Amerikaanse federale ambtenaren zijn verplicht om hun zakelijke iPhones voor 2 oktober te patchen en zo twee actief aangevallen zerodaylekken te verhelpen, die zijn gebruikt om toestellen stilletjes met de Pegasus-spyware te infecteren. Dat heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald. Apple heeft inmiddels ook voor oudere iPhones updates uitgebracht.

Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden. Door het afgeven van een "Binding Operational Directive" kan het CISA federale Amerikaanse overheidsinstanties verplichten om beveiligingslekken op de lijst binnen een bepaalde tijd te patchen. Het overzicht is echter ook handige voor organisaties en bedrijven, aldus het CISA. De lijst is nu bijgewerkt met twee kwetsbaarheden (CVE-2023-41064 en CVE-2023-41061) waarvoor Apple op 7 september updates uitbracht. Via de beveiligingslekken kan een aanvaller iPhones zonder enige interactie van slachtoffers met spyware besmetten.

Gisterenavond kwam Apple ook met patches voor de iPhone 6s, iPhone 7, iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie) die iOS en iPadOS 15 draaien. Voor deze apparaten zijn iOS 15.7.9 en iPadOS 15.7.9 verschenen. In tegenstelling tot de update voor iOS en iPadOS 16, die twee kwetsbaarheden verhelpt, is met de patch voor iOS en iPadOS 15 alleen CVE-2023-41064 opgelost.