Apple phát hành các bản cập nhật để giải quyết các lỗi Zero-Day trong iOS, iPadOS, macOS và Safari

Apple vào thứ Sáu đã phát hành các bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS và Safari để giải quyết một số lỗ hổng zero-day đang bị khai thác trên thực tế.

Hai lỗ hổng gồm:

CVE-2023-28205 - Việc sử dụng sau sự cố miễn phí trong WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được tạo thủ công đặc biệt.

CVE-2023-28206 - Sự cố ghi ngoài giới hạn trong IOSurfaceAccelerator có thể cho phép ứng dụng thực thi mã tùy ý với các đặc quyền của nhân.

Apple cho biết họ đã giải quyết vấn đề CVE-2023-28205 bằng cách cải thiện khả năng quản lý bộ nhớ và vấn đề thứ hai là xác thực đầu vào tốt hơn, đồng thời bổ sung thêm rằng họ biết rằng các lỗi "có thể đã bị khai thác tích cực".

Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Donncha Ó Cearbhaill thuộc Phòng thí nghiệm bảo mật của Tổ chức Ân xá Quốc tế được cho là đã phát hiện và báo cáo các lỗ hổng.

Thông tin chi tiết về hai lỗ hổng đã được giữ lại do hoạt động khai thác tích cực và để ngăn chặn nhiều tác nhân đe dọa lạm dụng chúng.

Các bản cập nhật có sẵn trong phiên bản iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 và Safari 16.4.1. Các bản sửa lỗi cũng trải rộng trên nhiều loại thiết bị -iPhone 8 trở lên, iPad Pro (tất cả kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên; Máy Mac chạy macOS Big Sur, Monterey và Ventura.

Apple đã vá ba lỗi zero-day kể từ đầu năm. Vào tháng 2, Apple đã giải quyết một lỗ hổng zero-day khác (CVE-2023-23529) trong WebKit có thể dẫn đến việc thực thi mã tùy ý.

Diễn biến này cũng diễn ra khi Google TAG tiết lộ rằng các nhà cung cấp phần mềm gián điệp thương mại đang tận dụng lỗ hổng zero-day trong Android và iOS để lây nhiễm phần mềm độc hại giám sát vào các thiết bị di động.

Apple mở rộng các bản vá cho các thiết bị cũ hơn

Apple, vào ngày 10 tháng 4 năm 2023, đã nhập các bản vá lỗi cho hai lỗ hổng bị khai thác tích cực bao gồm iPhone, iPad và máy Mac cũ hơn. Các bản cập nhật có sẵn cho các thiết bị sau –

iOS 15.7.5 và iPadOS 15.7.5 - iPhone 6s (tất cả các kiểu), iPhone 7 (tất cả các kiểu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)

macOS Big Sur 11.7.6 và Monterey 12.6.5 (Điều đáng chú ý là bản cập nhật chỉ xử lý CVE-2023-28206.)

Hương – Theo TheHackerNews