Pe lângă noile opţiuni de funcţionalitate, noua actualizare pentru iPhone repară 43 de vulnerabilităţi de securitate. Cele mai importante sunt două vulnerabilităţi remote code execution la nivelul WebKit, care, combinate cu alte bug-uri, pot conduce atacatorii la accesul la nivelul kernel.
În cadrul noii actualizări de securitate pentru MacOS, Apple a reparat CVE-2021-30713, exploatată aproape un an de malware-ul XCSSET, propagat prin proiecte Xcode maliţioase de pe GitHub.
Vulnerabilitatea este utilizată de malware pentru identificarea aplicaţiilor MacOS care au primit anumite permisiuni şi la nivelul cărora este ataşat ulterior un applet care permite XCSSET să realizeze diverse acţiuni, precum o captură de ecran.
Deşi atacul XCSSET este unul de nişă, vizând în principal developeri, există riscul ca alte grupări de criminialitate cibernetică să exploateze vulnerabilitatea prezentă pe sistemele neactualizate.
