Apple cảnh báo về 3 lỗ hổng mới ảnh hưởng đến các thiết bị iPhone, iPad và Mac

www.tuoitre.vn -   23/02/2023 08:00:00 573

Apple đã sửa đổi các tư vấn bảo mật được phát hành vào tháng trước để bao gồm ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS và macOS.

Apple cảnh báo về 3 lỗ hổng mới ảnh hưởng đến các thiết bị iPhone, iPad và Mac

Lỗ hổng đầu tiên là một lỗi thành phần Trình báo cáo sự cố (CVE-2023-23520) có thể cho phép tác nhân độc hại đọc các tệp tùy ý với quyền root. Nhà sản xuất iPhone cho biết họ đã giải quyết vấn đề bằng cách xác thực bổ sung.

Hai lỗ hổng khác, được ghi nhận cho nhà nghiên cứu Trellix, Austin Emmitt, nằm trong khung Foundation (CVE-2023-23530 và CVE-2023-23531) và có thể được vũ khí hóa để thực thi mã.

"Một ứng dụng có thể thực thi mã tùy ý từ sandbox của nó hoặc với một số đặc quyền nâng cao nhất định", Apple cho biết thêm rằng nó đã vá các vấn đề bằng "xử lý bộ nhớ được cải thiện".

Các lỗ hổng có mức độ nghiêm trọng từ trung bình đến cao đã được vá trong iOS 16.3, iPadOS 16.3 và macOS Ventura 13.2 được xuất xưởng vào ngày 23 tháng 1 năm 2023.

Các lỗi này cũng bỏ qua các biện pháp giảm thiểu mà Apple đưa ra để giải quyết các khai thác không nhấp chuột như FORCEDENTRY, được nhà cung cấp phần mềm gián điệp đánh thuê của Israel NSO Group tận dụng để triển khai Pegasus trên các thiết bị của mục tiêu.

Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi hộp cát và thực thi mã độc hại với các quyền được nâng cao, có khả năng cấp quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.

Đáng lo ngại hơn, các lỗi bảo mật có thể bị lạm dụng để cài đặt các ứng dụng tùy ý hoặc thậm chí xóa sạch thiết bị. Điều đó nói rằng, việc khai thác các lỗ hổng yêu cầu kẻ tấn công phải có được chỗ đứng ban đầu trong đó.

Emmitt cho biết: “Các lỗ hổng trên thể hiện sự vi phạm đáng kể mô hình bảo mật của macOS và iOS dựa trên các ứng dụng riêng lẻ có quyền truy cập chi tiết vào tập hợp con tài nguyên mà chúng cần và truy vấn các dịch vụ đặc quyền cao hơn để lấy bất kỳ thứ gì khác”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 45
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 45
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 44
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 44
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 32
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 24
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ