Para cobrir a maior parte das versões de seu smartphone, a Apple lançou a correção do BLASTPASS para iPhones mais antigos.
A Apple lançou atualizações de segurança para iPhones mais antigos para corrigir uma vulnerabilidade zero-day rastreada como CVE-2023-41064 que foi ativamente explorada para infectar dispositivos iOS com o spyware Pegasus da NSO.
Apple lançou a correção do BLASTPASS para iPhones mais antigos
CVE-2023-31064 é uma falha de execução remota de código que é explorada através do envio de imagens criadas com códigos maliciosos via iMessage.
Conforme relatado pelo Citizen Lab no início deste mês, CVE-2023-31064 e uma segunda falha rastreada como CVE-2023-41061 foram usadas como uma cadeia de ataque de clique zero chamada BLASTPASS, que envolve o envio de imagens especialmente criadas em anexos do iMessage PassKit para instalar spyware.
Quando os telefones receberam e processaram o anexo, instalaram o spyware Pegasus da NSO, mesmo em dispositivos iOS (16.6) totalmente corrigidos.
A Apple lançou correções para as duas falhas no macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2, e a CISA publicou um alerta exigindo que as agências federais corrigissem até 2 de outubro de 2023.
As atualizações de segurança agora foram transferidas para iOS 15.7.9 e iPadOS 15.7.9 , macOS Monterey 12.6.9 e macOS Big Sur 11.7.10 para evitar o uso dessa cadeia de ataque nesses dispositivos.
É importante notar que o suporte para iOS 15 terminou há um ano, em setembro de 2022, enquanto o fornecedor ainda oferece suporte para Monterey e Big Sur.
As atualizações de segurança abrangem todos os modelos do iPhone 6s, o iPhone 7, a primeira geração do iPhone SE, o iPad Air 2, a quarta geração do iPad mini e a sétima geração do iPod touch.
Embora nenhum ataque tenha sido observado em computadores macOS, a falha teoricamente também pode ser explorada nesses computadores, portanto, é altamente recomendável aplicar as atualizações de segurança.
Desde o início do ano, a Apple corrigiu um total de 13 explorações de zero-day para atingir dispositivos que executam iOS, macOS, iPadOS e watchOS, incluindo:
- Dois zero-day (CVE-2023-37450 e CVE-2023-38606) em julho
- Três zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- Mais três zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- Dois zero-day (CVE-2023-28206 e CVE-2023-28205) em abril
- Um WebKit zero-day (CVE-2023-23529) em fevereiro