Эксперты «Лаборатории Касперского» обнаружили критическую уязвимость в процессорах iPhone, получившую обозначение CVE-2023-38606. Эта уязвимость была актуальна для всех версий iOS до 16.6 и представляла собой неиспользуемую в прошивке аппаратную функцию, предположительно предназначенную для тестирования или отладки инженерами Apple.
Уязвимость CVE-2023-38606 использовалась злоумышленниками в рамках шпионской кампании «Операция Триангуляция»
Атакующие сначала отправляли жертве скрытое сообщение в iMessage с эксплойтом типа zero-click во вложении, после чего получали возможность исполнять код и повышать привилегии с помощью этой уязвимости. Таким образом, хакеры могли обходить аппаратные средства защиты чипов Apple и манипулировать защищенными областями памяти, получая в итоге полный контроль над зараженным устройством.
После уведомления от «Лаборатории Касперского», Apple официально выпустила обновления безопасности, которые устранили четыре уязвимости нулевого дня, обнаруженные исследователями. Эти обновления затронули широкий спектр продуктов Apple, включая iPhone, iPod, iPad, устройства на macOS, Apple TV и Apple Watch.
Для защиты от подобных целевых атак эксперты рекомендуют регулярно обновлять операционную систему, приложения и антивирусное программное обеспечение, а также проявлять осторожность при работе с электронными сообщениями и звонками, запрашивающими конфиденциальную информацию.
Угрозы безопасности
• Поддельный сайт Claude AI распространяет новый Windows-бэкдор Beagle
• Хакеры внедрили бэкдор в установщики DAEMON Tools через атаку на цепочку поставок
• Bitwarden CLI в npm скомпрометирован: вредоносный пакет крал учетные данные разработчиков
• Mirai атакует устаревшие роутеры D-Link через критическую RCE-уязвимость
• Apple срочно закрыла уязвимость в iPhone – она позволяла восстанавливать удалённые сообщения Signal
• OpenAI отозвала сертификат приложений ChatGPT, Codex и Atlas для macOS – требуется обновление