Обновления операционной системы Apple в четверг исправили цепочку эксплойтов, способную скомпрометировать устройства iOS 16.6 с помощью шпионского ПО Pegasus без какого-либо взаимодействия с жертвой.
Эксплойт был обнаружен на iPhone, принадлежащем лицу, работающему в организации гражданского общества в Вашингтоне. Эксплойт использовался для доставки шпионского ПО Pegasus от NSO Group.
Citizen Lab в Торонто заявляет, что эксплойт включает в себя PassKit, содержащий «вредоносные изображения, отправленные жертве из учетной записи iMessage злоумышленника».
Citizen Lab поделилась своими выводами с Apple, которая незамедлительно выпустила CVE-2023-41064 и CVE-2023-41061, связанные с цепочкой эксплойтов. Патч iOS 16.6.1 устраняет брешь в безопасности, и отчет Citizen Lab в четверг подтверждает это.
И Citizen Lab, и рекомендуют владельцам iPhone обновить свои устройства как можно скорее. Пользователи могут загрузить исправление безопасности, открыв приложение «Настройки», нажав «Обновление программного обеспечения» и установив iOS 16.6.1 из меню.
В будущем исследователи безопасности опубликуют более подробное обсуждение цепочки эксплойтов.
