Apple heeft een update voor iOS uitgebracht waarmee drie zerodays worden gedicht. De gaten in de kernel en in WebKit werden volgens het bedrijf actief uitgebuit. Details over die specifieke aanval geeft het bedrijf niet.
Het gaat om gaten in iOS 14.3 en iPadOS 14.3 die zijn bijgewerkt naar versie 14.4. In het besturingssysteem zaten drie bugs, schrijft Apple in de patch notes. De bugs werden aangedragen door anonieme beveiligingsonderzoekers. Een van de lekken zit in de iOS-kernel. CVE-2021-1782 is een privilege escalation-bug die ontstond door een race condition en die kon worden ingeladen door een geïnfecteerde applicatie
Daarnaast zijn ook twee andere lekken ontdekt in WebKit. Daar maakt onder andere de Safari-browser gebruik van. CVE-2021-1870 en CVE-2021-1871 zijn logic issues die waren uit te buiten door een geïnfecteerde website te bezoeken. Daardoor kon code worden uitgevoerd op het apparaat. Apple geeft geen nadere details over de kwetsbaarheden of de aanvallen waarin die gebruikt zouden worden. Gezien de aard van de lekken is het mogelijk dat die in combinatie met elkaar worden uitgevoerd.