Lỗ hổng Zero-Day được phát hiện trong các sản phẩm của Apple đang bị khai thác tấn công bởi hacker
Apple hôm thứ Ba đã tung ra các bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day mới có thể dẫn đến việc thực thi mã độc.
Được theo dõi là CVE-2022-42856, sự cố đã được gã khổng lồ công nghệ mô tả là sự cố nhầm lẫn loại trong công cụ trình duyệt WebKit có thể được kích hoạt khi xử lý nội dung được chế tạo đặc biệt, dẫn đến thực thi mã tùy ý.
Công ty cho biết họ "biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực đối với các phiên bản iOS được phát hành trước iOS 15.1."
Mặc dù các chi tiết xung quanh bản chất chính xác của các cuộc tấn công vẫn chưa được biết, nhưng có khả năng nó liên quan đến một trường hợp kỹ thuật xã hội hoặc lỗ tưới nước để lây nhiễm các thiết bị khi truy cập một miền lừa đảo hoặc miền hợp pháp nhưng bị xâm phạm thông qua trình duyệt.
Cần lưu ý rằng mọi trình duyệt web của bên thứ ba có sẵn cho iOS và iPadOS, bao gồm Google Chrome, Mozilla Firefox và Microsoft Edge, cũng như các trình duyệt khác, bắt buộc phải sử dụng công cụ kết xuất WebKit do các hạn chế do Apple áp đặt.
Clément Lecigne thuộc Nhóm phân tích mối đe dọa (TAG) của Google được cho là người đã phát hiện và báo cáo sự cố. Apple lưu ý rằng họ đã giải quyết lỗi bằng cách cải thiện khả năng xử lý trạng thái.
Bản cập nhật khả dụng với iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 và Safari 16.2, đến hai tuần sau khi Apple vá lỗi tương tự trong iOS 16.1.2 vào ngày 30 tháng 11 năm 2022.
Bản sửa lỗi đánh dấu việc giải quyết lỗ hổng zero-day thứ mười được phát hiện trong phần mềm của Apple kể từ đầu năm. Đây cũng là lỗ hổng zero-day được khai thác tích cực thứ chín vào năm 2022 –
CVE-2022-22587 (IOMobileFrameBuffer) – Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền kernel
CVE-2022-22594 (Lưu trữ WebKit) – Một trang web có thể theo dõi thông tin người dùng nhạy cảm (được biết đến công khai nhưng không được khai thác tích cực)
CVE-2022-22620 (WebKit) – Xử lý nội dung web được tạo thủ công độc hại có thể dẫn đến thực thi mã tùy ý
CVE-2022-22674 (Trình điều khiển đồ họa Intel) – Một ứng dụng có thể đọc bộ nhớ kernel
CVE-2022-22675 (AppleAVD) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền kernel
CVE-2022-32893 (WebKit) – Xử lý nội dung web thủ công độc hại có thể dẫn đến thực thi mã tùy ý
CVE-2022-32894 (Kernel) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
CVE-2022-32917 (Kernel) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
CVE-2022-42827 (Kernel) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
Các bản cập nhật iOS, iPadOS và macOS mới nhất cũng giới thiệu một tính năng bảo mật mới có tên là Bảo vệ dữ liệu nâng cao cho iCloud, giúp mở rộng mã hóa đầu cuối (E2EE) cho iCloud Backup, Notes, Photos, v.v.
Hương
TIN CÙNG CHUYÊN MỤC
Khi tiện ích mở rộng tốt trở nên tệ hại:...
Hàng chục tiện ích mở rộng của Chrome bị...
Apple bồi thường 95 triệu USD vì Siri ng...
Hơn 15.000 Bộ định tuyến Four-Faith bị k...
Bạn nghĩ sao nếu người dùng ảo là chatbo...
Các cuộc tấn công mạng “bẻ khóa” thông t...
- Cuối Tuần Vui Vẻ, Giá Rẻ Bất Ngờ
- Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025
- Khi tiện ích mở rộng tốt trở nên tệ hại: Những điể...
- Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế n...
- Lý do dùng AI chỉnh ảnh được yêu thích hơn cách th...
- Hàng chục tiện ích mở rộng của Chrome bị hack, khi...