Bản cập nhật khẩn cấp của Apple khắc phục lỗi zero-day gần đây trên iPhone cũ

15 tháng 12, 2023

Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để cập nhật các bản vá cho hai lỗ hổng zero-day được khai thác trên các iPhone cũ hơn cũng như một số mẫu Apple Watch và Apple TV.


“Apple đã biết về một thông báo về việc họ có thể đã bị khai thác trên các phiên bản iOS trước iOS 16.7.1”, công ty cho biết trong tư vấn bảo mật được phát hành ngày 4 tháng 12.


Hai lỗ hổng, hiện được theo dõi là CVE-2023-42916 và CVE-2023-42917, được phát hiện trong công cụ trình duyệt WebKit, do Apple phát triển và được trình duyệt web Safari của công ty sử dụng trên các nền tảng của họ (ví dụ: macOS, iOS, iPadOS) .


Chúng có thể cho phép kẻ tấn công có được quyền truy cập vào dữ liệu nhạy cảm thông qua và thực thi mã tùy ý bằng cách sử dụng các trang web được tạo độc hại được thiết kế để khai thác các lỗi ngoài giới hạn và hỏng bộ nhớ trên các thiết bị chưa được vá.


Ngày 11 tháng 12, Apple đã giải quyết các lỗi zero-day trong iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 và watchOS 10.2 bằng cách cải thiện tính năng xác thực và khóa đầu vào.


Công ty cho biết các lỗi này hiện cũng đã được vá trên danh sách thiết bị sau:

  • iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air 3 trở lên, iPad 5 trở lên và iPad mini 5 trở lên
  • Apple TV HD và Apple TV 4K (tất cả các kiểu máy)
  • Apple Watch Series 4 trở lên
  • Clément Lecigne, nhà nghiên cứu bảo mật thuộc Nhóm phân tích mối đe dọa (TAG) của Google, đã phát hiện và báo cáo cả hai lỗ hổng zero-day.


Mặc dù Apple vẫn chưa cung cấp thông tin chi tiết về việc khai thác các lỗ hổng trong các cuộc tấn công, nhưng các nhà nghiên cứu tại Google TAG đã thường xuyên xác định và tiết lộ thông tin về các lỗ hổng zero-day được sử dụng trong các cuộc tấn công phần mềm giám sát do nhà nước tài trợ nhắm vào các cá nhân nổi tiếng, bao gồm các nhà báo, nhân vật đối lập, và những người bất đồng chính kiến.


CISA cũng đã ra lệnh cho các cơ quan của Chi nhánh Điều hành Dân sự Liên bang (FCEB) vào tuần trước, vào ngày 4 tháng 12, vá các thiết bị của họ chống lại hai lỗ hổng bảo mật này dựa trên bằng chứng về việc khai thác chủ động.


Kể từ đầu năm, Apple đã vá 20 lỗ hổng zero-day bị khai thác trong các cuộc tấn công:

  • Hai zero-day (CVE-2023-42916 và CVE-2023-42917) vào tháng 11
  • Hai zero-day (CVE-2023-42824 và CVE-2023-5217) vào tháng 10
  • Năm zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993) vào tháng 9
  • Hai zero-day (CVE-2023-37450 và CVE-2023-38606) vào tháng 7
  • Ba zero-day (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439) vào tháng 6
  • Ba zero-day  (CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373) vào tháng 5
  • Hai zero-day (CVE-2023-28206 và CVE-2023-28205) vào tháng 4
  • Và một zero-day WebKit khác (CVE-2023-23529) vào tháng 2



Nguồn: bleepingcomputer.com



Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: