Если у вас есть iPhone, iPad, MacBook или Apple Watch, вы захотите обновить свое устройство как можно скорее. Даже если вы обычно избегаете обновлений, этот патч нельзя пропустить, поскольку он исправляет две серьезные ошибки.
Apple выпустила новое обновление, которое устраняет уязвимости нулевого дня CVE-2023-41064 и CVE-2023-41061, сообщает Ars Technica. Уязвимости нулевого дня — это недостатки безопасности, которые были обнаружены до того, как о них узнали исследователи безопасности или разработчики программного обеспечения, что делает их более опасными, чем другие угрозы.
Обновления включают iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 и watchOS 9.6.2. К сожалению, для более старых версий ОС, похоже, не было выпущено никаких патчей.
CVE-2023-41064 и CVE-2023-41061, более известные как BLASTPASS, позволяют с помощью изображений и вложений устанавливать вредоносное программное обеспечение на ваше устройство. Например, загрузка вредоносного изображения с WhatsApp, iMessage или Safari может спровоцировать установку вредоносного программного обеспечения. Этот метод кибератаки известен как стеганография, или сокрытие файла в другом файле. Он работает путем вставки вредоносного кода в скрытые данные, добавляемые к изображению.
Впервые о пробелах в безопасности сообщила лаборатория Citizen Lab при Школе глобальных отношений и публичной политики Мунка в Университете Торонто. Citizen Lab утверждает, что BLASTPASS «использовался для доставки шпионского программного обеспечения наемников Pegasus от NSO Group».
