Apple cảnh báo về 3 lỗ hổng mới ảnh hưởng đến các thiết bị iPhone, iPad và Mac
Apple đã sửa đổi các tư vấn bảo mật được phát hành vào tháng trước để bao gồm ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS và macOS.
Lỗ hổng đầu tiên là một lỗi thành phần Trình báo cáo sự cố (CVE-2023-23520) có thể cho phép tác nhân độc hại đọc các tệp tùy ý với quyền root. Nhà sản xuất iPhone cho biết họ đã giải quyết vấn đề bằng cách xác thực bổ sung.
Hai lỗ hổng khác, được ghi nhận cho nhà nghiên cứu Trellix, Austin Emmitt, nằm trong khung Foundation (CVE-2023-23530 và CVE-2023-23531) và có thể được vũ khí hóa để thực thi mã.
"Một ứng dụng có thể thực thi mã tùy ý từ sandbox của nó hoặc với một số đặc quyền nâng cao nhất định", Apple cho biết thêm rằng nó đã vá các vấn đề bằng "xử lý bộ nhớ được cải thiện".
Các lỗ hổng có mức độ nghiêm trọng từ trung bình đến cao đã được vá trong iOS 16.3, iPadOS 16.3 và macOS Ventura 13.2 được xuất xưởng vào ngày 23 tháng 1 năm 2023.
Các lỗi này cũng bỏ qua các biện pháp giảm thiểu mà Apple đưa ra để giải quyết các khai thác không nhấp chuột như FORCEDENTRY, được nhà cung cấp phần mềm gián điệp đánh thuê của Israel NSO Group tận dụng để triển khai Pegasus trên các thiết bị của mục tiêu.
Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi hộp cát và thực thi mã độc hại với các quyền được nâng cao, có khả năng cấp quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.
Đáng lo ngại hơn, các lỗi bảo mật có thể bị lạm dụng để cài đặt các ứng dụng tùy ý hoặc thậm chí xóa sạch thiết bị. Điều đó nói rằng, việc khai thác các lỗ hổng yêu cầu kẻ tấn công phải có được chỗ đứng ban đầu trong đó.
Emmitt cho biết: “Các lỗ hổng trên thể hiện sự vi phạm đáng kể mô hình bảo mật của macOS và iOS dựa trên các ứng dụng riêng lẻ có quyền truy cập chi tiết vào tập hợp con tài nguyên mà chúng cần và truy vấn các dịch vụ đặc quyền cao hơn để lấy bất kỳ thứ gì khác”.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Tác hại của ánh sáng xanh từ màn hình đi...
Cảnh báo mã độc phát tán từ những quảng ...
Trojan độc hại mới Crocodilus lợi dụng k...
Dân mạng cố lách để cài đặt Windows 11 k...
Kaspersky tiết lộ hơn 500.000 vụ tấn côn...
Lỗi Windows máy in khó chịu nhất năm 202...
-
Thông báo giá bán mới của Kaspersky Small Office S...
-
Tác hại của ánh sáng xanh từ màn hình điện tử đến ...
-
Kaspersky tiết lộ hơn 500.000 vụ tấn công lừa đảo ...
-
Thông báo giá bán mới của Sản phẩm Kaspersky bản q...
-
Lỗi Windows máy in khó chịu nhất năm 2025 đã được ...
-
Dân mạng cố lách để cài đặt Windows 11 không cần i...
-
Kaspersky thông báo về việc ngừng cung cấp một số ...
-
Thông báo giá bán mới của Sản phẩm Kaspersky bản q...
-
Thông báo nghỉ lễ Giỗ Tổ Hùng Vương năm 2025
-
Thông báo giá bán mới của Kaspersky Small Office S...
-
Tác hại của ánh sáng xanh từ màn hình điện tử đến ...
-
NTS trao tặng 500 quà tặng cho các em học sinh vượ...
TAGS
LIÊN HỆ
