Apple heeft een beveiligingsupdate aangekondigd voor iOS, macOS en watchOS tegen een zero-day in iMessage van het Israëlische bedrijf NSO Group, waardoor toegang gekregen kon worden tot iPhones, iPads, Macs en Apple Watches zonder op een link te klikken.

De zero-click exploit tegen iMessage werd door Citizen Lab aangetroffen op de iPhone van een Saoedische activist, De exploit, genaamd ForcedEntry, misbruikt Apples image rendering library en kan zonder dat het slachtoffer op een link hoeft te klikken toegang krijgen tot een Apple-apparaat, enkel door een gifje te sturen naar de telefoon van het slachtoffer. Dat gifje is in werkelijkheid een PSD- of PDF-file.

Die file crasht de IMTranscoderAgent op het apparaat, waardoor Pegasus arbitraire code kan uitvoeren op het apparaat. De kwetsbaarheid werkt op zowel iOS, MacOS als watchOS. Volgens Citizen Lab wordt de kwetsbaarheid op zijn minst sinds februari dit jaar misbruikt.

Apple roept gebruikers op zo snel mogelijk hun besturingssytemen te updaten. Voor iOS en iPadOS is de meest recente versie 14.8, voor macOS versie 11.6 en voor watchOS versie 7.6.2. Ook heeft Apple een beveiligingsupdate voor macOS Catalina uitgestuurd, update 2021-005

Alles bij de bron; Tweakers