Apple cảnh báo về 3 lỗ hổng mới ảnh hưởng đến các thiết bị iPhone, iPad và Mac

www.tuoitre.vn -   23/02/2023 08:00:00 489

Apple đã sửa đổi các tư vấn bảo mật được phát hành vào tháng trước để bao gồm ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS và macOS.

Apple cảnh báo về 3 lỗ hổng mới ảnh hưởng đến các thiết bị iPhone, iPad và Mac

Lỗ hổng đầu tiên là một lỗi thành phần Trình báo cáo sự cố (CVE-2023-23520) có thể cho phép tác nhân độc hại đọc các tệp tùy ý với quyền root. Nhà sản xuất iPhone cho biết họ đã giải quyết vấn đề bằng cách xác thực bổ sung.

Hai lỗ hổng khác, được ghi nhận cho nhà nghiên cứu Trellix, Austin Emmitt, nằm trong khung Foundation (CVE-2023-23530 và CVE-2023-23531) và có thể được vũ khí hóa để thực thi mã.

"Một ứng dụng có thể thực thi mã tùy ý từ sandbox của nó hoặc với một số đặc quyền nâng cao nhất định", Apple cho biết thêm rằng nó đã vá các vấn đề bằng "xử lý bộ nhớ được cải thiện".

Các lỗ hổng có mức độ nghiêm trọng từ trung bình đến cao đã được vá trong iOS 16.3, iPadOS 16.3 và macOS Ventura 13.2 được xuất xưởng vào ngày 23 tháng 1 năm 2023.

Các lỗi này cũng bỏ qua các biện pháp giảm thiểu mà Apple đưa ra để giải quyết các khai thác không nhấp chuột như FORCEDENTRY, được nhà cung cấp phần mềm gián điệp đánh thuê của Israel NSO Group tận dụng để triển khai Pegasus trên các thiết bị của mục tiêu.

Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi hộp cát và thực thi mã độc hại với các quyền được nâng cao, có khả năng cấp quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.

Đáng lo ngại hơn, các lỗi bảo mật có thể bị lạm dụng để cài đặt các ứng dụng tùy ý hoặc thậm chí xóa sạch thiết bị. Điều đó nói rằng, việc khai thác các lỗ hổng yêu cầu kẻ tấn công phải có được chỗ đứng ban đầu trong đó.

Emmitt cho biết: “Các lỗ hổng trên thể hiện sự vi phạm đáng kể mô hình bảo mật của macOS và iOS dựa trên các ứng dụng riêng lẻ có quyền truy cập chi tiết vào tập hợp con tài nguyên mà chúng cần và truy vấn các dịch vụ đặc quyền cao hơn để lấy bất kỳ thứ gì khác”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 171
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 105
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 245
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 237
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 280
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 146
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ