Apple a corrigé deux vulnérabilités zero day exploitées pour diffuser le logiciel espion Pegasus de NSO Group.
« La chaîne d’exploitation était capable de compromettre les iPhones fonctionnant avec la dernière version d’iOS sans aucune interaction de la part de la victime », a déclaré Citizen Lab.
CVE-2023-41061 est un problème de validation dans le Wallet d’Apple, où les utilisateurs peuvent stocker des cartes de paiement, des pièces d’identité, des billets d’événements, des billets de voyage, etc.
La CVE-2023-41064 a été signalée par le Citizen Lab de la Munk School de l’université de Toronto, tandis que la CVE-2023-41061 a été découverte par Apple avec leur aide, probablement au moment où ils validaient l’existence de la CVE-2023-41064.
La chaîne d’exploitation – baptisée BLASTPASS par Citizen Lab – a été détectée lors de l’analyse de l’appareil d’une personne employée par une organisation de la société civile basée à Washington DC et disposant de bureaux internationaux.
Une autre bonne idée pour les utilisateurs des dernières versions des systèmes d’exploitation d’Apple est d’activer la fonction Apple Rapid Security Response, qui installe automatiquement les correctifs de sécurité dès qu’ils sont disponibles.