苹果在周四(9/7)紧急更新了macOS、iOS、iPadOS与watchOS,以修补已遭黑客用来植入Pegasus间谍程序的两个零时差漏洞,相关漏洞是由加拿大的公民实验室(Citizen Lab)甫于上周发现,亦于同一天公布了攻击场景。
根据实验室的说明,他们上周检查了华盛顿特区一个拥有许多国际据点的公民社会组织(CSO)的员工装置时,发现了一个不需用户点击的漏洞,已被用来递送由NSO Group所开发的Pegasus程序,该实验室将相关的漏洞组合称为BLASTPASS,得以在完全不需用户互动的状态下,入侵执行最新版iOS 16.6的iPhone。
而黑客的攻击手法则是通过iMessage,传送了内含恶意图像的PassKit附加文件予受害者。 PassKit为苹果所设计的框架,可用来管理各种数字票券,已整合至苹果的Wallet程序中。
在苹果所释出的更新版操作系统中,macOS Ventura 13.5.2修补了涉及ImageIO的CVE-2023-41064漏洞,watchOS 9.6.2修补了涉及钱包(Wallet)的CVE-2023-41061漏洞,而iOS 16.6.1与iPadOS 16.6.1则同时修补了上述两个安全漏洞。
其中,CVE-2023-41064为一缓冲区溢位漏洞,在处理恶意图像时可能会导致任意程序执行,CVE-2023-41061则是个验证漏洞,可借由传送恶意附加文件执行任意程序。
公民实验室督促苹果用户都应立即更新装置,同时也鼓励那些因为身分或所从事的事务面临更多风险的苹果用户启用封闭模式(Lockdown Mode)。 该模式是苹果替极少数用户所设计的极端保护措施,以减少设备潜在的攻击表面; 它有许多的使用限制,例如会封锁大多数的消息附件、特定的网页技术、不曾主动联系的FaceTime来电及共享相册等,在该模式下亦无法连结其它装置。
