蘋果修復用於植入Pegasus間諜軟件的零日漏洞
據發現漏洞的研究人員稱,蘋果公司週四發布的安全更新修補了兩個零日漏洞–即在蘋果公司發現這些漏洞時還未知的黑客技術,其被用於攻擊華盛頓特區的一個民間組織成員。
公民實驗室(Citizen Lab)是一個調查政府惡意軟件的互聯網監督組織,該組織發表了一篇簡短的博客文章,解釋說上週他們發現了一個零點擊漏洞–即黑客的目標無需點擊或點擊任何東西,如附件–就可以用惡意軟件攻擊受害者。研究人員說,該漏洞被用作漏洞利用鏈的一部分,旨在傳播NSO Group 的惡意軟件,即Peg ASUS。
Citizen Lab 寫道:”該漏洞利用鏈能夠入侵運行最新版iOS(16.6)的iPhone,而無需受害者進行任何交互。”
發現漏洞後,研究人員向蘋果公司報告了這一漏洞,蘋果公司於本週四發布了補丁,並感謝Citizen Lab 報告了這一漏洞。
根據Citizen Lab 在博文中所寫的內容,以及蘋果公司也修補了另一個漏洞並將其發現歸功於公司本身的事實,蘋果公司似乎可能是在調查第一個漏洞時發現了第二個漏洞。
蘋果發言人斯科特-拉德克利夫(Scott Radcliffe)在接受采訪時沒有發表評論,而是讓TechCrunch 參閱了安全更新中的說明。
Citizen Lab 稱,它將該漏洞鏈稱為BLASTPASS,因為它涉及PassKit,這是一個允許開發者在其應用程序中包含Apple Pay 的框架。
互聯網監督機構公民實驗室(Citizen Lab)的高級研究員約翰-斯科特-雷爾頓(John Scott-Railton)在Twitter 上寫道:”公民社會再一次充當了全球數十億台設備的網絡安全預警系統。”
公民實驗室建議所有iPhone 用戶更新他們的手機。NSO 沒有立即回應置評請求。