На этой неделе компания Apple выпустила обновления для macOS, iOS, iPadOS и watchOS. В числе прочего компания исправила 0-day уязвимость, получившую имя ForcedEntry. Для этой проблемы существовал эксплоит, который создала израильская компания NSO Group, занимающаяся производством «легальной спайвари». С начала текущего года этот эксплоит использовался для взлома телефонов ряда активистов.
Проблема ForcedEntry получила идентификатор CVE-2021-30860 и представляла собой баг целочисленного переполнения в компоненте CoreGraphics , который применяется для рисования 2D-графики. ForcedEntry позволяла клиентам NSO Group отправлять вредоносные PDF-файлы на устройства жертв и запускать произвольный код в iOS и macOS, что в итоге приводило к захвату системы и установке шпионского ПО Pegasus.
В отчетах, опубликованных специалистами компании Citizen Lab в августе текущего года и на этой неделе, исследователи рассказали, что обнаружили использование ForcedEntry на iPhone нескольких активистов в Бахрейне и Саудовской Аравии. Исследователи считают, что этот эксплоит использовался в атаках как минимум с февраля 2021 года, и NSO Group создала его для обхода функции безопасности BlastDoor, которую Apple добавила в iOS 14 осенью 2020 года.
Эксперты Citizen Lab подчеркивают, что, судя по логам зараженных iPhone, существуют два отдельных zero-click-эксплоита для iMessage: Kismet, нацеленный на устройства с iOS 13.5.1, и ForcedEntry, нацеленный на новейшие устройства с iOS 14.
Помимо ForcedEntry Apple исправила и другую опасную проблему в своих продуктах: еще одну уязвимость нулевого дня, относящуюся к типу use-after-free, CVE-2021-30858. Этот баг был обнаружен анонимным исследователем и связан с работой движка браузера Safari (WebKit).
Проблема позволяла злоумышленникам создавать вредоносные страницы, приводящие к выполнению команд, если посетить их с iPhone и устройства на базе macOS. Сообщается, что эта уязвимость тоже использовалась для атак на пользователей, однако пока никаких подробностей об этих инцидентах нет.
