Apple gấp rút vá 3 lỗ hổng Zero-Day mới: iOS, macOS, Safari và nhiều lỗ hổng khác

www.tuoitre.vn -   25/09/2023 08:00:00 1304

Apple đã phát hành một đợt vá lỗi bảo mật khác để giải quyết ba lỗ hổng zero-day được khai thác tích cực ảnh hưởng đến iOS, iPadOS, macOS, watchOS và Safari, nâng tổng số lỗi zero-day được phát hiện trong phần mềm của hãng trong năm nay.

Apple gấp rút vá 3 lỗ hổng Zero-Day mới: iOS, macOS, Safari và nhiều lỗ hổng khác

Danh sách các lỗ hổng bảo mật như sau -

CVE-2023-41991 - Sự cố xác thực chứng chỉ trong Khung bảo mật có thể cho phép ứng dụng độc hại bỏ qua xác thực chữ ký.

CVE-2023-41992 - Một lỗ hổng bảo mật trong Kernel có thể cho phép kẻ tấn công cục bộ nâng cao đặc quyền của chúng.

CVE-2023-41993 - Một lỗ hổng WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được tạo đặc biệt.

Apple không cung cấp thêm thông tin cụ thể ngoại trừ việc thừa nhận rằng "sự cố có thể đã bị khai thác tích cực trên các phiên bản iOS trước iOS 16.7."

Các bản cập nhật có sẵn cho các thiết bị và hệ điều hành sau -

iOS 16.7 và iPadOS 16.7 - iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên

iOS 17.0.1 và iPadOS 17.0.1 - iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thứ 6 thế hệ trở lên, iPad mini thế hệ thứ 5 trở lên

macOS Monterey 12.7 và macOS Ventura 13.6

watchOS 9.6.3 và watchOS 10.0.1 - Apple Watch Series 4 trở lên

Safari 16.6.1 - macOS Big Sur và macOS Monterey

Được ghi nhận là người đã khám phá và báo cáo những thiếu sót của Bill Marczak thuộc Phòng thí nghiệm Công dân tại Trường Munk của Đại học Toronto và Maddie Stone thuộc Nhóm Phân tích Mối đe dọa (TAG) của Google, chỉ ra rằng chúng có thể đã bị lạm dụng như một phần của phần mềm gián điệp nhắm mục tiêu cao nhằm vào dân sự. các thành viên trong xã hội có nguy cơ cao bị đe dọa trên mạng.

Tiết lộ này được đưa ra hai tuần sau khi Apple giải quyết hai lỗ hổng zero-day bị khai thác tích cực khác (CVE-2023-41061 và CVE-2023-41064) đã bị xích như một phần của chuỗi khai thác iMessage bằng zero-click có tên BLASTPASS để triển khai một phần mềm gián điệp đánh thuê được biết đến. như Pegasus.

Tiếp theo là các bản sửa lỗi vận chuyển của cả Google và Mozilla nhằm chứa lỗ hổng bảo mật (CVE-2023-4863) có thể dẫn đến việc thực thi mã tùy ý khi xử lý một hình ảnh được chế tạo đặc biệt.

Có bằng chứng cho thấy rằng cả CVE-2023-41064, lỗ hổng tràn bộ đệm trong khung phân tích hình ảnh I/O hình ảnh của Apple và CVE-2023-4863, lỗi tràn bộ đệm heap trong thư viện hình ảnh WebP (libwebp), đều có thể tham khảo. theo cùng một lỗi, theo Ben Hawkes, người sáng lập Isosceles và cựu nhà nghiên cứu Google Project Zero,.

Rezilion, trong một phân tích được công bố hôm thứ Năm, đã tiết lộ rằng thư viện libwebp được sử dụng trong một số hệ điều hành, gói phần mềm, ứng dụng Linux và hình ảnh vùng chứa, nhấn mạnh rằng phạm vi của lỗ hổng này rộng hơn nhiều so với giả định ban đầu.

“Tin tốt là lỗi này dường như đã được vá chính xác trong libwebp ngược dòng và bản vá đó đang lan đến mọi nơi mà nó cần đến,” Hawkes nói. "Tin xấu là libwebp được sử dụng ở rất nhiều nơi và có thể phải mất một thời gian nữa bản vá mới đạt đến mức bão hòa."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 46
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 50
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 49
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 73
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 47
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 79
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ