Apple cảnh báo về 3 lỗ hổng mới ảnh hưởng đến các thiết bị iPhone, iPad và Mac

Apple đã cập nhật các tư vấn bảo mật được phát hành vào tháng trước để bổ sung ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS, và macOS.

Lỗ hổng đầu tiên có định đanh CVE-2023-23520, liên quan đến vấn đề tương tranh (race condition) trong thành phần Báo cáo sự cố (Crash Reporter) có thể cho phép kẻ tấn công đọc các tệp tùy ý với quyền root. 

Hai lỗ hổng khác do nhà nghiên cứu của Trellix - Austin Emmitt phát hiện trong Foundation framework có định danh CVE-2023-23530 và CVE-2023-23531, có thể bị khai thác để thực thi mã.

Các lỗ hổng có mức độ nghiêm trọng từ trung bình đến cao, đã được vá trong iOS 16.3, iPadOS 16.3 và macOS Ventura 13.2 được phát hành vào ngày 23 tháng 1 năm 2023.

Trong một báo cáo, Trellix đã phân loại hai lỗ hổng này là "một loại lỗi mới cho phép vượt qua kiểm tra chữ ký (bypassing code signing) để thực thi mã tùy ý trong ngữ cảnh của một số ứng dụng nền tảng, dẫn đến leo thang đặc quyền và thoát khỏi sandbox trên cả macOS và iOS ."

Các lỗ hổng này cũng cho phép vượt qua các biện pháp giảm thiểu mà Apple đã đưa ra để giải quyết các khai thác không nhấp chuột (zero-click) như FORCEDENTRY được NSO Group tận dụng để triển khai phần mềm gián điệp Pegasus trên các thiết bị mục tiêu.

Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi sandbox và thực thi mã độc với các đặc quyền nâng cao, có khả năng giành được quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.

Đáng lo ngại hơn, các lỗ hổng có thể bị lạm dụng để cài đặt các ứng dụng tùy ý hoặc thậm chí xóa sạch thiết bị. Tuy nhiên, việc khai thác các lỗ hổng yêu cầu kẻ tấn công phải có được chỗ đứng ban đầu trong thiết bị.

Người dùng Apple nên kiểm tra và cập nhật lên phiên bản mới nhất tương ứng cho hệ điều hành đang sử dụng để giảm thiểu các nguy cơ bị tấn công.

Nguồn: thehackernews.com.