A Apple lançou na última quinta-feira atualizações de segurança de emergência para iOS, iPadOS, macOS e watchOS para abordar duas falhas de zero day que foram exploradas em ataques reais para entregar o spyware Pegasus do Grupo NSO.

As questões identificadas foram um problema de validação e de estouro de buffer no componente Image I/O. Enquanto o primeiro foi encontrado pelo Citizen Lab da Universidade de Toronto, o segundo foi descoberto internamente pela Apple, com “assistência” do Citizen Lab.

As atualizações estão disponíveis para vários dispositivos, incluindo iPhone 8 e posteriores, iPad Pro, iPad Air 3ª geração e posteriores, iPad 5ª geração e posteriores, iPad mini 5ª geração e posteriores, dispositivos macOS rodando macOS Ventura e Apple Watch Series 4 e posteriores. Especificidades técnicas adicionais sobre as falhas foram retidas devido à exploração ativa.

No entanto, a exploração é dita para contornar o framework de sandbox BlastDoor configurado pela Apple para mitigar ataques zero click. Desde o início do ano, a Apple corrigiu um total de 13 bugs de zero day em seu software