WebKit bị tấn công: Apple phát hành các bản vá khẩn cấp cho 3 lỗ hổng Zero-Day mới

www.tuoitre.vn -   19/05/2023 08:00:00 402

Apple hôm thứ Năm đã tung ra các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình duyệt web Safari để giải quyết hàng tá lỗ hổng, bao gồm ba lỗ hổng zero-day mới mà hãng cho biết đang bị khai thác tích cực trên thực tế.

WebKit bị tấn công: Apple phát hành các bản vá khẩn cấp cho 3 lỗ hổng Zero-Day mới

Ba lỗ hổng bảo mật được liệt kê dưới đây :

CVE-2023-32409 - Một lỗ hổng WebKit có thể bị kẻ xấu khai thác để thoát ra khỏi hộp cát Nội dung web. Nó đã được giải quyết với kiểm tra giới hạn được cải thiện.

CVE-2023-28204 - Sự cố đọc ngoài giới hạn trong WebKit có thể bị lạm dụng để tiết lộ thông tin nhạy cảm khi xử lý nội dung web. Nó đã được giải quyết với xác thực đầu vào được cải thiện.

CVE-2023-32373 - Lỗi sử dụng miễn phí sau khi sử dụng trong WebKit có thể dẫn đến thực thi mã tùy ý khi xử lý nội dung web được tạo thủ công độc hại. Nó đã được giải quyết với quản lý bộ nhớ được cải thiện.

Nhà sản xuất iPhone đã ghi nhận Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Donncha Ó Cearbhaill thuộc Phòng thí nghiệm bảo mật của Tổ chức Ân xá Quốc tế vì đã báo cáo CVE-2023-32409. Một nhà nghiên cứu ẩn danh đã được công nhận vì đã báo cáo hai vấn đề còn lại.

Điều đáng chú ý là cả CVE-2023-28204 và CVE-2023-32373 đều đã được vá như một phần của bản cập nhật Phản hồi bảo mật nhanh – iOS 16.4.1 (a) và iPadOS 16.4.1 (a) – công ty đã phát hành vào đầu năm tháng.

Hiện tại không có chi tiết kỹ thuật bổ sung nào về các lỗ hổng, bản chất của các cuộc tấn công hoặc danh tính của các tác nhân đe dọa có thể đang khai thác chúng.

Điều đó nói rằng, những điểm yếu như vậy đã từng được tận dụng như một phần của các cuộc xâm nhập có mục tiêu cao để triển khai phần mềm gián điệp đánh thuê trên thiết bị của những người bất đồng chính kiến, nhà báo và nhà hoạt động nhân quyền, cùng những người khác.

Các bản cập nhật mới nhất có sẵn cho các thiết bị và hệ điều hành sau -

  • iOS 16.5 và iPadOS 16.5 - iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
  • iOS 15.7.6 và iPadOS 15.7.6 - iPhone 6s (tất cả các kiểu), iPhone 7 (tất cả các kiểu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)
  • macOS Ventura 13.4 - macOS Ventura
  • tvOS 16.5 - Apple TV 4K (tất cả các mẫu) và Apple TV HD
  • watchOS 9.5 - Apple Watch Series 4 trở lên
  • Safari 16.5 - macOS Big Sur và macOS Monterey

Cho đến nay, Apple đã khắc phục tổng cộng sáu lỗ hổng zero-day bị khai thác tích cực kể từ đầu năm 2023. Đầu tháng 2 này, công ty đã cắm một lỗ hổng WebKit (CVE-2023-23529) có thể dẫn đến thực thi mã từ xa.

Sau đó vào tháng trước, nó đã gửi các bản sửa lỗi cho một cặp lỗ hổng (CVE-2023-28205 và CVE-2023-28206) cho phép thực thi mã với các đặc quyền nâng cao. Lecigne và Ó Cearbhaill được cho là đã báo cáo các lỗi bảo mật.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 205
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 325
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 303
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 269
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 311
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 237
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ