Objavljivanje iOS 14.8 i iPadOS 14.8 za javnost u ponedeljak je bilo neočekivano i nedostajalo mu je beta verzija pre objavljivanja. Apple je opisao ažuriranja kao „važne bezbednosne ispravke i preporučuju se svim korisnicima“.
Ubrzo nakon objavljivanja, Apple je objavio promene bezbednosnog sadržaja uključene u iOS 14.8 i iPadOS 14.8. Dva popravka se odnose na odeljke CoreGraphics i VebKit oba operativna sistema.
U oba ažuriranja se navodi da je uticaj ranjivosti bio to što obrada „zlonamerno napravljene“ PDF datoteke ili veb sadržaja „može dovesti do proizvoljnog izvršavanja koda“. Apple „je svestan izveštaja da je ovo pitanje možda aktivno eksploatisano“.
Zakrpa CoreGraphics navedena je kao izdanje CVE-2021-30860, o čemu je izveštavala The Citizen Lab, dok je „anonimni istraživač“ prijavio CVE-2021-30858, što utiče na VebKit.
Ažuriranja rešavaju probleme koji su omogućili napadaču da zaobiđe Apple -ov bezbednosni sistem BlastDoor, sistem koji se koristi za zaustavljanje izvršavanja zlonamernog koda u Porukama.
Nakon početnog izveštavanja o alatu za hakovanje Pegasus u julu, drugi izveštaj Citizen Lab -a u avgustu otkrio je ranjivost u iMessage -u, što je omogućilo da se Pegasus instalira na ciljani iPhone. Veruje se da je hakovanje i upotreba Pegasus-a izvedena na uređajima u vlasništvu novinara i aktivista za ljudska prava.
Ažuriranje: Nakon što je ažuriranje za iOS 14.8 objavljeno, Citizen Lab je objavila izveštaj o “zloupotrebi bez klika” koristeći ranjivost CVE-2021-30860. Prema Citizen Lab -u, čini se da je eksploataciju razvila NSO Group i otkrivena je kada je aktivno ciljala pametni telefon najmanje jednog saudijskog aktiviste. Eksploatacija, koja je bila usmerena na Appleovu biblioteku za renderovanje slika, korišćena je za distribuciju špijunskog softvera Pegasus na pogođenim uređajima.
