Apple wydaje pilne aktualizacje naprawiające nowe luki 0 day związane z oprogramowaniem szpiegującym Pegasus.
Apple udostępniło iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 i Safari 14.1.2, aby naprawić dwie aktywnie wykorzystywane luki. Jedna z nich pokonała dodatkowe zabezpieczenia wbudowane w system operacyjny.
Lista luk:
- CVE-2021-30858 (WebKit) – Błąd związany z use after free, który mógł doprowadzić do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanych treści internetowych. Błąd usunięto dzięki poprawionemu zarządzaniu pamięcią.
- CVE-2021-30860 (CoreGraphics) – Błąd w przepełnieniu całkowitym, który mógł prowadzić do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanego dokumentu PDF. Błąd naprawiono dzięki poprawieniu walidacji danych wejściowych.
“Apple jest świadome raportu, że ten błąd mógł zostać aktywnie wykorzystany” – zaznaczył producent iPhone’a w swoim poradniku.
Aktualizacje pojawiają się kilka tygodni po tym, jak badacze z Citizen Lab Uniwersytetu w Toronto ujawnili szczegóły exploita zero-day o nazwie “FORCEDENTRY“. Luke wykorzystał izraelski dostawca usług nadzoru NSO Group. Exploit rzekomo użytyo przez rząd Bahrajnu do zainstalowania oprogramowania szpiegowskiego Pegasus. Na telefonach dziewięciu aktywistów w tym kraju, od lutego tego roku wykryto tego rodzaju oprogramowanie.
Oprócz tego, że FORCEDENTRY jest uruchamiany po prostu przez wysłanie złośliwej wiadomości do celu to FORCEDENTRY jest również godny uwagi ze względu na fakt, że wyraźnie podważa nową funkcję bezpieczeństwa oprogramowania o nazwie BlastDoor. Apple dodało ją w iOS 14, aby zapobiec włamaniom typu zero-click poprzez filtrowanie niezaufanych danych wysyłanych przez iMessage.
“Nasze ostatnie odkrycie kolejnego dnia zerowego w Apple, zastosowanego jako część arsenału NSO Group, jeszcze bardziej ilustruje, że firmy takie jak NSO Group udostępniają “despotyzm jako usługę” dla rządowych agencji bezpieczeństwa, które nie są odpowiedzialne” – stwierdzili badacze z Citizen Lab.
Komunikatory jako główny cel ataków
“Wszechobecne aplikacje do czatowania stały się głównym celem dla najbardziej wyrafinowanych podmiotów stanowiących zagrożenie. W tym operacji szpiegowskich prowadzonych przez państwa narodowe oraz najemnych firm szpiegowskich, które je obsługują. W obecnym stanie technicznym wiele aplikacji czatowych stało się nieodpartym miękkim celem” – dodają.
Citizen Lab twierdzi, że znalazło nigdy wcześniej niewidziane złośliwe oprogramowanie w telefonie niewymienionego z nazwiska saudyjskiego aktywisty. Łańcuch exploitów uruchamia się, gdy ofiara otrzymuje wiadomość tekstową zawierającą złośliwy obrazek GIF. W rzeczywistości jest plikami Adobe PSD (Photoshop Document files) i PDF, zaprojektowanymi w celu rozbicia komponentu iMessage. Odpowiedzialnego za automatyczne renderowanie obrazów i wdrożenie narzędzia do inwigilacji.
CVE-2021-30858, z drugiej strony, jest najnowszym z wielu błędów WebKit zero-day, które Apple naprawił tylko w tym roku. Z tym zestawem najnowszych aktualizacji, firma załatała w sumie 15 luk zero-day od początku 2021 roku.
Użytkownikom Apple zaleca się natychmiastową aktualizację oprogramowania w celu złagodzenia wszelkich potencjalnych zagrożeń wynikających z aktywnego wykorzystania dziur.
Źródło: https://thehackernews.com/2021/09/apple-issues-urgent-updates-to-fix-new.html