Apple khẩn cấp phát hành bản vá lỗi cho iPhone và iPad

www.tuoitre.vn -   12/10/2021 08:00:00 985

Hôm thứ Hai, Apple đã phát hành một bản cập nhật bảo mật cho iOS và iPad để giải quyết một lỗ hổng nghiêm trọng mà họ cho rằng đang bị khai thác khiến nó trở thành lỗ hổng zero-day thứ 17 mà công ty đã giải quyết trong các sản phẩm của mình kể từ đầu năm nay.

Apple khẩn cấp phát hành bản vá lỗi cho iPhone và iPad

Lỗ hổng được gán mã CVE-2021-30883, liên quan đến vấn đề hỏng bộ nhớ trong thành phần "IOMobileFrameBuffer" có thể cho phép ứng dụng thực thi mã tùy ý với đặc quyền hạt nhân. Ghi nhận một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng bảo mật, Apple cho biết họ "biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực."

Thông tin kỹ thuật về lỗ hổng và bản chất của các cuộc tấn công vẫn chưa rõ ràng, cũng như danh tính của các tác nhân đe dọa, để cho phép phần lớn người dùng áp dụng bản vá và ngăn chặn các đối thủ khác vũ khí hóa lỗ hổng. Nhà sản xuất iPhone cho biết họ đã giải quyết vấn đề bằng cách cải thiện khả năng xử lý bộ nhớ.

Nhà nghiên cứu bảo mật Saar Amar đã chia sẻ các chi tiết bổ sung và khai thác bằng chứng khái niệm (PoC), lưu ý rằng "bề mặt tấn công này rất thú vị vì nó có thể truy cập từ hộp cát ứng dụng (vì vậy nó rất tốt cho việc bẻ khóa) và nhiều quy trình khác, làm cho nó một ứng cử viên tốt cho việc khai thác LPE theo chuỗi. "

  • CVE-2021-30883 cũng là lỗ hổng zero-day thứ hai ảnh hưởng đến IOMobileFrameBuffer sau khi Apple giải quyết vấn đề hỏng bộ nhớ được báo cáo ẩn danh tương tự (CVE-2021-30807) vào tháng 7 năm 2021, làm tăng khả năng hai lỗ hổng này có thể liên quan đến nhau. Với bản sửa lỗi mới nhất, công ty đã giải quyết được kỷ lục 17 lỗ hổng zero-day chỉ tính từ đầu năm 2021.
  • CVE-2021-1782 (Kernel) - Một ứng dụng độc hại có thể nâng cao đặc quyền
  • CVE-2021-1870 (WebKit) - Kẻ tấn công từ xa có thể gây ra việc thực thi mã tùy ý
  • CVE-2021-1871 (WebKit) - Kẻ tấn công từ xa có thể gây ra việc thực thi mã tùy ý
  • CVE-2021-1879 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến tập lệnh trên nhiều trang web phổ biến
  • CVE-2021-30657 (Tùy chọn hệ thống) - Một ứng dụng độc hại có thể vượt qua kiểm tra của Gatekeeper
  • CVE-2021-30661 (WebKit Storage) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30663 (WebKit) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30665 (WebKit) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30666 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30713 (khung TCC) - Một ứng dụng độc hại có thể bỏ qua các tùy chọn Quyền riêng tư
  • CVE-2021-30761 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30762 (WebKit) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30807 (IOMobileFrameBuffer) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền hạt nhân
  • CVE-2021-30858 (WebKit) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30860 (CoreGraphics) - Xử lý một tệp PDF được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý
  • CVE-2021-30869 (XNU) - Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền hạt nhân

Người dùng iPhone và iPad của Apple được khuyến nghị cập nhật lên phiên bản mới nhất (iOS 15.0.2 và iPad 15.0.2) để giảm thiểu lỗ hổng bảo mật.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 169
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 103
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 244
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 236
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 279
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 146
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ