ผู้ใช้ iPhone/iPad ควรอัปเดตระบบปฏิบัติการทันทีเพื่อแก้ไขช่องโหว่ดังกล่าว

โดยเฉพาะอย่างยิ่ง Apple ได้เปิดตัวอัปเดตระบบปฏิบัติการ iOS/iPadOS 16.6.1 เมื่อวันที่ 7 กันยายน เพื่อแก้ไขช่องโหว่ zero-day สองรายการซึ่งอาจทำให้ผู้ไม่หวังดีสามารถติดตาม iPhone ได้

นักวิจัยด้านความปลอดภัยจาก Citizen Lab แห่งมหาวิทยาลัยโตรอนโตระบุว่า ผู้ใช้ Apple ทุกคนควรอัปเดตระบบปฏิบัติการทันทีเพื่อแก้ไขช่องโหว่ดังกล่าว

ด้วยเหตุนี้ Citizen Lab จึงได้ทำการทดสอบอุปกรณ์ของบุคคลที่ทำงานอยู่ในองค์กรสังคมแห่งหนึ่งในวอชิงตัน และค้นพบช่องโหว่แบบไม่ต้องคลิกซึ่งถูกใช้ประโยชน์จริง โดยใช้เพื่อเผยแพร่สปายแวร์ Pegasus ของ NSO Group

ช่องโหว่ดังกล่าวโจมตี iPhone ที่ใช้ระบบปฏิบัติการล่าสุด (iOS/iPadOS 16.6) โดยเหยื่อไม่ต้องโต้ตอบใดๆ CVE-2023-41064 ซึ่งเป็นช่องโหว่หนึ่งในสองช่องโหว่นี้ ทำให้ iPhone, iPad, Mac และ Apple Watch เสี่ยงต่อการถูกโจมตีมากขึ้นเมื่อประมวลผล "ภาพที่สร้างขึ้นอย่างเป็นอันตราย"

ช่องโหว่ CVE-2023-41061 อยู่ในฟังก์ชัน Wallet และก่อให้เกิดปัญหาความปลอดภัยหากอุปกรณ์ได้รับ "ไฟล์แนบที่สร้างขึ้นอย่างเป็นอันตราย"

ในทั้งสองกรณี Apple กล่าวว่าได้รับรายงานว่าช่องโหว่ดังกล่าวอาจถูกนำไปใช้ประโยชน์ Citizen Lab ได้รายงานการค้นพบดังกล่าวให้ Apple ทราบ และให้ความช่วยเหลือบริษัทในการสืบสวน

การอัปเดตซอฟต์แวร์ใหม่มีผลใช้กับอุปกรณ์ macOS Ventura, iOS, iPadOS และ watchOS แพตช์จะรวมอยู่ในอัปเดตผลิตภัณฑ์ปกติและไม่ได้ระบุว่าเป็นการตอบสนองด้านความปลอดภัยในกรณีฉุกเฉิน บริษัทได้แก้ไขช่องโหว่ zero-day แล้ว 13 รายการในปี 2023

ตั้งแต่มีการพัฒนาซอฟต์แวร์ Pegasus ในปี 2011 เป็นต้นมา ซอฟต์แวร์นี้ก็ถูกนำมาใช้ทั่วโลกเพื่อติดตามวัตถุต่างๆ ในช่วงไม่กี่ปีที่ผ่านมา ทางการทั่วโลก ได้พยายามปิดกั้นซอฟต์แวร์นี้

บน iPhone และ iPad ผู้ใช้สามารถอัปเดตระบบปฏิบัติการใหม่ผ่าน OTA ได้โดยเข้าไปที่ Settings > General > Software Update สามารถดาวน์โหลด watchOS 9.6.2 ได้ฟรีผ่านแอป Apple Watch บน iPhone ระหว่างนี้ ให้ไปที่ System Settings > Software Update เพื่อดาวน์โหลด macOS Ventura 13.5.2