Güvenlik araştırmacıları, NSO Group’ın Pegasus ticari casus yazılımını tüm yamaları yapılmış Apple cihazlarında dağıtmak için kullanıldığını belirttiği iki sıfırıncı gün açığı(0-Day) tespit etti. Apple, bunlarla ilgili olarak Perşembe günü acil olarak yazılım güncellemesi yayınladı.
Toronto Üniversitesi’nde faaliyet gösteren Citizen Lab, geçtiğimiz hafta Washington DC merkezli uluslararası ofisi olan bir sivil toplum kuruluşunda çalışan bir kişinin cihazını inceledikten sonra NSO Group’un ticari casus yazılımı Pegasus’u dağıtmak için aktif olarak istismar edilen Zero-Click açığı keşfetti.
Araştırmacılar tarafından BLASTPASS olarak adlandırılan bu güvenlik açığı, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümü olan 16.6’yı çalıştıran iPhone’larda ciddi tehlike oluşturabileceği keşfedilmiş. Araştırmacılar, elde edilen bulguları Apple ile paylaşmış ve bu istismar zincirini takip edilebilmesi için CVE-2023-41064 ve CVE-2023-41061 adında iki CVE yayınlanmış.
Apple, CVE-2023-41064 olarak takip edilen güvenlik açığının bir arabellek taşması sorunu olduğu, kötü amaçlarla oluşturulmuş bir görüntünün işlenmesinden dolayı rastgele kod yürütülmesine yol açabileceğini belirtiyor. Bu açığın macOS Ventura 13.5.2, iOS 16.6.1 ve iPadOS 16.6.1’de düzeltildiği belirtiliyor.
CVE-2023-41061 olarak takip edilen diğer güvenlik açığının ise saldırganlar tarafından kötü amaçlı olarak hazırlanmış bir ek gönderildiği takdirde diğer açıkta olduğu gibi rastgele kod yürütülmesine yol açabileceği belirtiyor. Bu açığında watchOS 9.6.2, iOS 16.6.1 ve iPadOS 16.6.1’de düzeltildiği belirtiliyor.
Citizen Lab ayrıca Apple kullanıcılarının acil olarak bu güvenlik güncelleştirmesini yüklemesi gerektiğini ve kimlikleri yada meslekleri nedeniyle potansiyel kurban olma riski taşıyan kişileri Kilitleme Modu’nu etkinleştirmeleri yönünde teşvik ediyor. Araştırmacılar, Kilitleme Modunun bu özel saldırıyı engellediğine inandıklarını ve Apple’ın Güvenlik Mühendisliği ve Mimarisi ekibininde kendilerini doğruladığını belirtti.
Apple, bu iki güvenlik açığınında istismar edilmiş olabileceğine dair bir rapordan haberdar olduğunu belirtiyor. Son iki sıfırıncı gün açığı ile birlikte şirket, sadece 2023 yılında 13 tane sıfırıncı gün açığı ile ilgili güvenlik güncelleştirmesi yayınladı.
