De updates die Cupertino gisteravond heeft uitgebracht, verhelpen verschillende beveiligingslekken en worden daarom aanbevolen voor alle gebruikers.
Apple geeft dus op zijn officiële ondersteuningspagina aan dat: de updates repareren de CVE-2021-30860-fouten (ontdekt door The Citizen Lab in CoreGraphics) en CVE-2021-30858 (account van een anonieme onderzoeker die WebKit speelt). Het bedrijf geeft aan dat deze beveiligingsfouten kunnen zijn misbruikt en raadt alle gebruikers de installatie aan.
Volgens Ivan Krstić, hoofd engineering en beveiligingsarchitectuur bij AppleNa het identificeren van de gebruikte kwetsbaarheid, ontwikkelde en implementeerde Apple snel een patch in iOS 14.8 om onze gebruikers te beschermen. We willen Citizen Lab feliciteren met het succesvol voltooien van de zeer moeilijke taak om een monster van deze aanval te verkrijgen, zodat we deze oplossing snel kunnen ontwikkelen. Aanvallen zoals beschreven zijn zeer geavanceerd, kosten miljoenen dollars om te ontwikkelen, hebben vaak een korte levensduur en worden gebruikt om specifieke individuen aan te vallen. Hoewel dit betekent dat ze geen bedreiging vormen voor de overgrote meerderheid van onze gebruikers, blijven we onvermoeibaar werken om al onze klanten te verdedigen en voegen we voortdurend nieuwe beveiligingen toe voor hun apparaten en gegevens.
CVE-2021-30860 geïdentificeerd door The Citizen Lab is: een zero-click-fout waarbij de gebruiker niet op een kwaadaardige link hoeft te klikken en de door Apple geïmplementeerde Blastdoor-beveiliging omzeilt. Deze kwetsbaarheid (met behulp van een pdf of een ander type bestand om de aanval uit te voeren) zou onder meer door de NSO-groep en zijn Pegasus-spyware zijn misbruikt om de smartphones van hun doelwitten te infecteren.
