NOTICIAS RAPIDAS - ZERO DAY NA APPLE

 

*Apple lança atualizações urgentes para consertar novo Zero-Day vinculado ao Spyware Pegasus

A Apple lançou o iOS 14.8, iPadOS 14.8 , watchOS 7.6.2 , macOS Big Sur 11.6 e Safari 14.1.2 para corrigir duas vulnerabilidades exploradas ativamente, uma das quais derrotou proteções de segurança extras integradas ao sistema operacional.

A lista de duas falhas é a seguinte -

• CVE-2021-30858 (WebKit) - Um problema de uso após livre que pode resultar na execução arbitrária de códigos durante o processamento de conteúdo da web criado com códigos maliciosos. A falha foi corrigida com um gerenciamento de memória aprimorado.
• CVE-2021-30860 (CoreGraphics) - Uma vulnerabilidade de estouro de número inteiro que pode levar à execução arbitrária de código ao processar um documento PDF criado com códigos maliciosos. O bug foi corrigido com validação de entrada aprimorada.

“A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, observou a fabricante do iPhone em seu comunicado.

As atualizações chegam semanas depois que pesquisadores do Citizen Lab da Universidade de Toronto revelaram detalhes de uma exploração de dia zero chamada " FORCEDENTRY " (também conhecida como Megalodon) que foi transformada em arma pelo fornecedor de vigilância israelense NSO Group e supostamente colocada em uso pelo governo do Bahrein para instalação Spyware Pegasus nos telefones de nove ativistas no país desde fevereiro deste ano.

Além de ser acionado simplesmente pelo envio de uma mensagem maliciosa ao alvo, FORCEDENTRY também é notável pelo fato de prejudicar expressamente um novo recurso de segurança de software chamado BlastDoor, que a Apple incorporou ao iOS 14 para evitar intrusões de clique zero, filtrando dados não confiáveis ​​enviados pelo iMessage .

"Nossa última descoberta de mais um dia zero da Apple empregado como parte do arsenal do NSO Group ilustra ainda mais que empresas como o NSO Group estão facilitando o 'despotismo como um serviço' para agências de segurança governamentais que não prestam contas", disseram pesquisadores do Citizen Lab .

“Os onipresentes aplicativos de bate-papo se tornaram um alvo principal para os mais sofisticados agentes de ameaças, incluindo operações de espionagem de estado-nação e as empresas de spyware mercenário que os atendem. Como atualmente projetados, muitos aplicativos de bate-papo se tornaram um alvo fácil irresistível”, acrescentaram.

O Citizen Lab disse que encontrou o malware nunca antes visto no telefone de um ativista saudita não identificado, com a cadeia de exploits começando quando as vítimas recebem uma mensagem de texto contendo uma imagem GIF maliciosa que, na realidade, são arquivos Adobe PSD (Photoshop Document files ) e arquivos PDF projetados para travar o componente iMessage responsável por renderizar imagens automaticamente e implantar a ferramenta de vigilância.

CVE-2021-30858, por outro lado, é o mais recente em uma série de falhas de dia zero do WebKit que a Apple corrigiu somente neste ano. Com este conjunto de atualizações mais recentes, a empresa corrigiu um total de 15 vulnerabilidades de zero day desde o início de 2021.

Os usuários do Apple iPhone, iPad, Mac e Apple Watch são aconselhados a atualizar imediatamente seu software para mitigar quaisquer ameaças potenciais decorrentes da exploração ativa das falhas.