Apple phát hành bản vá cho lỗ hổng Zero-Day đang bị khai thác chủ động trên iOS và iPadOS

www.tuoitre.vn -   25/10/2022 08:00:00 703

Gã khổng lồ công nghệ Apple hôm thứ Hai đã tung ra các bản cập nhật để khắc phục một lỗ hổng zero-day trong iOS và iPadOS mà họ cho rằng đã bị khai thác tích cực.

Apple phát hành bản vá cho lỗ hổng Zero-Day đang bị khai thác chủ động trên iOS và iPadOS

Lỗ hổng, có số nhận dạng CVE-2022-42827, đã được mô tả là một vấn đề ghi ngoài giới hạn trong Nhân, có thể bị một ứng dụng giả mạo lợi dụng để thực thi mã tùy ý với các đặc quyền cao nhất.

Khai thác thành công lỗi ghi ngoài giới hạn, thường xảy ra khi một chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài giới hạn mà nó được phép truy cập, có thể dẫn đến hỏng dữ liệu, sự cố hoặc thực thi mã trái phép.

Nhà sản xuất iPhone cho biết họ đã giải quyết lỗi bằng cách kiểm tra giới hạn được cải thiện, đồng thời ghi nhận một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng.

Như thường lệ với các lỗi zero-day được khai thác tích cực, Apple hạn chế chia sẻ chi tiết cụ thể hơn về lỗi này ngoài việc thừa nhận rằng họ "biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực."

CVE-2022-42827 là lỗ hổng bộ nhớ ngoài giới hạn liên quan đến Nhân thứ ba liên tiếp được Apple vá sau CVE-2022-32894 và CVE-2022-32917, hai trong số đó cũng đã được báo cáo trước đây là đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực.

Bản cập nhật bảo mật khả dụng cho iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên.

Với bản sửa lỗi mới nhất, Apple đã đóng tám lỗ hổng zero-day được khai thác tích cực và một lỗ hổng zero-day được biết đến công khai kể từ đầu năm -

CVE-2022-22587 (IOMobileFrameBuffer) - Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền hạt nhân

CVE-2022-22594 (WebKit Storage) - Một trang web có thể theo dõi thông tin nhạy cảm của người dùng (được biết đến công khai nhưng không được khai thác tích cực)

CVE-2022-22620 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2022-22674 (Trình điều khiển đồ họa Intel) - Một ứng dụng có thể đọc bộ nhớ hạt nhân

CVE-2022-22675 (AppleAVD) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền hạt nhân

CVE-2022-32893 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2022-32894 (Kernel) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

CVE-2022-32917 (Kernel) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

Ngoài CVE-2022-42827, bản cập nhật cũng giải quyết 19 lỗ hổng bảo mật khác, bao gồm hai lỗ hổng trong Kernel, ba lỗ hổng trong Giao thức điểm-điểm (PPP), hai lỗ hổng trong WebKit và một lỗ hổng bảo mật trong AppleMobileFileIntegrity, Core Bluetooth, IOKit, Sandbox , và nhiều hơn nữa.

Hôm thứ Năm, Apple đã thông báo lại các bản sửa lỗi cho lỗ hổng zero-day trên iOS (CVE-2022-42827) cho các thiết bị cũ hơn như một phần của bản cập nhật iOS và iPadOS 15.7.1, cùng với các bản vá cho 17 lỗ hổng khác.

Danh sách các thiết bị bị ảnh hưởng bao gồm iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)

Gã khổng lồ công nghệ cũng đã sửa đổi lời khuyên mà họ đưa ra vào đầu tuần này cho iOS 16.1 và iPadOS 16 để bao gồm thêm 15 lỗi mới, bao gồm 4 vấn đề trong Kernel và các lỗi khác trong Apple Neural Engine, FaceTime, Graphics Driver và zlib, tính tổng số trong số các bản sửa lỗi đến 36.

Hương

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 485
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 478
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ