Apple phát hành bản vá cho lỗ hổng Zero-Day đang bị khai thác chủ động trên iOS và iPadOS

Gã khổng lồ công nghệ Apple hôm thứ Hai đã tung ra các bản cập nhật để khắc phục một lỗ hổng zero-day trong iOS và iPadOS mà họ cho rằng đã bị khai thác tích cực.

Lỗ hổng, có số nhận dạng CVE-2022-42827, đã được mô tả là một vấn đề ghi ngoài giới hạn trong Nhân, có thể bị một ứng dụng giả mạo lợi dụng để thực thi mã tùy ý với các đặc quyền cao nhất.

Khai thác thành công lỗi ghi ngoài giới hạn, thường xảy ra khi một chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài giới hạn mà nó được phép truy cập, có thể dẫn đến hỏng dữ liệu, sự cố hoặc thực thi mã trái phép.

Nhà sản xuất iPhone cho biết họ đã giải quyết lỗi bằng cách kiểm tra giới hạn được cải thiện, đồng thời ghi nhận một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng.

Như thường lệ với các lỗi zero-day được khai thác tích cực, Apple hạn chế chia sẻ chi tiết cụ thể hơn về lỗi này ngoài việc thừa nhận rằng họ "biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực."

CVE-2022-42827 là lỗ hổng bộ nhớ ngoài giới hạn liên quan đến Nhân thứ ba liên tiếp được Apple vá sau CVE-2022-32894 và CVE-2022-32917, hai trong số đó cũng đã được báo cáo trước đây là đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực.

Bản cập nhật bảo mật khả dụng cho iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên.

Với bản sửa lỗi mới nhất, Apple đã đóng tám lỗ hổng zero-day được khai thác tích cực và một lỗ hổng zero-day được biết đến công khai kể từ đầu năm -

CVE-2022-22587 (IOMobileFrameBuffer) - Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền hạt nhân

CVE-2022-22594 (WebKit Storage) - Một trang web có thể theo dõi thông tin nhạy cảm của người dùng (được biết đến công khai nhưng không được khai thác tích cực)

CVE-2022-22620 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2022-22674 (Trình điều khiển đồ họa Intel) - Một ứng dụng có thể đọc bộ nhớ hạt nhân

CVE-2022-22675 (AppleAVD) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền hạt nhân

CVE-2022-32893 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2022-32894 (Kernel) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

CVE-2022-32917 (Kernel) - Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

Ngoài CVE-2022-42827, bản cập nhật cũng giải quyết 19 lỗ hổng bảo mật khác, bao gồm hai lỗ hổng trong Kernel, ba lỗ hổng trong Giao thức điểm-điểm (PPP), hai lỗ hổng trong WebKit và một lỗ hổng bảo mật trong AppleMobileFileIntegrity, Core Bluetooth, IOKit, Sandbox , và nhiều hơn nữa.

Hôm thứ Năm, Apple đã thông báo lại các bản sửa lỗi cho lỗ hổng zero-day trên iOS (CVE-2022-42827) cho các thiết bị cũ hơn như một phần của bản cập nhật iOS và iPadOS 15.7.1, cùng với các bản vá cho 17 lỗ hổng khác.

Danh sách các thiết bị bị ảnh hưởng bao gồm iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)

Gã khổng lồ công nghệ cũng đã sửa đổi lời khuyên mà họ đưa ra vào đầu tuần này cho iOS 16.1 và iPadOS 16 để bao gồm thêm 15 lỗi mới, bao gồm 4 vấn đề trong Kernel và các lỗi khác trong Apple Neural Engine, FaceTime, Graphics Driver và zlib, tính tổng số trong số các bản sửa lỗi đến 36.

Hương