iOS 14.8, iPadOS 14.8 повышают безопасность, предотвращают атаки Blastdoor

В обновлении Apple до iOS 14.8 и iPadOS 14.8 исправлены две уязвимости, в том числе одна, которая позволяла атаковать систему защиты Apple Blastdoor.

Публикация iOS 14.8 и iPadOS 14.8 в понедельник была неожиданной, и перед ее выпуском не было никаких бета-версий. Apple описала патчи как «важные обновления безопасности и рекомендуемые для всех пользователей».

Вскоре после выпуска Apple опубликовала изменения содержимого безопасности, включенные в iOS 14.8 и iPadOS 14.8. Два исправления, относящиеся к разделам CoreGraphics и WebKit обеих операционных систем.

В обоих обновлениях говорится, что воздействие уязвимостей заключалось в том, что обработка «злонамеренно созданного» PDF-файла или веб-содержимого «может привести к выполнению произвольного кода». Apple «известно об отчете о том, что эта проблема могла быть активно использована».

Патч CoreGraphics указан как проблема CVE-2021-30860, о которой сообщает Citizen Lab, а «анонимный исследователь» сообщил о CVE-2021-30858, затрагивающей WebKit.

Обновления устраняют проблемы, которые позволили злоумышленнику обойти изолированную программную среду безопасности Apple BlastDoor — систему, используемую для остановки выполнения вредоносного кода в сообщениях.

После первоначального сообщения об инструменте взлома Pegasus в июле, второй отчет Citizen Lab в августе показал уязвимость в iMessage, которая позволила установить Pegasus на целевой iPhone. Считается, что взлом и использование Pegasus были совершены на устройствах, принадлежащих журналистам и правозащитникам.