Apple kom mandag denne uken med sikkerhetsoppdateringer til både IOS, MacOS, IpadOS og WatchOS som blant annet fjerner en sårbarhet (CVE-2021-30860) i bildegjengivningskomponenten CoreGraphics i operativsystemene. Denne sårbarheten gjør det mulig for angripere å kjøre vilkårlig kode på det sårbare systemet ved hjelp av et spesielt utformet PDF-dokument.
Apple bekrefter at det kjenner til rapporter om at sårbarheten blir aktivt utnyttet.
Avslørt på mobilen til aktivist
Det er The Citizen Lab som har varslet Apple om sårbarheten. Den ble oppdaget da The Citizen Lab granske mobiltelefonen til en saudiarabisk aktivist, etter at denne var blitt infisert med Pegasus-spionvaren til israelske NSO Group. Infiseringen skal skjedd via IMessage-appen, og uten at brukeren måtte klikke på noe.
The Citizen Lab har kalt sårbarheten for Forcedentry og mener den har blitt utnyttet i angrep siden februar i år. Apple ble varslet om funnene den 7. september og hadde altså en sikkerhetsoppdatering klar seks dager senere.
Ny rapport: – Disse teknologiselskapene har flest sårbarheter
