Apple phát hành bản vá cho các lỗ hổng zero-day đã bị khai thác trong iOS, macOS và Safari

Thứ Tư vừa qua, Apple đã phát hành một loạt bản cập nhật cho iOS, iPadOS, macOS, watchOS và trình duyệt Safari để giải quyết các lỗ hổng mà hãng cho biết là đã bị khai thác trong thực tế.

Hai lỗ hổng zero-day đã bị lạm dụng trong một chiến dịch giám sát di động được gọi là Operation Triangulation, hoạt động từ năm 2019 và hiện chưa rõ kẻ đứng sau, bao gồm:

- CVE-2023-32434 - Lỗ hổng tràn số (integer overflow) trong Kernel có thể bị ứng dụng độc hại khai thác để thực thi mã tùy ý với các đặc quyền của kernel.

- CVE-2023-32435 - Lỗ hổng bộ nhớ (Memory corruption) trong WebKit có thể dẫn đến thực thi mã tùy ý khi xử lý nội dung web độc hại.

Apple cho biết hai lỗ hổng, được các nhà nghiên cứu của Kaspersky - Georgy Kucherin, Leonid Bezvershenko và Boris Larin báo cáo, "có thể đã bị khai thác trong thực tế trên các phiên bản iOS được phát hành trước iOS 15.7".

Tư vấn bảo mật được đưa ra khi nhà cung cấp dịch vụ bảo mật của Nga phân tích phần mềm gián điệp được sử dụng trong chiến dịch tấn công không cần nhấp chuột (zero-click) nhắm mục tiêu vào các thiết bị iOS thông qua tin nhắn trực tuyến chứa tệp đính kèm chứa mã khai thác của một lỗ hổng thực thi mã từ xa (RCE).

Mã khai thác cũng được thiết kế để tải xuống các thành phần độc hại khác nhằm giành quyền root trên thiết bị mục tiêu, sau đó, backdoor được cài cắm trong bộ nhớ và tin nhắn ban đầu sẽ bị xóa để che giấu dấu vết tấn công.

Phần mềm độc hại, được gọi là TriangleDB, chỉ hoạt động trong bộ nhớ, không để lại dấu vết hoạt động sau khi khởi động lại thiết bị. Nó có khả năng thu thập và theo dõi dữ liệu đa dạng, bao gồm "tương tác với hệ thống tệp của thiết bị (tạo, sửa đổi, trích xuất và xóa tệp), quản lý các tiến trình (liệt kê và chấm dứt), thu thập thông tin đăng nhập và giám sát vị trí địa lý của nạn nhân, trong số những thứ khác."

Bản vá bảo mật thứ ba của Apple khắc phục lỗ hổng zero-day CVE-2023-32439, được báo cáo ẩn danh, có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại.

Lỗ hổng đã bị khai thác trong thực tế, được mô tả là sự cố nhầm lẫn kiểu, đã được giải quyết bằng cách bổ sung các kiểm tra giới hạn. Các bản cập nhật hiện có sẵn trong các phiên bản sau:

- iOS 16.5.1 và iPadOS 16.5.1 - iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad và iPad mini thế hệ thứ 5 trở lên

- iOS 15.7.7 và iPadOS 15.7.7 - iPhone 6s và iPhone 7 (tất cả các kiểu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)

- macOS Ventura 13.4.1, macOS Monterey 12.6.7, và macOS Big Sur 11.7.8

- watchOS 9.5.2 - Apple Watch Series 4 trở lên

- watchOS 8.8.1 - Apple Watch Series 3 đến Series 7 và SE

- Safari 16.5.1 - Máy Mac chạy macOS Monterey

Với đợt cập nhật mới nhất, Apple đã giải quyết tổng cộng 9 lỗ hổng zero-day trong các sản phẩm của mình kể từ đầu năm.

Vào tháng 2, Apple đã giải quyết một lỗ hổng WebKit (CVE-2023-23529) có thể dẫn đến thực thi mã từ xa. Vào tháng 4, công ty đã phát hành bản cập nhật cho hai lỗi (CVE-2023-28205 và CVE-2023-28206) cho phép thực thi mã với các đặc quyền nâng cao.

Sau đó, vào tháng 5, Apple đã phát hành các bản vá cho ba lỗ hổng khác trong WebKit (CVE-2023-32409, CVE-2023-28204, và CVE-2023-32373) có thể cho phép kẻ đe dọa thoát khỏi lớp bảo vệ sandbox, truy cập dữ liệu nhạy cảm và thực thi mã tùy ý.

Nguồn: thehackernews.com