העדכון של אפל לiOS14.8 ו-iPadOS 14.8 מציגים תיקונים לשתי פגיעויות, כולל אחת שאפשרה התקפות שעבדו סביב מערכת ההגנה Blastdoor של אפל.
ההשקה ביום שני של iOS 14.8 וiPadOS14.8 לציבורהיה בלתי צפויוהיה חסר כל בטא לפני ההנפקה. אפל תיארה את התיקונים כמספקים "עדכוני אבטחה חשובים ומומלצים לכל המשתמשים".
זמן קצר לאחר השחרור, אפלפורסםשינויי תוכן האבטחה הכלולים ב-iOS 14.8 ו-iPadOS 14.8. שני התיקונים קשורים למקטעי CoreGraphics ו-WebKit של שתי מערכות ההפעלה.
שני העדכונים מציינים שההשפעה של הפגיעויות הייתה שעיבוד של קובץ PDF או תוכן אינטרנט "בעל מבנה זדוני" "עלול להוביל לביצוע קוד שרירותי". אפל "מודעת לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל".
תיקון CoreGraphics רשום כבעיה CVE-2021-30860, שדווח על ידי The Citizen Lab, בעוד ש"חוקר אנונימי" דיווח על CVE-2021-30858, המשפיע על WebKit.
העדכונים מתקנים בעיות שאפשרו לתוקף לעקוף את זה של אפלBlastDoorארגז חול אבטחה, מערכת המשמשת לעצירת ביצוע קוד זדוני בהודעות.
הַבָּאדיווח ראשוניעל כלי הפריצה של Pegasus ביולי, דוח שני של Citizen Labבאוגוסטחשף את הפגיעות ב-iMessage, שאפשרה להתקין את פגסוס באייפון יעד. על פי ההערכות, הפריצה והשימוש בפגסוס בוצעו במכשירים שבבעלות עיתונאים ופעילי זכויות אדם.
לְעַדְכֵּן:לאחר שעדכון iOS 14.8 עלה לאוויר, Citizen Lab פרסמה דוח על ניצול אפס קליקים הממנף את הפגיעות CVE-2021-30860. לְפִימעבדת אזרח, נראה כי הניצול פותח על ידי NSO Group והתגלה כאשר הוא מכוון באופן פעיל לסמארטפון של לפחות פעיל סעודי אחד. הניצול, שכוון לספריית עיבוד התמונות של אפל, שימש להפצת תוכנת הריגול של פגסוס במכשירים שנפגעו.
