A Apple lançou atualizações de segurança para iOS, iPadOS, macOS e watchOS para solucionar vulnerabilidades de dia zero que podem ser usadas para introduzir malware e spyware por meio de uma “imagem criada maliciosamente” ou outro formato de anexo.
Fonte da imagem: apple.com
As vulnerabilidades foram corrigidas nas atualizações Apple iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 e watchOS 9.6.2. Para versões mais antigas – iOS 15 e macOS 12 – não houve atualizações.
Vulnerabilidades sob os números CVE-2023-41064 e CVE-2023-41061 foram descobertas no Citizen Lab (Laboratório Cidadão) da Escola Munch de Assuntos Globais e Políticas Públicas da Universidade de Toronto – receberam a designação geral BLASTPASS. Os erros de software representam uma ameaça bastante séria: para um ataque, basta enviar uma imagem especial ou um anexo de formato diferente ao usuário via iMessage, que será baixado para o dispositivo da vítima – nenhuma ação adicional foi necessária no parte do usuário para infectar o dispositivo. Portanto, tais vulnerabilidades pertencem à classe de clique zero.
Citizen Lab acrescentou que a vulnerabilidade BLASTPASS “foi usada para instalar o spyware Pegasus do Grupo NSO” – um desenvolvedor israelense tem todo um conjunto de explorações para atacar dispositivos iOS e Android. Para se proteger contra tais vulnerabilidades, mesmo que ainda não tenham sido descobertas e corrigidas, a Apple implementou o chamado “Modo Lockdown” no iOS e macOS – ele, em particular, bloqueia muitos tipos de anexos e desativa visualizações de links, evitando assim explorar tais erros.