Thứ tư tuần này, Apple đã phát hành bản cập nhật bảo mật cho các nền tảng iOS, iPadOS, và macOS để khắc phục hai lỗ hổng zero-day có thể đã bị khai thác trong thực tế, bao gồm:
- CVE-2022-32893: Lỗ hổng out-of-bounds trong WebKit có thể dẫn đến thực thi mã tùy ý.
- CVE-2022-32894: Lỗ hổng out-of-bounds trong Kernel của hệ điều hành, có thể bị ứng dụng độc hại lạm dụng để thực thi mã tùy ý với quyền cao nhất.
Hai lỗ hổng đều đã được vá trong phiên bản iOS 15.6.1, iPadOS 15.6.1 và macOS Monterey 12.5.1. Các bản cập nhật iOS và iPadOS có sẵn cho các thiết bị iPhone 6s trở lên, iPad Pro (tất cả các mẫu), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7).
Apple cho biết các lỗ hổng "có thể đã bị khai thác tích cực". Công ty không tiết lộ bất kỳ thông tin bổ sung nào liên quan đến các cuộc tấn công này. Có khả năng chúng đã bị lạm dụng như một phần của các cuộc xâm nhập có chủ đích.
Bản cập nhật mới nhất đã nâng tổng số zero-day được Apple vá từ đầu năm nay lên 6, các lỗ hổng đã được khắc phục trước đó bao gồm:
- CVE-2022-22587: Lỗ hổng trong IOMobileFrameBuffer cho phép ứng dụng độc hại có thể thực thi mã tùy ý với quyền kernel.
- CVE-2022-22620: Lỗ hổng thực thi mã tùy ý trong WebKit.
- CVE-2022-22674: Lỗ hổng trong Intel Graphics Driver cho phép truy cập đọc trái phép vào bộ nhớ kernel.
- CVE-2022-22675: Lỗ hổng trong AppleAVD cho phép ứng dụng độc hại có thể thực thi mã tùy ý với quyền kernel.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện các lỗ hổng mới cho phép kẻ tấn công lấy được khóa mã hóa và các thông tin bí mật khác từ bộ xử lý Intel và AMD.
Tín nhiệm mạng | Signal cho biết cuộc tấn công mạng nhằm vào Twilio vào đầu tháng này có thể đã làm lộ số điện thoại của khoảng 1.900 người dùng Signal.
Tín nhiệm mạng | Các lỗ hổng bảo mật được tiết lộ gần đây trong các mẫu Xiaomi Redmi Note 9T và Redmi Note 11 có thể bị lợi dụng để vô hiệu hóa cơ chế thanh toán di động và giả mạo các giao dịch thanh toán.
Tín nhiệm mạng | Hai lỗ hổng trong Zimbra Collaboration đã được thêm vào Danh mục các lỗ hổng được khai thác đã biết, có thể được kết hợp với nhau để đạt được thực thi mã từ xa mà không cần xác thực trên các máy chủ email bị ảnh hưởng
Tín nhiệm mạng | Cisco xác nhận nhóm ransomware Yanluowang đã xâm phạm mạng công ty vào cuối tháng 5 và đe dọa tống tiền công ty nếu không muốn dữ liệu bị đánh cắp bị lộ trực tuyến.
Tín nhiệm mạng | Microsoft phát hành Patch Tuesday mới để khắc phục 121 lỗ hổng bao gồm một zero-day đã bị khai thác trong thực tế, 17 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa hoặc leo thang đặc quyền.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
