APPLE: rilasciato iOS 14.8 che chiude due bug zero-click e zero-day

Apple ha appena rilasciato iOS 14.8 che corregge due vulnerabilità, una delle quali consente di attaccare in modo invisibile e senza richiedere alcuna azione da parte della vittima.

L’attacco consente di attivare telecamere e microfono, registrare messaggi, SMS, mail e chiamate vocali (comprese quelle cifrate). 

Link Apple per informazioni sui bug e sugli aggiornamenti correttivi :

La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata scoperta da Citizen Lab, riguarda iMessage e può essere sfruttata per iniettare un malware, denominato Pegasus, sviluppato dalla società israeliana NSO Group.

PEGASUS è già stato usato per penetrare negli iPhone di vari personaggi politici e in modo completamente trasparente.

L’attacco, spiega Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene un allegato che ha l’estensione GIF ma è in realtà un PDF compromesso. Questo PDF causa un crash di IMTranscoderAgent sul dispositivo (dovuto a un integer overflow nella libreria CoreGraphics di rendering delle immagini), e il crash consente l’esecuzione di codice malevolo sul dispositivo attaccato. 

La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice malevolo sul dispositivo della vittima.

È importante segnalare però che, come rimarca lo stesso Citizen Lab, rispetto a FORCEDENTRY restano vulnerabili tutti gli iPhone con versioni di iOS precedenti alla 14.8, tutti i computer Mac con versioni del sistema operativo precedenti a OSX Big Sur 11.6, Security Update 2021-005 Catalina, e tutti gli Apple Watch precedenti a watchOS 7.6.2.