Photo by Steve Zheng on Unsplash

蘋果在周四（9/7）緊急更新了macOS、iOS、iPadOS與watchOS，以修補已遭駭客用來植入Pegasus間諜程式的兩個零時差漏洞，相關漏洞是由加拿大的公民實驗室（Citizen Lab）甫於上周發現，亦於同一天公布了攻擊場景。

根據公民實驗室的說明，他們上周檢查了華盛頓特區一個擁有許多國際據點的公民社會組織（CSO）的員工裝置時，發現了一個不需使用者點擊的漏洞，已被用來遞送由NSO Group所開發的Pegasus間諜程式，該實驗室將相關的漏洞組合稱為BLASTPASS，得以在完全不需使用者互動的狀態下，入侵執行最新版iOS 16.6的iPhone。

而駭客的攻擊手法則是透過iMessage，傳送了內含惡意圖像的PassKit附加檔案予受害者。PassKit為蘋果所設計的框架，可用來管理各種數位票券，已整合至蘋果的Wallet程式中。

在蘋果所釋出的更新版作業系統中，macOS Ventura 13.5.2修補了涉及ImageIO的CVE-2023-41064漏洞，watchOS 9.6.2修補了涉及錢包（Wallet）的CVE-2023-41061漏洞，而iOS 16.6.1與iPadOS 16.6.1則同時修補了上述兩個安全漏洞。

其中，CVE-2023-41064為一緩衝區溢位漏洞，在處理惡意圖像時可能會導致任意程式執行，CVE-2023-41061則是個驗證漏洞，可藉由傳送惡意附加檔案執行任意程式。

公民實驗室督促蘋果用戶都應立即更新裝置，同時也鼓勵那些因為身分或所從事的事務面臨更多風險的蘋果用戶啟用封閉模式（Lockdown Mode）。該模式是蘋果替極少數用戶所設計的極端保護措施，以減少裝置潛在的攻擊表面；它有許多的使用限制，例如會封鎖大多數的訊息附件、特定的網頁技術、不曾主動聯繫的FaceTime來電及共享相簿等，在該模式下亦無法連結其它裝置。