Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) обязало сегодня федеральные агентства устранить уязвимости в системе безопасности, использовавшиеся в рамках цепочки эксплойтов для заражения iPhone шпионским ПО Pegasus от NSO Group.
Это предупреждение было сделано после того, как компания Citizen Lab сообщила, что эти две уязвимости были использованы для компрометации полностью пропатченных iPhone, принадлежащих одной из общественных организаций Вашингтона, с помощью цепочки эксплойтов BLASTPASS, которая работала через вложения PassKit, содержащие вредоносные изображения.
Citizen Lab также предупредила пользователей Apple о необходимости немедленного применения выпущенных в четверг обновлений и призвала людей, подверженных целенаправленным атакам в связи с их личностью или родом деятельности, включить режим Lockdown Mode.
"Apple известно о том, что данная проблема может активно эксплуатироваться", - заявила компания, описывая две уязвимости Image I/O и Wallet, отслеживаемые как CVE-2023-41064 и CVE-2023-41061.
Список затронутых устройств довольно обширен, поскольку ошибки затрагивают как старые, так и новые модели, и включает в себя:
- iPhone 8 и более поздние версии
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее
- компьютеры Mac под управлением macOS Ventura
- Apple Watch Series 4 и более поздние версии
Компания Apple исправила два нулевых дня в macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2 с помощью обработки памяти и улучшения логики. Обе проблемы позволяют злоумышленникам получить возможность выполнения произвольного кода на непропатченных устройствах.
Крайний срок выпуска патчей - 2 октября
В понедельник CISA добавила эти два дефекта безопасности в свой каталог известных эксплуатируемых уязвимостей, отметив их как "частые векторы атак для злоумышленников" и представляющие "значительный риск для федеральных предприятий".
В соответствии с обязательной оперативной директивой (BOD 22-01), опубликованной в ноябре 2022 года, федеральные гражданские органы исполнительной власти США (FCEB) должны устранить все уязвимости, добавленные в каталог KEV CISA, в ограниченные сроки.
После сегодняшнего обновления федеральные агентства должны обеспечить защиту всех уязвимых устройств на базе iOS, iPadOS и macOS в своих сетях от CVE-2023-41064 и CVE-2023-41061 до 2 октября 2023 года.
Хотя BOD 22-01 ориентирован в первую очередь на федеральные агентства США, CISA также настоятельно рекомендует частным компаниям как можно скорее приступить к исправлению этих двух уязвимостей.
С января 2023 года компания Apple устранила в общей сложности 13 "нулевых дней", используемых для атак на устройства под управлением iOS, macOS, iPadOS и watchOS, в том числе:
- две нулевые уязвимости (CVE-2023-37450 и CVE-2023-38606) в июле
- три нулевых дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне
- еще три "нулевых дня" (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае
- два "нулевых дня" (CVE-2023-28206 и CVE-2023-28205) в апреле
- и "нулевой день" для WebKit (CVE-2023-23529) в феврале
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
