Včera kanadský The Citizen Lab zveřejnil závažnou zranitelnost BLASTPASS v operačních systémech Apple iOS, iPadOS, macOS a watchOS. Jde o zneužití obrázků jako přílohy ve zprávě Pass.Kit (odtud název), která slouží k rozesílání například QR kódů. Jde o chyby CVE-2023–41064 a CVE-2023–41061.
Upravený obrázek vede ke spuštění libovolného kódu. Chyba je označena jako zero-click, tedy útok nevyžaduje žádnou spolupráci oběti. Stačí, že se příloha sama zobrazí v aplikaci iMessage, WhatsApp, Safari nebo i jinde. Zranitelnost je aktivně zneužívaná, proto neprodleně aktualizujte.
(zdroj: arstechnica)
ČLÁNKY DO MAILU