Apple опубликовала полный документ поддержки, в котором подробно описаны новые возможности iOS 14.8, watchOS 7.6.2, iPadOS 14.8 и macOS Big Sur 11.6. Apple заявляет, что обновления устраняют уязвимости системы безопасности, которые «могли активно эксплуатироваться в дикой природе».
В частности, Apple заявляет, что iOS 14.8 и iPadOS 14.8 устраняют уязвимости CoreGraphics и WebKit, которые могли активно эксплуатироваться. Об уязвимости CoreGraphics сообщила Citizen Lab, которая еще в августе обнаружила атаку iPhone с нулевым щелчком, которая победила защиту Apple Blastdoor.
Уязвимость, о которой сообщает The Citizen Lab, предположительно использовалась для нацеливания на бахрейнских активистов, чьи iPhone были успешно взломаны с помощью шпионского ПО Pegasus от NSO Group.
В опубликованном сегодня документе поддержки Apple описывает уязвимость и способы ее устранения:
CoreGraphics
Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)
Воздействие. Обработка вредоносного PDF-файла может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание. Целочисленное переполнение устранено путем улучшенной проверки ввода.
CVE-2021-30860: лаборатория Citizen Lab
Также существует исправление уязвимости WebKit:
WebKit
Доступно для: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода. Apple известно об отчете о том, что эта проблема могла активно использоваться.
Описание.Проблема использования после освобождения устранена путем улучшенного управления памятью.
CVE-2021-30858: анонимный исследователь
Полную информацию о сегодняшних обновлениях безопасности можно найти по следующим ссылкам: