Seguridad

Vulnerabilidad Zero-day Zero-click efectiva contra Apple iOS, MacOS y WatchOS

La vulnerabilidad CVE-2021-30860, apodada FORCEDENTRY, permite la ejecución de código arbitrario en el dispositivo afectado. Afortunadamente es posible corregirla por medio de la actualización de los dispositivos.

La vulnerabilidad fue identificada por el grupo Citizen Lab, un grupo de investigadores de la universidad de Toronto, mientras analizaban el teléfono de un activista Saudí infectado con el spyware Pegasus, del que hemos hablado en artículos previos

Dispositivos afectados. Fuente: Universidad de Toronto

No es la primera vulnerabilidad en torno a Pegasus (que data de 2016) que corrige Apple. Sirvan de ejemplo las actualizaciones del pasado julio. En este caso desde Citizen Lab aseguran que ha estado en uso desde Febrero de 2021. El grupo reportó la vulnerabilidad el 7 de Septiembre, la semana pasada, acuñándole el nombre de FORCEDENTRY. 

Como vector de entrada apuntan a archivos PDF preparados para explotar la vulnerabilidad. El exploit observado en este caso se aprovecharía de una vulnerabilidad integer overflow en la librería de renderizado de imágenes de Apple. Desde Citizen Lab atribuyen estas acciones al Grupo NSO, basándose en la existencia de evidencias representativas de su operativa. 

Más información:

FORCEDENTRY, NSO Group iMessae Zero-Click Exploit Captured in the Wild. Bill Marczak, John Scott-Railton, Bahr Abdul Razzak, Noura Al-Jizawi, Siena Anstis, Kristin Berdan y Ron Deibert. Munkschool, Universidad de Toronto. 13 septiembre 2021. https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/

Pegasus spyware controversy: The story so far (a timeline of events). The Free Press Journal. 25 Julio 2021. https://www.freepressjournal.in/india/pegasus-spyware-controversy-the-story-so-far

Apple fixes iOS zero-day used to deploy NSO iPhone spyware. Lawrence Abrams. BleepingComputer. 13 septiembre 2021. https://www.bleepingcomputer.com/news/apple/apple-fixes-ios-zero-day-used-to-deploy-nso-iphone-spyware/

La entrada Vulnerabilidad Zero-day Zero-click efectiva contra Apple iOS, MacOS y WatchOS se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.