Уразливості нульового дня в iOS та macOS заражають системи без участі користувача

Оновлюйте пристрої доки і до вас не дісталися.

У iOS та macOS знайшли вразливості нульового дня, які дозволяють зловмисникам встановлювати шкідливе програмне забезпечення без будь-якої участі користувача.

Вони відомі як CVE-2023-41064 та CVE-2023-41061. Спеціалісти з лабораторії Citizen Lab, що їх виявили, при Університеті Торонто (Канада) присвоїли їм загальну назву BLASTPASS.

Зловмисники можуть скомпрометувати пристрій, просто завантаживши шкідливе зображення або вкладення. Зазвичай це відбувається через Safari, iMessage і WhatsApp. Хакери використовують цю можливість для встановлення шпигунських програм, зокрема Pegasus від NSO Group.

Але недовго музика грала: Apple вже випустила оновлення безпеки для всіх своїх операційних систем, включно з iPadOS і watchOS. І рекомендує користувачам не затягувати з їхнім завантаженням, оскільки BLASTPASS активно використовуються.

Для додаткового зниження ризику можна увімкнути на своїх пристроях режим Lockdown – він блокує певні типи вкладень і відключає попередній перегляд посилань. Експерти зазначають, що це ефективно запобігає подібним атакам.