Apple a publié des mises à jour de sécurité pour corriger deux Zero-Days qui ont été exploitées dans la nature, permettant à des documents malveillants d'exécuter des commandes lorsqu'ils sont ouverts sur des appareils vulnérables. L'une d'elles est connue pour être utilisée dans le but d’installer le logiciel espion Pegasus sur les iPhones.

Les vulnérabilités sont référencées CVE-2021-30860 et CVE-2021-30858. Toutes deux permettent à des documents malveillants d'exécuter des commandes lorsqu'ils sont ouverts sur des appareils vulnérables.

La première vulnérabilité (CVE-2021-30860) CoreGraphics, est un bug de débordement d'entier découvert par Citizen Lab qui permet aux acteurs de la menace de créer des documents PDF malveillants pouvant exécuter des commandes lorsqu'ils sont ouverts dans iOS et macOS.

La seconde, CVE-2021-30858, est une vulnérabilité WebKit use after free permettant aux attaquants de créer des pages web malveillantes qui exécutent des commandes lorsqu'elles sont visitées sur les iPhones et macOS. Apple précise que cette vulnérabilité a été divulguée de manière anonyme.

"Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", indique l'entreprise.

Bien qu'Apple n'ait pas publié d'informations supplémentaires sur la façon dont les vulnérabilités ont été utilisées dans des attaques, Citizen Lab a confirmé que CVE-2021-30860 est un exploit iMessage de type zero-day zero-click nommé "FORCEDENTRY" qui est utilisé pour contourner la fonction de sécurité iOS BlastDoor afin de déployer le logiciel espion NSO Pegasus sur des appareils appartenant à des activistes bahreïnis.