A Apple acaba de liberar, de surpresa, diga-se de passagem, o iOS 14.8, o iPadOS 14.8, o macOS Big Sur 11.6 e o watchOS 7.6.2 para usuários de iPhones/iPads/iPods touch, Macs e Apple Watches compatíveis com os atuais sistemas operacionais.

A Apple diz que as atualizações abordam vulnerabilidades de segurança que “podem ter sido ativamente exploradas na natureza”.

A Apple cita ainda que o iOS 14.8 e o iPadOS 14.8 abordam vulnerabilidades CoreGraphics e WebKit que podem ter sido ativamente exploradas. A vulnerabilidade CoreGraphics foi relatada pelo The Citizen Lab, que descobriu um ataque de iPhone com clique zero que derrotou as proteções Blastdoor da Apple em agosto.

Acredita-se que a vulnerabilidade relatada pelo The Citizen Lab tenha sido usada para atingir ativistas do Bahrein cujos iPhones foram hackeados com sucesso com o spyware Pegasus do Grupo NSO.

Em um documento de suporte publicado hoje, a Apple descreve a vulnerabilidade e sua correção:

CoreGraphics

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5a geração e posterior, iPad mini 4 e posterior e iPod touch (7a geração)

Impacto: Processar um PDF criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado.

Descrição: Um estouro de inteiro foi resolvido com validação de entrada aprimorada.

CVE-2021-30860: The Citizen Lab

Há também uma correção para uma vulnerabilidade do WebKit:

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5a geração e posterior, iPad mini 4 e posterior e iPod touch (7a geração)
Impacto: Processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado.
Descrição: Um problema de uso após a livre foi resolvido com melhor gerenciamento de memória.
CVE-2021-30858: um pesquisador anônimo

iOS 14.8 is out, and it's security fixes, including one that was reported by @citizenlab — which said in August that it found zero-click NSO Group attacks on Bahraini activists using current iPhones https://t.co/3DxeKVtuLi pic.twitter.com/HVG6JbvyeE

— kif (@kifleswing) September 13, 2021

Para quem gosta de realizar uma restauração limpa do sistema, segue abaixo os links para download.

Links diretos do iOS 14.8

• iPhones 12 e 12 Pro
• iPhone 12 Pro Max
• iPhone 12 mini
• iPhones 11 Pro Max, 11 Pro, XS Max e XS
• iPhones 11 e XR
• iPhone X
• iPhones 8 e 7
• iPhones 8 Plus e 7 Plus
• iPhone SE (2ª geração)
• iPhone SE
• iPhone 6s
• iPhone 6s Plus
• iPod touch (7ª geração)

Links diretos do iPadOS 14.8

• iPad Air (4ª geração)
• iPad de 10,2″ (8ª geração)
• iPads Pro de 11″ (3ª geração) e de 12,9″ (5ª geração)
• iPads Pro de 11″ (1ª e 2ª gerações) e de 12,9″ (3ª e 4ª gerações)
• iPads Pro de 10,5″ (1ª geração) e de 12,9″ (2ª geração)
• iPads (5ª e 6ª gerações)
• iPads mini (5ª geração) e Air (3ª geração)
• iPad de 10,2″ (7ª geração)
• iPads mini 4 e Air 2
• iPad Pro de 9,7″ (1ª geração)
• iPad Pro de 12,9″ (1ª geração)

A Apple também liberou uma atualização para o o Safari para a versão 14.1.2 e liberou a atualização de segurança 2021-005 para os usuários do macOS Catalina.

Como eu já mencionei em outros posts, software bom, é software atualizado.

Atualização

De acordo com a declaração da Apple a Mark Gurman (da Bloomberg), a brecha no iMessage que foi explorada pelo spyware Pegasus foi fechada.

Apple says Messages exploit “not a threat to the overwhelming majority of our users” and that it is working on new protections. It also thanks Citizen Lab for obtaining a sample of the exploit and its help fixing the issue. https://t.co/aC6Yk28KzV pic.twitter.com/J0iI1egIVm

— Mark Gurman (@markgurman) September 13, 2021

A Apple reforça que a exploração de tal brecha era extremamente sofisticada e cara, e que por isso “não era uma ameaça para a maioria esmagadora dos nossos usuários”.