Apple no se olvida de sus viejos dispositivos. Una prueba más la encontramos ayer, con el lanzamiento de iOS 12.5.5, una versión destinada a todos los iPhone y iPad que dejaron de actualizarse con el lanzamiento de iOS 13.
Esta nueva actualización parcheaba tres vulnerabilidades consideradas zero day, incluyendo una que probablemente fue explotada por el software Pegasus de la empresa israelí NSG Group.
Una de estas vulnerabilidades está relacionada con CoreGraphics. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en un dispositivo de destino a través de PDFs maliciosamente diseñados.
Esta vulnerabilidad puede haber sido explotada en la práctica, según el documento de soporte, que detalla el contenido de seguridad de la actualización.
La vulnerabilidad de CoreGraphics, que afecta a los modelos Phone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch de sexta generación, fue descubierta por Citizen Lab, un laboratorio interdisciplinar de la Munk School of Global Affairs de la Universidad de Toronto quien además sugiere que NSO desplegó el exploit para reforzar su herramienta de malware Pegasus.
En los últimos meses, Citizen Lab ha descubierto múltiples vulnerabilidades de zero day relacionadas con el software espía Pegasus, que supuestamente es utilizado por gobiernos autoritarios para hackear y vigilar iPhones y otros dispositivos iOS utilizados por periodistas, activistas, funcionarios gubernamentales y otras personas de interés.
En agosto, se informó de que se utilizó un vector de ataque llamado «ForcedEntry» para eludir los nuevos protocolos de seguridad BlastDoor de Apple en iMessages, lo que permitió la inserción de Pegasus en el iPhone 12 Pro de un activista de derechos humanos de Bahréin.
Poco después de hacer pública esta noticia, Apple lanzó en septiembre una actualización para iOS 14 que solucionada este bug y bloqueaba el funcionamiento de este sofware.