Cập nhật iOS và macOS ngay bây giờ!

www.tuoitre.vn -   27/04/2023 08:00:00 349

Một lỗ hổng rất nghiêm trọng đã được tìm thấy trong hệ điều hành của Apple. Đừng trì hoãn việc cập nhật lên iOS 16.4.1 và macOS 13.3.1. Xin lưu ý rằng các bản cập nhật cũng có sẵn cho iOS 15 và macOS 11 và 12.

Cập nhật iOS và macOS ngay bây giờ!

Ngay sau khi Kaspersky viết về các lỗ hổng trong cả hệ điều hành của Apple và Microsoft, cũng như trong chip Samsung Exynos, cho phép hack điện thoại thông minh mà không cần bất kỳ hành động nào từ phía chủ sở hữu, thì tin tức đã nổ ra về một số lỗ hổng bảo mật rất nghiêm trọng trong cả iOS và macOS — bên cạnh những thứ mà kẻ tấn công đã khai thác. Các lỗ hổng nghiêm trọng đến mức để chống lại chúng, Apple đã nhanh chóng phát hành các bản cập nhật không chỉ cho các hệ điều hành mới nhất mà còn cho một số phiên bản trước đó. Nhưng hãy thực hiện từng bước một…

Các lỗ hổng trong WebKit và IOSurfaceAccelerator

Tổng cộng, hai lỗ hổng đã được phát hiện. Vấn đề đầu tiên — có tên là CVE-2023-28205 (mức độ đe dọa: “cao” [8,8/10]) — liên quan đến công cụ WebKit, là nền tảng của trình duyệt Safari (và không chỉ vậy; thông tin chi tiết bên dưới). Bản chất của lỗ hổng này là bằng cách sử dụng một trang độc hại được tạo đặc biệt, kẻ xấu có thể thực thi mã tùy ý trên thiết bị.

Lỗ hổng thứ hai — CVE-2023-28206 (mức độ đe dọa “cao” [8.6/10]) — được phát hiện trong đối tượng IOSurfaceAccelerator. Những kẻ tấn công có thể sử dụng nó để thực thi mã với các quyền cốt lõi của hệ điều hành. Do đó, hai lỗ hổng này có thể được sử dụng kết hợp: lỗ hổng đầu tiên xâm nhập vào thiết bị ban đầu để lỗ hổng thứ hai có thể bị khai thác. Đổi lại, thứ hai cho phép bạn “thoát khỏi hộp cát” và làm hầu hết mọi thứ với thiết bị bị nhiễm.

Các lỗ hổng có thể được tìm thấy trong cả hệ điều hành máy tính để bàn macOS và thiết bị di động: iOS, iPadOS và tvOS. Không chỉ các thế hệ mới nhất của các hệ điều hành này dễ bị tổn thương mà cả các hệ điều hành trước đó cũng vậy, vì vậy Apple đã phát hành các bản cập nhật (lần lượt từng bản) cho toàn bộ các hệ thống: macOS 11, 12 và 13, iOS/iPadOS 15 và 16, và cả tvOS 16.

Tại sao những lỗ hổng này lại nguy hiểm?

Công cụ WebKit là công cụ trình duyệt duy nhất được phép trên các hệ điều hành di động của Apple. Cho dù bạn sử dụng trình duyệt nào trên iPhone, WebKit vẫn sẽ được sử dụng để hiển thị các trang web (vì vậy mọi trình duyệt trên iOS về cơ bản là Safari).

Hơn nữa, cùng một công cụ cũng được sử dụng khi các trang web được mở từ bất kỳ ứng dụng nào khác. Đôi khi nó thậm chí có thể trông không giống một trang web, nhưng WebKit vẫn sẽ tham gia vào việc hiển thị nó. Đó là lý do tại sao việc cài đặt kịp thời bất kỳ bản cập nhật mới nào liên quan đến Safari là rất quan trọng, ngay cả khi bạn chủ yếu sử dụng một trình duyệt khác như Google Chrome hoặc Mozilla Firefox.

Các lỗ hổng trong WebKit, chẳng hạn như lỗ hổng được mô tả ở trên, có thể gây ra cái gọi là lây nhiễm “không nhấp chuột” vào iPhone, iPad hoặc Mac. Tức là thiết bị bị nhiễm mà không có bất kỳ hành động tích cực nào của người dùng — chỉ cần dụ họ đến một trang web độc hại được tạo đặc biệt là đủ.

Thông thường, những lỗ hổng như vậy được khai thác trong các cuộc tấn công nhắm mục tiêu vào những người có quyền lực hoặc tổ chức lớn (mặc dù người dùng thông thường cũng có thể bị tấn công nếu họ không may rơi vào trang bị nhiễm). Và có vẻ như một cái gì đó tương tự đang xảy ra trong trường hợp này. Như thường lệ, Apple không tiết lộ bất kỳ chi tiết nào, nhưng theo tất cả các tài khoản, chuỗi lỗ hổng được mô tả ở trên đã được những kẻ tấn công không xác định tích cực sử dụng để cài đặt phần mềm gián điệp.

Ngoài ra, vì CVE-2023-28205 và CVE-2023-28206 đã được công khai và bằng chứng về khái niệm đã được xuất bản cho lỗ hổng thứ hai, nên có khả năng tội phạm mạng khác cũng sẽ bắt đầu khai thác chúng.

Cách tự bảo vệ mình trước các lỗ hổng được mô tả

Tất nhiên, cách tốt nhất để bảo vệ khỏi CVE-2023-28205 và CVE-2023-28206 là nhanh chóng cài đặt các bản cập nhật mới của Apple. Đây là những gì bạn cần làm, tùy thuộc vào thiết bị được đề cập:

Nếu bạn có một trong các thiết bị iOS, iPadOS hoặc tvOS mới nhất thì bạn nên cập nhật hệ điều hành lên phiên bản 16.4.1.

Nếu bạn sở hữu iPhone hoặc iPad cũ hơn không còn hỗ trợ HĐH mới nhất thì bạn phải cập nhật lên phiên bản 15.7.5.

Nếu máy Mac của bạn đang chạy Hệ điều hành Ventura mới nhất thì chỉ cần cập nhật lên macOS 13.3.1.

Nếu máy Mac của bạn đang chạy macOS Big Sur hoặc Monterey, bạn sẽ cần cập nhật lên macOS 11.7.6 hoặc 12.6.5 tương ứng, đồng thời cài đặt bản cập nhật riêng cho Safari.

Và tất nhiên, đừng quên bảo vệ máy Mac của bạn bằng phần mềm chống vi-rút đáng tin cậy có thể bảo vệ bạn trước các lỗ hổng mới chưa được khắc phục.

Hương - Theo Kaspersky

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 148
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 68
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 218
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 213
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 140
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ