Apple non dimentica i suoi vecchi dispositivi. Un'altra prova che abbiamo trovato ieri, con il lancio di iOS 12.5.5, una versione destinata a tutti gli iPhone e iPad che Hanno smesso di aggiornarsi con il rilascio di iOS 13.
Questo nuovo aggiornamento patchate tre vulnerabilità considerate zero day, incluso uno che è stato probabilmente sfruttato dal software Pegasus della società israeliana NSG Group.
Una di queste vulnerabilità è correlata a CoreGraphics. Questa vulnerabilità consente agli aggressori eseguire codice arbitrario su un dispositivo di destinazione tramite PDF pericolosi.
Questa vulnerabilità potrebbe essere stato sfruttato in pratica, secondo il documento di supporto, che dettaglia il contenuto di sicurezza dell'aggiornamento.
La vulnerabilità CoreGraphics, che colpisce i modelli Telefono 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch di sesta generazione, è stato scoperto da Citizen Lab, un laboratorio interdisciplinare presso la Munk School of Global Affairs dell'Università di Toronto, che suggerisce inoltre che NSO abbia implementato l'exploit per rafforzare il suo strumento malware Pegasus.
Negli ultimi mesi, Citizen Lab ha scoperto molteplici vulnerabilità zero-day relative allo spyware Pegasus, che presumibilmente Viene utilizzato dai governi autoritari per hackerare e sorvegliare gli iPhone e altri dispositivi iOS utilizzati da giornalisti, attivisti, funzionari governativi e altre persone interessate.
Ad agosto, è stato riferito che un vettore di attacco chiamato "ForcedEntry" è stato utilizzato per bypassare i nuovi protocolli di sicurezza BlastDoor di Apple in iMessage, che ha permesso l'inserimento di Pegasus nell'iPhone 12 Pro di un attivista per i diritti umani del Bahrain.
Poco dopo aver reso pubblica questa notizia, Apple a settembre ha rilasciato un aggiornamento per iOS 14 che risolto questo bug e bloccato il funzionamento di questo software.