A Apple implementa correção de zero-day do BLASTPASS em iPhones mais antigos
13 de Setembro de 2023

A Apple lançou atualizações de segurança para iPhones mais antigos para corrigir uma vulnerabilidade zero-day rastreada como CVE-2023-41064 , que estava sendo ativamente explorada para infectar dispositivos iOS com o spyware Pegasus da NSO.

CVE-2023-31064 é uma falha de execução de código remoto que é explorada ao enviar imagens maliciosamente criadas via iMessage.

Conforme relatado pelo Citizen Lab no início deste mês, CVE-2023-31064 e uma segunda falha rastreada como CVE-2023-41061 foram usadas como uma cadeia de ataque zero-click, apelidada de BLASTPASS, que envolve o envio de imagens especialmente criadas em anexos do iMessage PassKit para instalar spyware.

Quando os telefones recebiam e processavam o anexo, instalavam o spyware Pegasus da NSO, mesmo em dispositivos iOS completamente atualizados (16.6).

A Apple lançou correções para as duas falhas com o macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2, e a CISA publicou um alerta exigindo que as agências federais corrijam até 2 de outubro de 2023.

As atualizações de segurança agora foram portadas para o iOS 15.7.9 e iPadOS 15.7.9, macOS Monterey 12.6.9 e macOS Big Sur 11.7.10 para prevenir o uso desta cadeia de ataque nesses dispositivos.

Vale a pena notar que o suporte para o iOS 15 terminou um ano atrás, em setembro de 2022, enquanto o fornecedor ainda oferece suporte para Monterey e Big Sur.

As atualizações de segurança cobrem todos os modelos do iPhone 6s, o iPhone 7, a primeira geração do iPhone SE, o iPad Air 2, a quarta geração do iPad mini e a sétima geração do iPod touch.

Embora nenhum ataque tenha sido observado em computadores macOS, a falha é teoricamente explorável também lá, então a aplicação das atualizações de segurança é altamente recomendada.

Desde o início do ano, a Apple corrigiu um total de 13 zeros-dias explorados para atingir dispositivos rodando iOS, macOS, iPadOS e watchOS, incluindo:

Dois zeros-dia ( CVE-2023-37450 e CVE-2023-38606 ) em julho
Três zeros-dia ( CVE-2023-32434 , CVE-2023-32435 e CVE-2023-32439 ) em junho
Mais três zeros-dia ( CVE-2023-32409 , CVE-2023-28204 e CVE-2023-32373 ) em maio
Dois zeros-dia ( CVE-2023-28206 e CVE-2023-28205 ) em abril
Um zero-dia do WebKit ( CVE-2023-23529 ) em fevereiro.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...