رولا السبعاوي
آبل تسارع إلى تصحيح عيوب تم استغلالها في برنامج التجسس “بيغاسوس” على أجهزتها
أصدرت آبل يوم الخميس تحديثات أمنية طارئة لأنظمة iOS وiPadOS وmacOS وwatchOS لمعالجة عيبين تم استغلالهما لصالح برنامج التجسس “بيغاسوس” .
وتم وصف المشكلات على النحو التالي:
- CVE-2023-41061 – مشكلة تتعلق بالتحقق من الصحة في Wallet قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند التعامل مع مرفق تم إنشاؤه بشكل ضار.
- CVE-2023-41064 – مشكلة تجاوز سعة المخزن المؤقت في مكون إدخال/إخراج الصورة والتي قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند معالجة صورة تم إنشاؤها بشكل ضار.
Exploit patched in iOS 16.6.1 update delivered Pegasus spyware https://t.co/Bs77jDLq4c #Apple
— AppleInsider (@appleinsider) September 8, 2023
بينما تم العثور على CVE-2023-41064 بواسطة Citizen Lab في كلية Munk بجامعة تورنتو، تم اكتشاف CVE-2023-41061 داخلياً بواسطة آبل، “بمساعدة” من Citizen Lab.
🚨 Urgent Spyware Alert!
Apple patched 2 new zero-day vulnerabilities in #iOS, iPadOS & #macOS devices, exploited in a zero-click iMessage exploit chain called BLASTPASS to deploy #Pegasus spyware.
Read details & PATCH your devices ASAP: https://t.co/HWUYnmoCMK#cybersecurity
— The Hacker News (@TheHackersNews) September 8, 2023
تتوفر التحديثات للأجهزة وأنظمة التشغيل التالية:
- iOS 16.6.1 وiPadOS 16.6.1 – iPhone 8 والإصدارات الأحدث، وiPad Pro (جميع الموديلات)، وiPad Air الجيل الثالث والأحدث، وiPad الجيل الخامس والأحدث، وiPad mini الجيل الخامس والأحدث
- macOS Ventura 13.5.2 – أجهزة macOS التي تعمل بنظام macOS Ventura
- watchOS 9.6.2 – Apple Watch Series 4 والإصدارات الأحدث
NEW: @Apple released security updates that patch two zero-day exploits used against a member of a civil society organization in Washington D.C.https://t.co/80QiIGat4L
— TechCrunch (@TechCrunch) September 7, 2023
وفي تنبيه منفصل، كشف Citizen Lab أنه تم استغلال الثغرات المزدوجة كسلاح كجزء من سلسلة “استغلال iMessage بدون نقرة” تسمى BLASTPASS لنشر “بيغاسوس” على أجهزة iPhone المصححة بالكامل والتي تعمل بنظام iOS 16.6.
وقال المختبر متعدد التخصصات: “كانت سلسلة الاستغلال قادرة على اختراق أجهزة iPhone التي تعمل بأحدث إصدار من iOS (16.6) دون أي تفاعل من الضحية” مضيفاً: “تضمن الاستغلال مرفقات PassKit التي تحتوي على صور ضارة مرسلة من حساب iMessage للمهاجم إلى الضحية.”
تم حجب تفاصيل فنية إضافية حول أوجه القصور في ضوء الاستغلال النشط. ومع ذلك، يقال إن الاستغلال يتجاوز إطار عمل BlastDoor sandbox الذي أنشأته الشركة للتخفيف من هجمات النقر الصفري.