8 September 2023
Samenvatting
Apple heeft noodbeveiligingspatches uitgebracht voor twee 0-day-kwetsbaarheden op zijn apparaten. Actieve exploitatie van deze kwetsbaarheden is geïdentificeerd en gebruikt bij de installatie van Pegasus-spyware.
- CVE-2023-41061 (CVSS niet beschikbaar) is een validatieprobleem in Wallet dat kan leiden tot uitvoering van willekeurige code bij het verwerken van een kwaadwillig vervaardigde bijlage.
- CVE-2023-41064 (CVSS niet beschikbaar) is een bufferoverloopprobleem in de Image I/O-component dat kan leiden tot uitvoering van willekeurige code bij het verwerken van een kwaadwillig vervaardigde afbeelding.
Het Citizen Lab van de University of Toronto Monk School kondigde aan dat de twee kwetsbaarheden zijn bewapend als een zero-click iMessage-exploitketen genaamd BLASTPASS om Pegasus te implementeren.
Dit is de 13e 0-day-kwetsbaarheid die Apple in 2023 heeft opgelost.
Spotit raadt gebruikers en IT-beheerders van alle getroffen apparaten aan om onmiddellijk te upgraden naar de nieuwste versie van het besturingssysteem.
Betrokken producten
- iOS en iPadOS 16.6 en eerder: iPhone 8 en later, iPad Pro (alle modellen), iPad Air 3e generatie en later, iPad 5e generatie en later, en iPad Mini 5e generatie en later.
- macOS 13.5.1 en eerder – macOS-apparaten met macOS Ventura
- watchOS 9.6.1 en eerder – Apple Watch Series 4 en hoger