7 września Apple wydało dwie awaryjne aktualizacje zabezpieczeń swoich mobilnych systemów operacyjnych – iOS 16.6.1 i iPadOS 16.6.1. Według ekspertów zajmujących się bezpieczeństwem, aplikacja iMessage zawierała lukę typu zero-click używaną do infekowania iPhone’ów oprogramowaniem szpiegującym.
Groźny exploit furtką do urządzeń Apple
Citizen Lab twierdzi, że dwie luki załatane właśnie przez Apple w awaryjnych aktualizacjach zabezpieczeń były aktywnie wykorzystywane w ramach exploitów wymagających zerowego kliknięcia w celu wdrożenia na urządzeniu ofiary komercyjnego oprogramowania szpiegującego Pegasus od NSO Group.
Dwa błędy, oznaczone jako CVE-2023-41064 i CVE-2023-41061, umożliwiły atakującym zainfekowanie w pełni załatanego iPhone’a z systemem iOS 16.6 za pośrednictwem załączników PassKit zawierających złośliwe obrazy.
O powadze sytuacji świadczy fakt, że atakujący byli w stanie złamać zabezpieczenia systemu iOS (16.6) bez jakiejkolwiek interakcji ze strony ofiary.
Citizen Lab zachęca wszystkich użytkowników sprzętu Apple do natychmiastowej aktualizacji swoich urządzeń.
Problem dotyczy wielu urządzeń
Problem obejmuje wszystkie urządzenia iPhone 8 i nowsze, iPada Pro (wszystkie modele), iPada Air 3. generacji i nowsze, iPada 5. generacji i nowsze oraz iPada mini 5. generacji i nowsze. Aktualizacji wymagają też komputery Mac z systemem macOS Ventura oraz zegarki Apple Watch Series 4 i nowsze.
Jak wykonać ręczne uaktualnianie oprogramowania iPhone’a? W dowolnym momencie możesz sprawdzać dostępność uaktualnień i instalować je ręcznie. Przejdź do Ustawień i stuknij w Ogólne > Uaktualnienia.
Źródło: bleepingcomputer, Apple