Apple lanzó actualizaciones de seguridad el jueves que abordan numerosas vulnerabilidades de seguridad en versiones anteriores de iOS y macOS que, según afirma, se detectaron en explotaciones al aire libre, además de extender los parches para una vulnerabilidad de seguridad previamente involucrada que fue explotada por NSO Group Pegasus para apuntar a . usuarios de iPhone.
El principal es CVE-2021-30869, un error de confusión encontrado en el componente del kernel XNU de Apple que podría causar que una aplicación maliciosa ejecute código arbitrario con los privilegios más altos. El gigante tecnológico con sede en Cupertino afirmó que resolvió el error mejorando el procesamiento de estados.
El equipo de análisis de amenazas de Google, que es responsable de informar el error, él dijo descubrió que la vulnerabilidad se «usó junto con la ejecución remota de código centrada en N-day WebKit».
Otros dos errores incluyen CVE-2021-30858 y CVE-2021-30860, los cuales se resolvieron a principios de este mes después de que el Citizen Lab de la Universidad de Toronto revelara un exploit previamente desconocido llamado «FORCEDENTRY» (también conocido como Megalodon) que podría infectar un Dispositivo Apple sin un solo clic.
Ataque remoto CVE-2021-30860, supuestamente llevado a cabo por un cliente de la controvertida empresa israelí NSO Group, al menos desde febrero de 2021. El alcance y el alcance de la operación siguen sin estar claros.
Se basó en iMessage como punto de entrada para enviar un código malicioso que instalaba en secreto el software espía Pegasus en el dispositivo y se infiltraba en datos confidenciales sin dar una pista a la víctima. Este exploit también es importante por su capacidad para eludir las defensas de iOS 14 de Apple, llamadas BlastDoor, y evitar tales intrusiones al filtrar los datos no confiables enviados a través de la aplicación de mensajería.
Los parches están disponibles para MacOS Catalina y iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.ª generación) con iOS 12.5.4.
El desarrollo también se produce después de que los investigadores de seguridad descubrieran errores de día cero no corregidos en iOS, incluido un error de omisión de la pantalla de bloqueo y un grupo de vulnerabilidades que la aplicación podría explotar para obtener acceso a las direcciones de correo electrónico de ID de Apple y nombres de usuario completos. si una aplicación específica con una ID de paquete está instalada en el dispositivo, e incluso obtener información de Wi-Fi sin la debida autorización.
El investigador Denis Tokarev (también conocido como ilusión del caos), quien reveló los últimos tres problemas, dijo que Apple fue denunciado entre el 10 de marzo y el 4 de mayo, diciendo que fue una «experiencia frustrante con la participación en el Programa de recompensas de seguridad de Apple» porque falló. problemas de manera responsable y publicarlos de manera responsable «hace sólo medio año».
De hecho, un artículo en el Washington Post publicado hace dos semanas reveló que la compañía estaba sentada sobre una «acumulación masiva» de informes de vulnerabilidad, dejándolos sin resolver durante meses, otorgando pagos más bajos a los cazadores de errores y, en algunos casos, prohibiendo directamente a los investigadores acceder a ellos. . su programa de informes de desarrolladores.
