Vulnerabilidad Zero-day Zero-click efectiva contra Apple iOS, MacOS y WatchOS
La vulnerabilidad CVE-2021-30860, apodada FORCEDENTRY, permite la ejecución de código arbitrario en el dispositivo afectado. Afortunadamente es posible corregirla por medio de la actualización de los dispositivos.
La vulnerabilidad fue identificada por el grupo Citizen Lab, un grupo de investigadores de la universidad de Toronto, mientras analizaban el teléfono de un activista Saudí infectado con el spyware Pegasus, del que hemos hablado en artículos previos.
Dispositivos afectados. Fuente: Universidad de Toronto
No es la primera vulnerabilidad en torno a Pegasus (que data de 2016) que corrige Apple. Sirvan de ejemplo las actualizaciones del pasado julio. En este caso desde Citizen Lab aseguran que ha estado en uso desde Febrero de 2021. El grupo reportó la vulnerabilidad el 7 de Septiembre, la semana pasada, acuñándole el nombre de FORCEDENTRY.
Como vector de entrada apuntan a archivos PDF preparados para explotar la vulnerabilidad. El exploit observado en este caso se aprovecharía de una vulnerabilidad integer overflow en la librería de renderizado de imágenes de Apple. Desde Citizen Lab atribuyen estas acciones al Grupo NSO, basándose en la existencia de evidencias representativas de su operativa.
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.