# CVE-2023-41064 > [!high] Buffer Overflow no ImageIO da Apple - Componente da Cadeia BLASTPASS > Vulnerabilidade de buffer overflow no framework ImageIO da Apple, explorada como parte da cadeia zero-click **BLASTPASS** pelo spyware **Pegasus** da NSO Group junto com a CVE-2023-41061. ## Visão Geral A [[cve-2023-41064|CVE-2023-41064]] é um buffer overflow no framework ImageIO da Apple, responsável pelo processamento de imagens e arquivos de mídia em iOS, iPadOS e macOS. A falha é ativada ao processar uma imagem especialmente criada — sem necessidade de qualquer ação adicional do usuário além de receber o arquivo. Junto com a [[cve-2023-41061|CVE-2023-41061]] (vulnerabilidade no PassKit/Wallet), esta CVE compõe a cadeia de exploração **BLASTPASS**, descoberta pelo Citizen Lab. O exploit foi utilizado pelo spyware [[pegasus|Pegasus]] da NSO Group para comprometer iPhones via iMessage sem qualquer interação da vítima — o atacante envia uma mensagem, o sistema processa automaticamente o conteúdo malicioso, e o dispositivo é comprometido silenciosamente. A Apple classificou estas CVEs como emergênciais e lançou patches de segurança fora do ciclo regular — indicando a gravidade operacional. A cadeia BLASTPASS representa o estado-da-arte em exploits móveis zero-click: confiável, silenciosa e sem deixar rastros óbvios para o usuário. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Apple iOS, iPadOS, macOS Ventura, watchOS | | Componente | ImageIO framework | | Tipo | Buffer Overflow | | Vetor | Zero-click via iMessage (processamento automático) | | Spyware | NSO Group Pegasus | | CVSS Base | 7.8 | ## Relação com CVE-2023-41061 Estas duas CVEs formam a cadeia BLASTPASS: | Etapa | CVE | Componente | Papel | |-------|-----|-----------|-------| | 1 | CVE-2023-41061 | PassKit/Wallet | Entrega do payload via PassKit attachment | | 2 | CVE-2023-41064 | ImageIO | Buffer overflow executa código arbitrário | ## TTPs Relacionados - [[t1203-exploitation-for-client-execution|T1203]] - Exploração para Execução no Cliente - [[t1430-location-tracking|T1430]] - Rastreamento de Localização - [[t1513-screen-capture|T1513]] - Captura de Tela - [[t1521-encrypted-channel|T1521]] - Canal Criptografado (C2 Pegasus) ## Mitigação - Atualizar iOS/iPadOS para 16.6.1 e macOS para Ventura 13.5.2 imediatamente - Considerar ativação do **Lockdown Mode** para usuários de alto risco - Usar Mobile Verification Toolkit (MVT) para verificar comprometimento retroativo - Monitorar processos suspeitos em dispositivos iOS via EDR/MDM integrado > [!latam] Relevância para Brasil e LATAM > A cadeia BLASTPASS e o spyware Pegasus foram documentados em uso contra alvos na América Latina. Jornalistas, advogados, ativistas políticos e executivos de alto perfil no Brasil são perfis de alto risco para esse tipo de ataque. A atualização de iOS é a única defesa eficaz contra a exploração zero-click — não há como detectar ou bloquear o ataque antes do patch. ## Referências - [Citizen Lab - BLASTPASS NSO Group exploit](https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/) - [Apple Emergency Security Advisory](https://support.apple.com/en-us/HT213926) - [NVD - CVE-2023-41064](https://nvd.nist.gov/vuln/detail/CVE-2023-41064)