Apple phát hành bản vá cho lỗ hổng Zero-Day đang bị khai thác chủ động trên iOS và iPadOS

www.tuoitre.vn -   25/10/2022 08:00:00 256

Gã khổng lồ công nghệ Apple hôm thứ Hai đã tung ra các bản cập nhật để khắc phục một lỗ hổng zero-day trong iOS và iPadOS mà họ cho rằng đã bị khai thác tích cực.

Apple phát hành bản vá cho lỗ hổng Zero-Day đang bị khai thác chủ động trên iOS và iPadOS

Lỗ hổng, có số nhận dạng CVE-2022-42827, đã được mô tả là một vấn đề ghi ngoài giới hạn trong Nhân, có thể bị một ứng dụng giả mạo lợi dụng để thực thi mã tùy ý với các đặc quyền cao nhất.

Khai thác thành công lỗi ghi ngoài giới hạn, thường xảy ra khi một chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài giới hạn mà nó được phép truy cập, có thể dẫn đến hỏng dữ liệu, sự cố hoặc thực thi mã trái phép.

Nhà sản xuất iPhone cho biết họ đã giải quyết lỗi bằng cách kiểm tra giới hạn được cải thiện, đồng thời ghi nhận một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng.

Như thường lệ với các lỗi zero-day được khai thác tích cực, Apple hạn chế chia sẻ chi tiết cụ thể hơn về lỗi này ngoài việc thừa nhận rằng họ "biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực."

CVE-2022-42827 là lỗ hổng bộ nhớ ngoài giới hạn liên quan đến Nhân thứ ba liên tiếp được Apple vá sau CVE-2022-32894 và CVE-2022-32917, hai trong số đó cũng đã được báo cáo trước đây là đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực.

Bản cập nhật bảo mật khả dụng cho iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên.

Với bản sửa lỗi mới nhất, Apple đã đóng tám lỗ hổng zero-day được khai thác tích cực và một lỗ hổng zero-day được biết đến công khai kể từ đầu năm -

CVE-2022-22587 (IOMobileFrameBuffer) - Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền hạt nhân

CVE-2022-22594 (WebKit Storage) - Một trang web có thể theo dõi thông tin nhạy cảm của người dùng (được biết đến công khai nhưng không được khai thác tích cực)

CVE-2022-22620 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2022-22674 (Trình điều khiển đồ họa Intel) - Một ứng dụng có thể đọc bộ nhớ hạt nhân

CVE-2022-22675 (AppleAVD) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền hạt nhân

CVE-2022-32893 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2022-32894 (Kernel) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

CVE-2022-32917 (Kernel) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

Ngoài CVE-2022-42827, bản cập nhật cũng giải quyết 19 lỗ hổng bảo mật khác, bao gồm hai lỗ hổng trong Kernel, ba lỗ hổng trong Giao thức điểm-điểm (PPP), hai lỗ hổng trong WebKit và một lỗ hổng bảo mật trong AppleMobileFileIntegrity, Core Bluetooth, IOKit, Sandbox , và nhiều hơn nữa.

Hôm thứ Năm, Apple đã thông báo lại các bản sửa lỗi cho lỗ hổng zero-day trên iOS (CVE-2022-42827) cho các thiết bị cũ hơn như một phần của bản cập nhật iOS và iPadOS 15.7.1, cùng với các bản vá cho 17 lỗ hổng khác.

Danh sách các thiết bị bị ảnh hưởng bao gồm iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)

Gã khổng lồ công nghệ cũng đã sửa đổi lời khuyên mà họ đưa ra vào đầu tuần này cho iOS 16.1 và iPadOS 16 để bao gồm thêm 15 lỗi mới, bao gồm 4 vấn đề trong Kernel và các lỗi khác trong Apple Neural Engine, FaceTime, Graphics Driver và zlib, tính tổng số trong số các bản sửa lỗi đến 36.

Hương

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 21
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 27
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 23
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 22
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 23
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 27
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ