Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để cập nhật các bản vá cho hai lỗ hổng zero-day được khai thác trên các iPhone cũ hơn cũng như một số mẫu Apple Watch và Apple TV.
“Apple đã biết về một thông báo về việc họ có thể đã bị khai thác trên các phiên bản iOS trước iOS 16.7.1”, công ty cho biết trong tư vấn bảo mật được phát hành ngày 4 tháng 12.
Hai lỗ hổng, hiện được theo dõi là CVE-2023-42916 và CVE-2023-42917, được phát hiện trong công cụ trình duyệt WebKit, do Apple phát triển và được trình duyệt web Safari của công ty sử dụng trên các nền tảng của họ (ví dụ: macOS, iOS, iPadOS) .
Chúng có thể cho phép kẻ tấn công có được quyền truy cập vào dữ liệu nhạy cảm thông qua và thực thi mã tùy ý bằng cách sử dụng các trang web được tạo độc hại được thiết kế để khai thác các lỗi ngoài giới hạn và hỏng bộ nhớ trên các thiết bị chưa được vá.
Ngày 11 tháng 12, Apple đã giải quyết các lỗi zero-day trong iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 và watchOS 10.2 bằng cách cải thiện tính năng xác thực và khóa đầu vào.
Công ty cho biết các lỗi này hiện cũng đã được vá trên danh sách thiết bị sau:
- iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air 3 trở lên, iPad 5 trở lên và iPad mini 5 trở lên
- Apple TV HD và Apple TV 4K (tất cả các kiểu máy)
- Apple Watch Series 4 trở lên
- Clément Lecigne, nhà nghiên cứu bảo mật thuộc Nhóm phân tích mối đe dọa (TAG) của Google, đã phát hiện và báo cáo cả hai lỗ hổng zero-day.
Mặc dù Apple vẫn chưa cung cấp thông tin chi tiết về việc khai thác các lỗ hổng trong các cuộc tấn công, nhưng các nhà nghiên cứu tại Google TAG đã thường xuyên xác định và tiết lộ thông tin về các lỗ hổng zero-day được sử dụng trong các cuộc tấn công phần mềm giám sát do nhà nước tài trợ nhắm vào các cá nhân nổi tiếng, bao gồm các nhà báo, nhân vật đối lập, và những người bất đồng chính kiến.
CISA cũng đã ra lệnh cho các cơ quan của Chi nhánh Điều hành Dân sự Liên bang (FCEB) vào tuần trước, vào ngày 4 tháng 12, vá các thiết bị của họ chống lại hai lỗ hổng bảo mật này dựa trên bằng chứng về việc khai thác chủ động.
Kể từ đầu năm, Apple đã vá 20 lỗ hổng zero-day bị khai thác trong các cuộc tấn công:
- Hai zero-day (CVE-2023-42916 và CVE-2023-42917) vào tháng 11
- Hai zero-day (CVE-2023-42824 và CVE-2023-5217) vào tháng 10
- Năm zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993) vào tháng 9
- Hai zero-day (CVE-2023-37450 và CVE-2023-38606) vào tháng 7
- Ba zero-day (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439) vào tháng 6
- Ba zero-day (CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373) vào tháng 5
- Hai zero-day (CVE-2023-28206 và CVE-2023-28205) vào tháng 4
- Và một zero-day WebKit khác (CVE-2023-23529) vào tháng 2
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/ban-cap-nhat-khan-cap-cua-apple-khac-phuc-loi-zero-day-gan-day-tren-iphone-cu
