Apple выпустила обновления безопасности для своих различных операционных систем, включая iOS, iPadOS, macOS и watchOS, для устранения уязвимостей нулевого дня, которые активно использовались злоумышленниками.
Эти уязвимости, известные как CVE-2023-41064 и CVE-2023-41061, были обнаружены лабораторией Citizen Lab при Университете Торонто и получили общее название «BLASTPASS». Они представляют особую опасность, поскольку могут быть использованы без какого-либо взаимодействия с пользователем.
Злоумышленники могут скомпрометировать устройство, просто загрузив вредоносное изображение или вложение, что обычно происходит в таких приложениях, как Safari, iMessage и WhatsApp. Эти уязвимости использовались для доставки шпионских программ, в том числе Pegasus компании NSO Group.
Для дополнительного снижения риска пользователи могут включить на своих устройствах под управлением iOS и macOS режим Lockdown, который блокирует определенные типы вложений и отключает предварительный просмотр ссылок, эффективно предотвращая подобные атаки.