Apple phát hành bản vá lỗi khẩn cấp cho 2 lỗ hổng bảo mật Zero-Day đang bị khai thác

www.tuoitre.vn -   14/06/2021 10:00:00 1553

Bản cập nhật mới nhất, iOS 12.5.4, đi kèm với các bản sửa lỗi cho ba lỗi bảo mật, bao gồm vấn đề hỏng bộ nhớ trong bộ giải mã ASN.1 (CVE-2021-30737) và hai lỗ hổng liên quan đến công cụ trình duyệt WebKit có thể bị lạm dụng để đạt được mã từ xa chấp hành.

Apple phát hành bản vá lỗi khẩn cấp cho 2 lỗ hổng bảo mật Zero-Day đang bị khai thác

CVE-2021-30761 - Một vấn đề hỏng bộ nhớ có thể bị lợi dụng để thực thi mã tùy ý khi xử lý nội dung web được chế tạo độc hại. Lỗ hổng đã được giải quyết bằng cách cải thiện quản lý nhà nước.

CVE-2021-30762 - Một vấn đề miễn phí sử dụng có thể bị lợi dụng để thực thi mã tùy ý khi xử lý nội dung web được tạo thủ công độc hại. Lỗ hổng đã được giải quyết với việc cải thiện quản lý bộ nhớ.

Cả CVE-2021-30761 và CVE-2021-30762 đều được báo cáo ẩn danh cho Apple, với công ty có trụ sở tại Cupertino tuyên bố trong lời khuyên của mình rằng họ biết các báo cáo rằng các lỗ hổng "có thể đã bị khai thác tích cực". Như thường lệ, Apple không chia sẻ bất kỳ chi tiết cụ thể nào về bản chất của các cuộc tấn công, các nạn nhân có thể đã được nhắm mục tiêu hoặc các tác nhân đe dọa có thể đang lạm dụng chúng.

Tuy nhiên, một điều hiển nhiên là các nỗ lực khai thác tích cực nhắm vào chủ sở hữu của các thiết bị cũ hơn như iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 và iPod touch (thế hệ thứ 6). Động thái này phản ánh một bản sửa lỗi tương tự mà Apple đã tung ra vào ngày 3 tháng 5 để khắc phục lỗ hổng tràn bộ đệm (CVE-2021-30666) trong WebKit nhắm mục tiêu cùng một bộ thiết bị.

Cùng với hai lỗ hổng nói trên, Apple đã vá tổng cộng 12 ngày không ảnh hưởng đến iOS, iPadOS, macOS, tvOS và watchOS kể từ đầu năm -

CVE-2021-1782 (Kernel) - Một ứng dụng độc hại có thể nâng cao đặc quyền

CVE-2021-1870 (WebKit) - Kẻ tấn công từ xa có thể gây ra việc thực thi mã tùy ý

CVE-2021-1871 (WebKit) - Kẻ tấn công từ xa có thể gây ra việc thực thi mã tùy ý

CVE-2021-1879 (WebKit) - Xử lý nội dung web được chế tạo độc hại có thể dẫn đến tập lệnh trên nhiều trang web phổ biến

CVE-2021-30657 (Tùy chọn hệ thống) - Một ứng dụng độc hại có thể vượt qua kiểm tra của Gatekeeper

CVE-2021-30661 (WebKit Storage) - Xử lý nội dung web được tạo thủ công có thể dẫn đến việc thực thi mã tùy ý

CVE-2021-30663 (WebKit) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2021-30665 (WebKit) - Xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2021-30666 (WebKit) - Việc xử lý nội dung web được chế tạo độc hại có thể dẫn đến việc thực thi mã tùy ý

CVE-2021-30713 (khung TCC) - Một ứng dụng độc hại có thể bỏ qua các tùy chọn Quyền riêng tư

Người dùng các thiết bị của Apple được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu rủi ro liên quan đến các lỗ hổng bảo mật.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 57
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 66
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 58
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 88
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 62
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 85
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ