„Apple“ nepamiršta apie senus įrenginius. Dar vienas įrodymas, kurį radome vakar, išleidus „iOS 12.5.5“, versiją, skirtą visiems „iPhone“ ir „iPad“ Jie nustojo atnaujinti išleidę „iOS 13“.
Šis naujas atnaujinimas pataisė tris pažeidžiamumus, kurie laikomi nuline diena, įskaitant vieną, kurią tikriausiai išnaudojo Izraelio bendrovės „NSG Group“ programinė įranga „Pegasus“.
Vienas iš šių pažeidžiamumų yra susijęs su „CoreGraphics“. Šis pažeidžiamumas leidžia užpuolikams vykdyti savavališką kodą tiksliniame įrenginyje per kenkėjiškai sukurtus PDF failus.
Šis pažeidžiamumas gali būti panaudotas praktikoje, pagal palaikymo dokumentą, kuriame išsamiai aprašytas naujinimo saugos turinys.
„CoreGraphics“ pažeidžiamumas, turintis įtakos modeliams „Phone 5s“, „iPhone 6“, „iPhone 6 Plus“, „iPad Air“, „iPad mini 2“, „iPad mini 3“ ir XNUMX kartos „iPod touch“, atrado „Citizen Lab“, tarpdisciplininė laboratorija Toronto universiteto Pasaulio reikalų mokykloje „Munk“, kuri taip pat siūlo, kad NSO panaudotų šį išnaudojimą, kad sustiprintų savo „Pegasus“ kenkėjiškų programų įrankį.
Pastaraisiais mėnesiais „Citizen Lab“ aptiko daugybę nulio dienų pažeidžiamumų, susijusių su „Pegasus“ šnipinėjimo programomis. Ją naudoja autoritarinės vyriausybės, kad įsilaužtų ir tvarkytų „iPhone“ ir kiti „iOS“ įrenginiai, kuriuos naudoja žurnalistai, aktyvistai, vyriausybės pareigūnai ir kiti susirūpinimą keliantys asmenys.
Rugpjūčio mėn. Buvo pranešta, kad priepuolio vektorius „ForcedEntry“ buvo naudojamas apeiti naujus „Apple“ „BlastDoor“ saugos protokolus „iMessages“, kuri leido įterpti „Pegasus“ į žmogaus teisių aktyvisto iš Bahreino „iPhone 12 Pro“.
Netrukus po to, kai ši žinia buvo paviešinta, „Apple“ rugsėjį išleido „iOS 14“ atnaujinimą išsprendė šią klaidą ir užblokavo šios programinės įrangos veikimą.