Apple ha rilasciato iOS 16.6.1, iPadOS 16.6.1, watchOS 9.6.2 e macOS 13.5.2 in vista dell’arrivo di iOS 17, iPadOS 17, watchOS 10 e macOS Sonoma. Questi aggiornamenti contengono correzioni per vulnerabilità di sicurezza importanti, inclusi difetti in ImageIO e Wallet.
In particolare, le correzioni affrontano CVE-2023-41064 in ImageIO su macOS e iOS e CVE-2023-41061 in Wallet su iOS e watchOS. Le nuove versioni iOS 16.6.1 e iPadOS presentano il numero di build 20G81, mentre la precedente era 20G75. MacOS Ventura è ora la build 22G91 e watchOS 9.6.3 è 20U90.
Questi aggiornamenti risolvono problemi in cui l’elaborazione di immagini dannose avrebbe potuto permettere l’esecuzione di codice arbitrario su iOS, iPadOS e macOS. Inoltre, è stato migliorato il sistema di convalida per prevenire exploit nell’app Wallet su iOS e watchOS.
Citizen Lab ha segnalato che queste vulnerabilità facevano parte di una catena di exploit chiamata “BLASTPASS,” utilizzata per installare lo spyware Pegasus del NSO Group. Questa vulnerabilità zero-click consentiva agli aggressori di infettare il dispositivo senza l’interazione della vittima tramite un’immagine PassKit (Wallet) inviata tramite iMessage.
Si consiglia di installare immediatamente questi aggiornamenti poiché contengono correzioni di sicurezza vitali. Sono disponibili tramite OTA nelle impostazioni di sistema, richiedono una connessione Wi-Fi e almeno il 50% di carica. Su iPhone e iPad con dati cellulare, è possibile scaricarli anche con la funzione 5G. L’aggiornamento di watchOS 9.6.2 per Apple Watch richiede il caricabatterie e almeno il 50% di carica.
