Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
Apple в четверг выпустила экстренные обновления безопасности для iOS, iPadOS, macOS и watchOS, чтобы устранить две ошибки нулевого дня, которые были использованы в дикой природе для доставки шпионского ПО NSO группы Pegasus mercenary.
Проблемы описаны ниже -
Обновления доступны для следующих устройств и операционных систем -
"Цепочка эксплойтов была способна скомпрометировать iPhone под управлением последней версии iOS (16.6) без какого-либо взаимодействия со стороны жертвы", - сказали в междисциплинарной лаборатории. "Эксплойт включал вложения PassKit, содержащие вредоносные изображения, отправленные с учетной записи iMessage злоумышленника жертве".
Дополнительные технические подробности о недостатках были утаены в свете активной эксплуатации. Тем не менее, эксплойт, как утверждается, обходит платформу BlastDoor sandbox, созданную Apple для смягчения атак с нулевым щелчком мыши.
"Эта последняя находка еще раз показывает, что гражданское общество становится мишенью для высокоразвитых эксплойтов и корыстных шпионских программ", - заявили в Citizen Lab, добавив, что проблемы были обнаружены на прошлой неделе при проверке устройства неизвестного лица, нанятого базирующейся в Вашингтоне организацией гражданского общества с международными отделениями.
С начала года в Купертино исправили в общей сложности 13 ошибок нулевого дня в своем программном обеспечении. Последние обновления также поступают более чем через месяц после того, как компания отправила исправления для активно используемой ошибки ядра (CVE-2023-38606).
Новости о нулевых днях поступают, когда китайское правительство, как полагают, распорядилось о запрете запрещающем должностным лицам центрального правительства и правительств штатов использовать iPhone и другие устройства иностранных брендов для работы в попытке уменьшить зависимость от зарубежных технологий и на фоне эскалации китайско-американской торговой войны.
"Настоящая причина [запрета] заключается в кибербезопасности (неожиданный сюрприз)", - сказал Зук Авраам, исследователь безопасности и основатель Zimperium, в сообщении на X (ранее Twitter). "iPhone имеют представление о том, что это самый безопасный телефон... но на самом деле iPhone совсем не защищен от простого шпионажа".
"Не верите мне? Просто посмотрите на количество кликов в 0 кликов, которые коммерческие компании, такие как NSO, имели за эти годы, чтобы понять, что человек, организация или правительство почти ничего не могут сделать, чтобы защитить себя от кибершпионажа с помощью iPhone".
Проблемы описаны ниже -
- CVE-2023-41061 - Проблема с проверкой в Wallet, которая может привести к выполнению произвольного кода при обработке вредоносно созданного вложения.
- CVE-2023-41064 - Проблема с переполнением буфера в компоненте ввода-вывода изображения, которая может привести к выполнению произвольного кода при обработке вредоносно созданного изображения.
Обновления доступны для следующих устройств и операционных систем -
- iOS 16.6.1 и iPadOS 16.6.1 - iPhone 8 и более поздних версий, iPad Pro (все модели), iPad Air 3-го поколения и более поздних версий, iPad 5-го поколения и более поздних версий и iPad mini 5-го поколения и более поздних версий
- macOS Ventura 13.5.2 - устройства macOS под управлением macOS Ventura
- watchOS 9.6.2 - Apple Watch Series 4 и более поздние версии
"Цепочка эксплойтов была способна скомпрометировать iPhone под управлением последней версии iOS (16.6) без какого-либо взаимодействия со стороны жертвы", - сказали в междисциплинарной лаборатории. "Эксплойт включал вложения PassKit, содержащие вредоносные изображения, отправленные с учетной записи iMessage злоумышленника жертве".
Дополнительные технические подробности о недостатках были утаены в свете активной эксплуатации. Тем не менее, эксплойт, как утверждается, обходит платформу BlastDoor sandbox, созданную Apple для смягчения атак с нулевым щелчком мыши.
"Эта последняя находка еще раз показывает, что гражданское общество становится мишенью для высокоразвитых эксплойтов и корыстных шпионских программ", - заявили в Citizen Lab, добавив, что проблемы были обнаружены на прошлой неделе при проверке устройства неизвестного лица, нанятого базирующейся в Вашингтоне организацией гражданского общества с международными отделениями.
С начала года в Купертино исправили в общей сложности 13 ошибок нулевого дня в своем программном обеспечении. Последние обновления также поступают более чем через месяц после того, как компания отправила исправления для активно используемой ошибки ядра (CVE-2023-38606).
Новости о нулевых днях поступают, когда китайское правительство, как полагают, распорядилось о запрете запрещающем должностным лицам центрального правительства и правительств штатов использовать iPhone и другие устройства иностранных брендов для работы в попытке уменьшить зависимость от зарубежных технологий и на фоне эскалации китайско-американской торговой войны.
"Настоящая причина [запрета] заключается в кибербезопасности (неожиданный сюрприз)", - сказал Зук Авраам, исследователь безопасности и основатель Zimperium, в сообщении на X (ранее Twitter). "iPhone имеют представление о том, что это самый безопасный телефон... но на самом деле iPhone совсем не защищен от простого шпионажа".
"Не верите мне? Просто посмотрите на количество кликов в 0 кликов, которые коммерческие компании, такие как NSO, имели за эти годы, чтобы понять, что человек, организация или правительство почти ничего не могут сделать, чтобы защитить себя от кибершпионажа с помощью iPhone".
