Apple heeft twee kritieke kwetsbaarheden voor iOS en macOS opgelost. Via de kwetsbaarheden was het mogelijk de Pegasus-spyware te installeren op volledig geüpdatete iPhones.
De kwetsbaarheden CVE-2023-41064 en CVE-2023-41061 zijn actief misbruikt voor het installeren van de Pegasus-spyware van het Israëlische bedrijf NSO Group. De kwetsbaarheden doen zich voor in de Image I/O- en Wallet-frameworks in iOS, maar ook in WatchOS en macOS. CVE-2023-41064 is een buffer overflow die wordt geactiveerd wanneer kwaadaardige beelden worden verwerkt. CVE-2023-41061 is een valideringsprobleem dat kan worden misbruikt via kwaadaardige attachments.
BLASTPASS-aanval
Via de kwetsbaarheden waren de spyware-aanvallers in staat een op iOS 16.6 volledig gepatchte iPhone te hacken van een burgerrechtenorganisatie in de VS. De aanval, die de naam BLASTPASS heeft meegekregen, vond plaats via PassKit-attachments die kwaadaardige beelden bevatten.
De besmette kits werden verzonden vanaf een iMessage-account van de aanvallers. Hiervoor was geen enkele interactie met het slachtoffer nodig.
Getroffen Apple OS-versies en devices
Door de kwetsbaarheden getroffen OS-versies zijn iOS 16.6.1, iPadOS 16.6.1 en watchOS 9.6.2. Daarnaast wordt ook macOS Ventura 13.5.2 getroffen.
Devices die risico lopen zijn de iPhone 8 en nieuwer, alle iPad Pro-modellen, de iPad Air 3 en nieuwer, de iPad 5 en nieuwer, de iPad mini 5 en nieuwer en de Apple Watch Series 4 en nieuwere versies.
Gebruikers worden opgeroepen zo snel mogelijk de uitgebrachte patches te installeren. Apple heeft dit jaar al 13 andere security-kwetsbaarheden gepatcht.
Lees ook: Apple voorziet iPhone, iPad en Mac van noodupdate voor WebKit-zeroday