MWC 2018
2018
Computex
IFA 2018
Apple выпустила обновления безопасности для iOS, iPadOS, macOS и watchOS, закрывающие уязвимости нулевого дня, которые можно было использовать для внедрения вредоносного и шпионского ПО при помощи «злонамеренно подготовленного изображения» или вложения иного формата.
Источник изображения: apple.com
Уязвимости закрыты в обновлениях Apple iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 и watchOS 9.6.2. Для более старых версий — iOS 15 и macOS 12 — обновлений не было.
Уязвимости под номерами CVE-2023-41064 и CVE-2023-41061 обнаружили в Гражданской лаборатории (Citizen Lab) Школы глобальных отношений и государственной политики Мунка при Университете Торонто — им присвоено общее обозначение BLASTPASS. Ошибки ПО представляют довольно серьёзную угрозу: для атаки достаточно просто отправить пользователю через iMessage специальное изображение или вложение иного формата, которое загрузится на устройство жертвы — каких-либо дополнительных действий со стороны пользователя для заражения устройства не требовалось. Поэтому такие уязвимости относятся к классу zero-click.
В Citizen Lab добавили, что уязвимость BLASTPASS «использовалась для установки шпионского ПО Pegasus от NSO Group» — у израильского разработчика целый комплект эксплойтов для атак на устройства под iOS и Android. Для защиты от подобных уязвимостей, даже если они ещё не были обнаружены и исправлены, Apple внедрила в iOS и macOS так называемый «режим блокировки» (Lockdown Mode) — он, в частности, блокирует многие типы вложений и отключает предварительный просмотр ссылок, не позволяя тем самым эксплуатировать подобные ошибки.
Источник:
Проблемы в Intel копились десятилетиями, и инвесторы не верят, что Гелсингер спасёт компанию
34
Энтузиаст перепрограммировал бюджетный SSD в высококлассный SLC-накопитель
34
Intel обвинила в нестабильности флагманских Raptor Lake производителей материнских плат
32
«В этом вся Вethesda»: в Fallout 3 уже 15 лет неправильно светит Cолнце из-за ошибки в одном символе кода
23
Подписаться