A Apple não se esquece de seus dispositivos antigos. Mais uma prova que encontramos ontem, com o lançamento do iOS 12.5.5, uma versão destinada a todos os iPhones e iPads que Eles pararam de atualizar com o lançamento do iOS 13.
Esta nova atualização corrigiu três vulnerabilidades consideradas dia zero, incluindo um que provavelmente foi explorado pelo software Pegasus da empresa israelense NSG Group.
Uma dessas vulnerabilidades está relacionada ao CoreGraphics. Esta vulnerabilidade permite que os invasores executar código arbitrário em um dispositivo de destino por meio de PDFs criados com códigos maliciosos.
Esta vulnerabilidade pode ter sido explorado na prática, de acordo com o documento de suporte, que detalha o conteúdo de segurança da atualização.
A vulnerabilidade CoreGraphics, que afeta os modelos Phone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch de XNUMXª geração, foi descoberto pelo Citizen Lab, um laboratório interdisciplinar da Munk School of Global Affairs da Universidade de Toronto, que sugere ainda que a NSO implantou a exploração para reforçar sua ferramenta de malware Pegasus.
Nos últimos meses, o Citizen Lab descobriu várias vulnerabilidades de dia zero relacionadas ao spyware Pegasus, que supostamente É usado por governos autoritários para hackear e policiar iPhones e outros dispositivos iOS usados por jornalistas, ativistas, funcionários do governo e outras pessoas de interesse.
Em agosto, foi relatado que um vetor de ataque chamado 'ForcedEntry' foi usado para contornar os novos protocolos de segurança BlastDoor da Apple no iMessages, que permitiu a inserção de Pegasus no iPhone 12 Pro de um ativista de direitos humanos do Bahrein.
Pouco depois de tornar esta notícia pública, a Apple lançou em setembro uma atualização para o iOS 14 que resolveu este bug e bloqueou o funcionamento deste software.