Citizen Lab berichtet, dass zwei Zero-Day-Schwachstellen, die Apple heute in einem Notfall-Sicherheitsupdate behoben hat, aktiv als Teil einer Kette von Zero-Hit-Exploits, bekannt als BLASTPASS, missbraucht werden, um die kommerzielle Spyware Pegasus der NSO Group auf ungepatchten iPhones einzusetzen.
Die beiden Schwachstellen sind CVE-2023-41064 im Gesang antworten CVE-2023-41061Dies ermöglicht es Angreifern, vollständig gepatchte iPhones mit iOS 16.6, die zivilgesellschaftlichen Organisationen in Washington, D.C. gehören, über PassKit-Anhänge mit bösartigen Bildern zu infizieren.
"Wir nennen die Exploit-Kette BLASTPASS. Die Exploit-Kette ist in der Lage, iPhones mit der neuesten Version von iOS (16.6) ohne jegliche Interaktion des Opfers zu kompromittieren", so Citizen Lab.
"Die Schwachstelle betrifft PassKit-Anhänge, die Informationen aus der Datenbank eines Angreifers enthalten. iMessage Konto sendet bösartige Bilder an das Opfer".
Citizen Lab fordert auch Apple-Kunden auf, ihre Geräte sofort zu aktualisieren, und ermutigt diejenigen, die aufgrund ihrer Identität oder ihres Berufs von gezielten Angriffen bedroht sind, den Lockdown-Modus zu aktivieren.
Sicherheitsforscher von Apple und Citizen Lab haben zwei Zero-Day-Schwachstellen in den Frameworks Image I/O und Wallet entdeckt.
BLASTPASS Exploit
CVE-2023-41064 ist ein Pufferüberlauf, der bei der Verarbeitung eines in böser Absicht erstellten Bildes ausgelöst wird, während CVE-2023-41061 ein Authentifizierungsproblem ist, das über einen bösartigen Anhang ausgenutzt werden kann.
Beide ermöglichen Bedrohungsakteuren die Ausführung von beliebigem Code auf ungepatchten iPhone- und iPad-Geräten.
Apple hat Schwachstellen in macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 und watchOS 9.6.2 mit verbesserter Logik und Speicherbehandlung behoben.
Die Liste der betroffenen Geräte umfasst:
iPhone 8 und neuere Modelle
iPad Pro (alle Modelle), iPad Air 3. Generation und neuer, iPad 5. Generation und neuer und iPad mini 5. Generation und neuer.
Mac Apple Watch Series 4 und neuer mit macOS Ventura
Seit Anfang des Jahres hat Apple insgesamt 13 Zero-Day-Schwachstellen für Geräte mit iOS, macOS, iPadOS und watchOS behoben, darunter:
Zwei Zero-Day-Schwachstellen im Juli (CVE-2023-37450 und CVE-2023-38606)
Drei Zero-Day-Schwachstellen im Juni (CVE-2023-32434, CVE-2023-32435 und CVE-2023-32439)
Im Mai wurden drei neue Zero-Day-Schwachstellen hinzugefügt (CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373).
Zwei Zero-Day-Schwachstellen im April (CVE-2023-28206 und CVE-2023-28205)
und eine weitere WebKit-Zero-Day-Schwachstelle (CVE-2023-23529) im Februar.
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/apple-zero-click-imessage-exploit-html
