Apple nie zapomina o swoich starych urządzeniach. Wczoraj znaleźliśmy jeszcze jeden dowód, wraz z wprowadzeniem iOS 12.5.5, wersji przeznaczonej dla wszystkich iPhone’ów i iPadów, które Przestali aktualizować się wraz z wydaniem iOS 13.
Ta nowa aktualizacja załatano trzy podatności uznawane za zero day, w tym jeden, który prawdopodobnie został wykorzystany przez oprogramowanie Pegasus izraelskiej firmy NSG Group.
Jedna z tych luk związana jest z CoreGraphics. Ta podatność umożliwia atakującym wykonaj dowolny kod na urządzeniu docelowym za pośrednictwem złośliwie spreparowanych plików PDF.
Ta luka mógł zostać wykorzystany w praktyce, zgodnie z dokumentem pomocy technicznej, który zawiera szczegółowe informacje dotyczące zabezpieczeń aktualizacji.
Luka CoreGraphics, która wpływa na modele Telefon 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 i iPod touch XNUMX. generacji, został odkryty przez Citizen Lab, interdyscyplinarne laboratorium w Szkole Munka ds. Globalnych na Uniwersytecie w Toronto, które dalej sugeruje, że NSO wdrożyło exploita, aby wzmocnić swoje narzędzie do złośliwego oprogramowania Pegasus.
W ostatnich miesiącach Citizen Lab wykrył wiele luk zero-day związanych z oprogramowaniem szpiegującym Pegasus, które rzekomo Jest używany przez autorytarne rządy do hakowania i nadzorowania iPhone'ów oraz inne urządzenia z systemem iOS używane przez dziennikarzy, aktywistów, urzędników państwowych i inne zainteresowane osoby.
W sierpniu poinformowano, że wektor ataku o nazwie „ForcedEntry” został użyty do: ominąć nowe protokoły bezpieczeństwa BlastDoor firmy Apple w iMessages, który umożliwił wstawienie Pegasusa do iPhone'a 12 Pro działacza na rzecz praw człowieka z Bahrajnu.
Wkrótce po opublikowaniu tej wiadomości firma Apple we wrześniu wydała aktualizację dla systemu iOS 14, która rozwiązał ten błąd i zablokował działanie tego oprogramowania.