Vulnerabilidad Zero-day Zero-click efectiva contra Apple iOS, MacOS y WatchOS

La vulnerabilidad CVE-2021-30860, apodada FORCEDENTRY, permite la ejecución de código arbitrario en el dispositivo afectado. Afortunadamente es posible corregirla por medio de la actualización de los dispositivos.

La vulnerabilidad fue identificada por el grupo Citizen Lab, un grupo de investigadores de la universidad de Toronto, mientras analizaban el teléfono de un activista Saudí infectado con el spyware Pegasus, del que hemos hablado en artículos previos.

Dispositivos afectados. Fuente: Universidad de Toronto

No es la primera vulnerabilidad en torno a Pegasus (que data de 2016) que corrige Apple. Sirvan de ejemplo las actualizaciones del pasado julio. En este caso desde Citizen Lab aseguran que ha estado en uso desde Febrero de 2021. El grupo reportó la vulnerabilidad el 7 de Septiembre, la semana pasada, acuñándole el nombre de FORCEDENTRY.

Como vector de entrada apuntan a archivos PDF preparados para explotar la vulnerabilidad. El exploit observado en este caso se aprovecharía de una vulnerabilidad integer overflow en la librería de renderizado de imágenes de Apple. Desde Citizen Lab atribuyen estas acciones al Grupo NSO, basándose en la existencia de evidencias representativas de su operativa.

Ver información original al respecto en Fuente>