu’nu etkinleştirmeye teşvik etti.
Apple ve Citizen Lab güvenlik araştırmacıları, Görüntü G/Ç ve Cüzdan çerçevelerindeki iki sıfır günü keşfetti.
CVE-2023-41064, kötü amaçlarla hazırlanmış görüntüler işlenirken tetiklenen bir arabellek taşmasıdır; CVE-2023-41061 ise kötü amaçlı ekler aracılığıyla yararlanılabilen bir doğrulama sorunudur.
Her ikisi de tehdit aktörlerinin yama yapılmamış iPhone ve iPad cihazlarında rastgele kod yürütmesine olanak tanıyor.
Apple, iyileştirilmiş mantık ve bellek kullanımıyla macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 ve watchOS 9.6.2’deki kusurları giderdi.
Etkilenen cihazların listesi şunları içerir:
- iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
- macOS Ventura çalıştıran Mac’ler
- Apple Watch Series 4 ve sonraki modeller
Apple, yılın başından bu yana iOS, macOS, iPadOS ve watchOS çalıştıran cihazları hedeflemek için istismar edilen toplam 13 sıfır günü düzeltti; bunlara aşağıdakiler dahildir: