Como informamos, ontem a Apple lançou atualizações de software para iPhones, iPads, Macs e Apple Watches com correções de segurança para duas vulnerabilidades zero-day que, de acordo com novas informações do The Record, estavam sendo exploradas contra um membro de uma organização da sociedade civil nos Estados Unidos.
A constatação veio do Citizen Lab, um grupo de cibersegurança que investiga ataques contra organizações e governos, que compartilhou uma publicação na qual explicou que, na semana passada, foi encontrada uma vulnerabilidade zero-click (o que significa que o alvo dos invasores não precisa tocar ou clicar em nada) usada como parte de uma cadeia de exploração projetada para implantar o já conhecido spyware Pegasus, do NSO Group.
Na semana passada, ao verificar o dispositivo de um indivíduo empregado por uma organização da sociedade civil sediada em Washington, D.C com escritórios internacionais, o Citizen Lab encontrou uma vulnerabilidade zero-click explorada ativamente sendo usada para implantar o spyware mercenário Pegasus, do NSO Group.
Com base no que o Citizen Lab descreveu e no fato de que a Apple também corrigiu outra vulnerabilidade (atribuindo a descoberta a si própria), pode ser que a Maçã tenha encontrado a segunda vulnerabilidade enquanto investigava a primeira.
O Citizen Lab disse que denominou a cadeia de exploração como BLASTPASS, uma vez que ela envolvia o PassKit (framework que permite aos desenvolvedores incluir o Apple Pay em seus aplicativos).
Desde o início deste ano, cabe notar, a Apple corrigiu 13 brechas zero-day exploradas em ataques contra dispositivos que executam o iOS, o iPadOS, o macOS e o watchOS.
via TechCrunch