Apple ha rilasciato un aggiornamento di sicurezza per iOS, iPadOS, macOS e watchOS per risolvere delle vulnerabilità di sicurezza zero-day attivamente sfruttate. Queste vulnerabilità potevano essere utilizzate per installare malware attraverso una “immagine” o allegato “appositamente creato”. Gli aggiornamenti, denominati iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 e watchOS 9.6.2, risolvono questi problemi su tutte le piattaforme Apple, ma al momento non sono stati rilasciati aggiornamenti per versioni più vecchie come iOS 15 o macOS 12.
Le vulnerabilità CVE-2023-41064 e CVE-2023-41061 sono state segnalate dal Citizen Lab presso la Munk School of Global Affairs & Public Policy dell’Università di Toronto e sono state soprannominate “BLASTPASS”. Il Citizen Lab sostiene che queste vulnerabilità sono gravi perché possono essere sfruttate semplicemente caricando un’immagine o un allegato, una situazione comune in applicazioni come Safari, Messaggi, WhatsApp e altre app di terze parti. Queste vulnerabilità sono anche conosciute come “zero-click” o “clickless”.
Il Citizen Lab ha anche affermato che la vulnerabilità BLASTPASS veniva utilizzata per distribuire lo spyware Pegasus dell’NSO Group, l’ultimo di una lunga serie di exploit simili utilizzati per infettare dispositivi iOS e Android, anche aggiornati. Gli utenti preoccupati per questo tipo di vulnerabilità possono mitigarle attivando la Modalità Lockdown sui loro dispositivi iOS e macOS. Questa modalità blocca molti tipi di allegati e disabilita le anteprime dei link, i vettori di attacco utilizzati dagli aggressori per sfruttare queste vulnerabilità “clickless”. Il Citizen Lab ha dichiarato: “Crediamo, e il team di Sicurezza e Architettura di Apple ci ha confermato, che la Modalità Lockdown blocca questo particolare attacco”.
Lascia un commento