Корпорация Apple выпустила накануне экстренное обновление ПО, устраняющее две уязвимости нулевого дня, которые были выявлены в ее продуктах. Уязвимость CVE-2023-41064 была обнаружена специалистами канадской компании Citizen Lab. Она является уязвимостью переполнения буфера при обработке специально созданных злоумышленниками вредоносных изображений и может повлечь за собой дистанционное исполнение произвольного кода. Представители Citizen Lab уведомили Apple о проблеме, и при более глубоком ее изучении инженеры компании выявили еще одну уязвимость, связанную с первой. Она получила идентификатор CVE-2023-41061 и связана со сбоем процесса проверки, который может использоваться вредоносными приложениями.

Неприятная новость состоит в том, что цепочка этих уязвимостей начала эксплуатироваться в реальных атаках до того, как они были обнаружены. Исследователи Citizen Lab сообщают о подтвержденном случае атаки на устройство представителя общественной организации в Вашингтоне. В результате эксплуатации уязвимостей на его iPhone под управлением iOS 16.6 со всеми установленными обновлениями было загружено печально известное шпионское ПО Pegasus израильской компании NSO Group. Причем уязвимости открывали возможность осуществления атаки с нулевым кликом (zero-click). Под этим термином понимается атака, позволяющая получить доступ к устройству пользователя без каких-либо действий с его стороны. В данном случае организатору оказалось достаточно отправить на устройство жертвы сообщение в iMessage со вложенным вредоносным изображением.

Уязвимости затрагивают широкий спектр устройств от Apple: смартфоны iPhone 8 и более поздних версий, все модели iPad Pro, iPad Air 3 и более поздних версий, iPad 5 и более поздних версий, iPad mini 5 и более поздних версий, а также компьютеры Mac под управлением macOS Ventura и часы Apple Watch Series 4 и более поздних версий. Всем пользователям настоятельно рекомендуется незамедлительно обновить ПО своих устройств.