Lỗ hổng Zero-Day được phát hiện trong các sản phẩm của Apple đang bị khai thác tấn công bởi hacker

www.tuoitre.vn -   14/12/2022 08:00:00 621

Apple hôm thứ Ba đã tung ra các bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day mới có thể dẫn đến việc thực thi mã độc.

Lỗ hổng Zero-Day được phát hiện trong các sản phẩm của Apple đang bị khai thác tấn công bởi hacker

Được theo dõi là CVE-2022-42856, sự cố đã được gã khổng lồ công nghệ mô tả là sự cố nhầm lẫn loại trong công cụ trình duyệt WebKit có thể được kích hoạt khi xử lý nội dung được chế tạo đặc biệt, dẫn đến thực thi mã tùy ý.

Công ty cho biết họ "biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực đối với các phiên bản iOS được phát hành trước iOS 15.1."

Mặc dù các chi tiết xung quanh bản chất chính xác của các cuộc tấn công vẫn chưa được biết, nhưng có khả năng nó liên quan đến một trường hợp kỹ thuật xã hội hoặc lỗ tưới nước để lây nhiễm các thiết bị khi truy cập một miền lừa đảo hoặc miền hợp pháp nhưng bị xâm phạm thông qua trình duyệt.

Cần lưu ý rằng mọi trình duyệt web của bên thứ ba có sẵn cho iOS và iPadOS, bao gồm Google Chrome, Mozilla Firefox và Microsoft Edge, cũng như các trình duyệt khác, bắt buộc phải sử dụng công cụ kết xuất WebKit do các hạn chế do Apple áp đặt.

Clément Lecigne thuộc Nhóm phân tích mối đe dọa (TAG) của Google được cho là người đã phát hiện và báo cáo sự cố. Apple lưu ý rằng họ đã giải quyết lỗi bằng cách cải thiện khả năng xử lý trạng thái.

Bản cập nhật khả dụng với iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 và Safari 16.2, đến hai tuần sau khi Apple vá lỗi tương tự trong iOS 16.1.2 vào ngày 30 tháng 11 năm 2022.

Bản sửa lỗi đánh dấu việc giải quyết lỗ hổng zero-day thứ mười được phát hiện trong phần mềm của Apple kể từ đầu năm. Đây cũng là lỗ hổng zero-day được khai thác tích cực thứ chín vào năm 2022 –

CVE-2022-22587 (IOMobileFrameBuffer) – Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền kernel

CVE-2022-22594 (Lưu trữ WebKit) – Một trang web có thể theo dõi thông tin người dùng nhạy cảm (được biết đến công khai nhưng không được khai thác tích cực)

CVE-2022-22620 (WebKit) – Xử lý nội dung web được tạo thủ công độc hại có thể dẫn đến thực thi mã tùy ý

CVE-2022-22674 (Trình điều khiển đồ họa Intel) – Một ứng dụng có thể đọc bộ nhớ kernel

CVE-2022-22675 (AppleAVD) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền kernel

CVE-2022-32893 (WebKit) – Xử lý nội dung web thủ công độc hại có thể dẫn đến thực thi mã tùy ý

CVE-2022-32894 (Kernel) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

CVE-2022-32917 (Kernel) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

CVE-2022-42827 (Kernel) – Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel

Các bản cập nhật iOS, iPadOS và macOS mới nhất cũng giới thiệu một tính năng bảo mật mới có tên là Bảo vệ dữ liệu nâng cao cho iCloud, giúp mở rộng mã hóa đầu cuối (E2EE) cho ‌iCloud‌ Backup, Notes, Photos, v.v.

Hương

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 134
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 116
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 380
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 43
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 36
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 216
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button