Apple publica actualizaciones urgentes para reparar el nuevo día cero

Apple ha lanzado iOS 14.8, iPadOS 14.8 , watchOS 7.6.2 , macOS Big Sur 11.6 y Safari 14.1.2 para corregir dos vulnerabilidades explotadas activamente, una de las cuales derrotó las protecciones de seguridad adicionales integradas en el sistema operativo.

La lista de dos defectos es la siguiente:

- CVE-2021-30858 (WebKit): un uso después de un problema gratuito que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. La falla se ha solucionado mejorando la gestión de la memoria.
- CVE-2021-30860 ( CoreGraphics ): una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código arbitrario al procesar un documento PDF creado con fines malintencionados. El error se corrigió con una validación de entrada mejorada.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", señaló el fabricante del iPhone en su aviso.

Las actualizaciones llegan semanas después de que investigadores del Citizen Lab de la Universidad de Toronto revelaran detalles de un exploit de día cero llamado " FORCEDENTRY " (también conocido como Megalodon) que fue armado por el proveedor de vigilancia israelí NSO Group y supuestamente utilizado por el gobierno de Bahrein para instalar El software espía Pegasus en los teléfonos de nueve activistas en el país desde febrero de este año.

Además de activarse simplemente enviando un mensaje malicioso al objetivo, FORCEDENTRY también se destaca por el hecho de que socava expresamente una nueva función de seguridad de software llamada BlastDoor que Apple incorporó a iOS 14 para evitar intrusiones sin hacer clic al filtrar los datos no confiables enviados a través de iMessage. .

"Nuestro último descubrimiento de otro día cero de Apple empleado como parte del arsenal de NSO Group ilustra aún más que empresas como NSO Group están facilitando el 'despotismo como servicio' para las agencias de seguridad gubernamentales que no rinden cuentas", dijeron los investigadores de Citizen Lab .

"Las aplicaciones de chat ubicuas se han convertido en un objetivo importante para los actores de amenazas más sofisticados, incluidas las operaciones de espionaje de los estados nacionales y las empresas mercenarias de software espía que las atienden. Tal como están diseñadas actualmente, muchas aplicaciones de chat se han convertido en un objetivo fácil irresistible", agregaron.

Citizen Lab dijo que encontró el malware nunca antes visto en el teléfono de un activista saudí anónimo, y que la cadena de exploits se activa cuando las víctimas reciben un mensaje de texto que contiene una imagen GIF maliciosa que, en realidad, son Adobe PSD (archivos de documentos de Photoshop ) y archivos PDF diseñados para bloquear el componente iMessage responsable de renderizar imágenes automáticamente e implementar la herramienta de vigilancia.

CVE-2021-30858, por otro lado, es el último de una serie de fallas de día cero de WebKit que Apple ha rectificado solo este año. Con este conjunto de actualizaciones más recientes, la compañía ha parcheado un total de 15 vulnerabilidades de día cero desde principios de 2021.

Se recomienda a los usuarios de Apple iPhone, iPad, Mac y Apple Watch que actualicen inmediatamente su software para mitigar cualquier amenaza potencial que surja de la explotación activa de las fallas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta