Apple усунула вразливості, на які націлилася NSO Group

Компанія Apple випустила термінові оновлення безпеки для своїх операційних систем після виявлення двох нових критичних вразливостей, які, за словами дослідників, були використані ізраїльським виробником шпигунського програмного забезпечення NSO Group для встановлення шпигунських програм на пристрої.

 

NSO Group зі своїм шпигунським програмним забезпеченням Pegasus є однією з найбільш суперечливих компаній у сфері кібербезпеки останнього часу. Pegasus - це програмне забезпечення, яке використовує "нульовий день" або невиправлені експлойти для зараження мобільних пристроїв.

 

Нещодавні "нульові дні" в продуктах Apple, які використовує NSO, були виявлені Citizen Lab у квітні, і саме Citizen Lab виявила одну з двох нових вразливостей, а Apple - іншу.

 

Перша уразливість, виявлена Citizen Lab і відстежена як CVE-2023-41064, є переповненням буфера у фреймворку Image I/O. Друга уразливість, що відслідковується як CVE-2023-41061, є проблемою валідації у фреймворку Wallet.

 

У недавньому звіті Citizen Lab повідомила, що виявила уразливість у фреймворку Image I/O, яку назвала "BLASTPASS", під час перевірки пристрою особи, яка працює в громадській організації, що базується у Вашингтоні, округ Колумбія, та має міжнародні офіси. Було виявлено, що вразливість нульового дня була використана для встановлення шпигунського програмного забезпечення Pegasus від NSO Group.

 

Apple усунула обидві вразливості "нульового дня" в останніх версіях низки продуктів - iOS та iPadOS 16.6.1, macOS 13.5.2 та watchOS 9.6.2. Окрім Mac Ventura, постраждали iPhone 8 і новіші моделі, всі моделі iPad Pro, iPad Air 3-го покоління і новіші, iPad 5-го покоління і новіші, iPad mini 5-го покоління і новіші, а також Apple Watch Series 4 і новіші.

 

"Ця остання знахідка ще раз показує, що громадянське суспільство є мішенню для високотехнологічних експлойтів і шпигунських програм-найманців, - написали в Citizen Lab. - Оновлення від Apple захистить пристрої, що належать звичайним користувачам, компаніям та урядам по всьому світу. Відкриття BLASTPASS підкреслює неймовірну цінність підтримки організацій громадянського суспільства для нашої колективної кібербезпеки".