In vista dell'arrivo ormai imminente di iOS 17, iPadOS 17, watchOS 10 e macOS Sonoma, previsto qualche giorno dopo l'evento del 12 settembre, Apple ha rilasciato iOS 16.6.1, iPadOS 16.6.1, watchOS 9.6.2 e macOS 13.5.2. Queste versioni includono delle correzioni per vulnerabilità di sicurezza che, secondo la società di Cupertino, potrebbero essere state attivamente sfruttate.

Secondo quanto riportato nella pagina di supporto sul sito di Apple, infatti, gli aggiornamenti correggono due principali vettori di attacco già utilizzati attivamente: CVE-2023-41064 riguarda un difetto in ImageIO in macOS e iOS. CVE-2023-41061 è relativo a Wallet in iOS e watchOS. Gli aggiornamenti iOS 16.6.1 e iPadOS hanno il numero di build 20G81. La build precedente era la build 20G75. MacOS Ventura ha il numero di build 22G91, watchOS 9.6.3 ha la build 20U90.

in iOS, iPadOS e macOS, l'elaborazione di un'immagine creata in modo dannoso potrebbe portare all'esecuzione di codice arbitrario, consentendo a un hacker di accedere facilmente al sistema operativo. Apple ha corretto il processo "ImageIO" risolvendo un problema di overflow del buffer per migliorare la gestione della memoria.

Corretto anche un exploit all'app Wallet di iOS e watchOS che potrebbe portare, anche in questo caso, all'esecuzione di codice arbitrario. Il problema di convalida è stato risolto con una logica migliorata.

Come riportato da Citizen Lab, queste vulnerabilità fanno parte di una catena di exploit "BLASTPASS" che sarebbe stata utilizzata per installare lo spyware Pegasus di NSO Group. La vulnerabilità zero-click avrebbe infatti consentito agli aggressori di inviare tramite iMessage un'immagine PassKit (Wallet), creata appositamente, per "infettare" il dispositivo "senza alcuna interazione da parte della vittima".

Dato che questi aggiornamenti includono importanti correzioni di sicurezza, il consiglio è quello di installare iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 e watchOS 9.6.2 il prima possibile.

Tutti gli aggiornamenti sono disponibili in modalità OTA (Over The Air), tramite gli appositi menù nelle impostazioni di sistema. Per l'installazione è necessario essere connessi alla rete Wi-Fi e avere almeno il 50% di autonomia, altrimenti basta essere connessi al caricabatterie durante l'aggiornamento a patto che si abbia almeno il 20% di batteria residua.

Sia su iPhone che su iPad con connettività dati è anche possibile scaricare iOS 16.6.1 e iPadOS 16.6.1 tramite rete cellulare dopo aver attivato la funzione Consenti più dati su rete 5G in Impostazioni - Cellulare - Opzioni dati cellulare - Consumo dati (su iPhone). L'aggiornamento a watchOS 9.6.2 per Apple Watch, invece, richiede la connessione al caricabatterie e almeno il 50% di autonomia.