Apple je izdao hitnu bezbjednosnu zakrpu za ozbiljnu “zero-click” ranjivost u aplikaciji Messages, koja omogućava hakerima da u potpunosti preuzmu kontrolu nad uređajem bez potrebe za bilo kakvom interakcijom korisnika. Ova ranjivost, označena kao CVE-2024-23250, koristi se za slanje posebno izrađenih poruka koje pokreću zlonamjerni kod čim se poruka isporuči na uređaj, bez potrebe da korisnik otvori poruku.
Prema dostupnim informacijama, napad funkcioniše tako što iskorištava način na koji Appleova aplikacija Messages obrađuje određene tipove multimedijalnog sadržaja. Jednom kada zlonamjerni sadržaj stigne putem Messages, ranjivost se aktivira automatski, omogućavajući napadaču pristup osjetljivim informacijama, uključujući fotografije, poruke, pa čak i mikrofonski i kamertonski ulaz uređaja.
Apple navodi kako je ranjivost otkrivena u okviru sopstvenih istraživanja bezbjednosti i da nije pronađen nijedan dokaz da je ranjivost aktivno iskorištavana prije objavljivanja zakrpe. Međutim, bezbjednosni stručnjaci upozoravaju da je ozbiljnost propusta takva da korisnici moraju odmah preuzeti i instalirati najnoviju verziju iOS-a, iPadOS-a i macOS-a kako bi zaštitili svoje uređaje.
Ažuriranje koje ispravlja ovu ranjivost već je dostupno korisnicima, a odnosi se na iOS i iPadOS verzije 17.5.2 kao i na macOS Sonoma 14.5.1. Apple preporučuje svim korisnicima da provjere status ažuriranja i odmah instaliraju dostupne bezbjednosne ispravke.
Ova vrsta ranjivosti podsjeća na ranije napade “zero-click” karaktera koji su se koristili za špijunažu i ciljanje novinara, aktivista i političkih protivnika. S obzirom na to, stručnjaci naglašavaju važnost pravovremenog ažuriranja uređaja te kontinuiranog praćenja bezbjednosnih preporuka i upozorenja.
