Apple tung ra bản vá iOS, macOS và Safari cho 2 lỗ hổng được khai thác tích cực

Apple đã phát hành bản cập nhật phần mềm cho trình duyệt web iOS, iPadOS, macOS và Safari để giải quyết hai lỗ hổng bảo mật mà hãng cho biết đã bị khai thác tích cực trên các phiên bản phần mềm cũ hơn.

Các lỗ hổng, cả hai đều nằm trong công cụ trình duyệt web WebKit, được mô tả bên dưới -

CVE-2023-42916 - Sự cố đọc ngoài giới hạn có thể bị khai thác để rò rỉ thông tin nhạy cảm khi xử lý nội dung web.

CVE-2023-42917 - Lỗi hỏng bộ nhớ có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web.

Apple cho biết họ đã biết về các báo cáo khai thác những thiếu sót “đối với các phiên bản iOS trước iOS 16.7.1”, được phát hành vào ngày 10 tháng 10 năm 2023. Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) đã được ghi nhận là người đã phát hiện và báo cáo hai lỗ hổng kép .

Nhà sản xuất iPhone không cung cấp thêm thông tin về việc khai thác đang diễn ra, nhưng các lỗ hổng zero-day được tiết lộ trước đó trong iOS đã được sử dụng để phát tán phần mềm gián điệp đánh thuê nhắm vào các cá nhân có nguy cơ cao, chẳng hạn như các nhà hoạt động, nhà bất đồng chính kiến, nhà báo và chính trị gia.

Điều đáng lưu ý ở đây là mọi trình duyệt web của bên thứ ba có sẵn cho iOS và iPadOS, bao gồm Google Chrome, Mozilla Firefox và Microsoft Edge, cùng các trình duyệt khác, đều được cung cấp bởi công cụ kết xuất WebKit do các hạn chế do Apple áp đặt, khiến nó trở thành một bề mặt tấn công sinh lợi và rộng rãi.

Các bản cập nhật có sẵn cho các thiết bị và hệ điều hành sau -

iOS 17.1.2 và iPadOS 17.1.2 - iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thứ 6 thế hệ trở lên và iPad mini thế hệ thứ 5 trở lên

macOS Sonoma 14.1.2 - Máy Mac chạy macOS Sonoma

Safari 17.1.2 - Máy Mac chạy macOS Monterey và macOS Ventura

Với các bản sửa lỗi bảo mật mới nhất, Apple đã khắc phục tới 19 lỗ hổng zero-day bị khai thác tích cực kể từ đầu năm 2023. Nó cũng xuất hiện vài ngày sau khi Google gửi bản sửa lỗi cho một lỗ hổng nghiêm trọng cao trong Chrome (CVE-2023-6345) cũng đã xuất hiện. bị tấn công trong thế giới thực, khiến đây là lỗ hổng zero-day thứ bảy được công ty vá trong năm nay.

Hương - Theo TheHackerNews