Appleのアップデートでは、iOS14.8 と iPadOS 14.8 では、Apple の Blastdoor 保護システムを回避する攻撃を可能にする脆弱性を含む 2 つの脆弱性に対する修正が導入されています。
月曜日のiOS 14.8のリリースとiPadOS14.8 一般公開予想外だった発行前にはベータ版がありませんでした。 Appleは、これらのパッチは「重要なセキュリティアップデートであり、すべてのユーザーに推奨される」ものであると説明した。
発売直後、アップルは出版されたiOS 14.8 および iPadOS 14.8 に含まれるセキュリティ内容の変更。 2 つの修正は、両方のオペレーティング システムの CoreGraphics セクションと WebKit セクションに関連しています。
どちらのアップデートでも、脆弱性の影響は「悪意を持って作成された」PDF ファイルや Web コンテンツの処理により「任意のコードが実行される可能性がある」と述べられている。 Apple は「この問題が積極的に悪用された可能性があるという報告を認識しています。」
CoreGraphics パッチは、The Citizen Lab によって報告された問題 CVE-2021-30860 としてリストされていますが、「匿名の研究者」は WebKit に影響を与える CVE-2021-30858 を報告しました。
このアップデートにより、攻撃者が Apple のセキュリティをバイパスできるようになった問題が修正されます。ブラストドアセキュリティ サンドボックス、悪意のあるコードの実行を阻止するために使用されるシステムメッセージ。
続く初期報告7月のPegasusハッキングツールに関するCitizen Labによる第2次レポート8月にiMessage の脆弱性が明らかになり、対象の iPhone に Pegasus がインストールされる可能性がありました。ハッキングとペガサスの使用は、ジャーナリストや人権活動家が所有するデバイス上で行われたと考えられている。
アップデート:iOS 14.8アップデートが公開された後、Citizen LabはCVE-2021-30860の脆弱性を利用したゼロクリックエクスプロイトに関するレポートを公開しました。によるとシチズンラボ、このエクスプロイトは NSO グループによって開発されたようで、少なくとも 1 人のサウジアラビアの活動家のスマートフォンを積極的に標的としたときに発見されました。このエクスプロイトは Apple の画像レンダリング ライブラリを標的とし、影響を受けるデバイスに Pegasus スパイウェアを配布するために使用されました。