攻击者利用苹果零点击漏洞部署Pegasus间谍软件

日前有研究人员表示，苹果在紧急安全更新中修复的两个零日漏洞已经监测到被攻击者滥用，漏洞被用作零点击漏洞利用链的一部分，将 NSO Group 的 Pegasus 商业间谍软件部署到了打过补丁的 iPhone 上。这两个漏洞分别为 CVE-2023-41064 和 CVE-2023-41061，允许攻击者通过包含恶意图像的 PassKit 附件感染运行 iOS 16.6 的 iPhone。研究人员将该漏洞利用链称为 BLASTPASS。该漏洞利用链能够危害运行最新版本 iOS (16.6) 的 iPhone，而无需受害者进行任何交互。