Apple lanzó iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 y Safari 14.1.2 para corregir dos vulnerabilidades explotadas activamente, una de las cuales venció la protección de seguridad especial integrada en el sistema operativo.

La lista de dos deficiencias es la siguiente:

• CVE-2021-30858 (WebKit): se usa después de un lanzamiento gratuito que podría conducir a la ejecución de código arbitrario al procesar contenido web malicioso. El error se ha resuelto mejorando la gestión de la memoria.
• CVE-2021-30860 (CoreGraphics): una vulnerabilidad de desbordamiento de enteros que podría conducir a la ejecución de código arbitrario al procesar un documento PDF creado con fines malintencionados. El error se solucionó con una verificación de entrada mejorada.

«Apple está al tanto de los informes de que este problema puede haber sido explotado activamente», dijo el fabricante del iPhone en un comunicado.

Las actualizaciones llegan semanas después de que los investigadores de Citizen Lab en la Universidad de Toronto descubrieran detalles de un abuso cero llamado «FORCEDENTRY» (también conocido como Megalodon), que estaba armado con el contratista de vigilancia israelí NSO Group y supuestamente utilizado por el gobierno de Bahrein para instalarlo. Spyware Pegasus en los teléfonos de nueve activistas en el país desde febrero de este año.

Además de enviar un mensaje malicioso a un objetivo, FORCEDENTRY también se destaca por socavar explícitamente una nueva función de seguridad de software llamada BlastDoor que Apple incorporó en iOS 14 para evitar la intrusión mediante el filtrado de datos no confiables enviados a través de iMessage. .

«Nuestro último descubrimiento de otra Apple de día cero empleada como parte del arsenal de NSO Group ilustra aún más que compañías como NSO Group facilitan el ‘despotismo como servicio’ para las agencias de seguridad gubernamentales irresponsables», dijeron los investigadores de Citizen Lab.

«Las aplicaciones de chat ubicuas se han convertido en un objetivo importante para los actores de amenazas más sofisticados, incluidas las operaciones de espionaje de los estados nacionales y las empresas de spyware mercenarias que les sirven. Hoy en día, muchas aplicaciones de chat se han convertido en un objetivo fácil e irresistible», agregaron.

Citizen Lab dijo que encontró activistas saudíes no vistos en el teléfono, y la cadena de explotación se activa cuando las víctimas reciben un mensaje de texto que contiene un GIF malicioso, que en realidad es Adobe PSD (archivos de documentos de Photoshop). ) y archivos PDF diseñados para bloquear el componente de iMessage responsable de representar automáticamente las imágenes e implementar la herramienta de seguimiento.

Por otro lado, CVE-2021-30858 es el último de una serie de errores de día cero de WebKit que Apple solo solucionó este año. Con este conjunto de las últimas actualizaciones, la empresa ha corregido un total de 15 vulnerabilidades de día cero desde principios de 2021.

Se recomienda a los usuarios de Apple iPhone, iPad, Mac y Apple Watch que actualicen su software de inmediato para mitigar cualquier amenaza potencial que surja de la explotación activa.