Apple phát hành bản vá cho các lỗ hổng zero-day trong sản phẩm của họ

Thứ Sáu vừa qua, Apple đã phát hành các bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS và Safari để giải quyết một số lỗ hổng zero-day hiện đang bị khai thác trong thực tế, bao gồm:

- CVE-2023-28205 - lỗi use after free trong WebKit, có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại.

- CVE-2023-28206 - lỗi out-of-bounds write trong IOSurfaceAccelerator, có thể cho phép ứng dụng thực thi mã tùy ý với quyền kernel.

Apple cho biết đã giải quyết hai lỗ hổng bằng cách cải thiện khả năng quản lý bộ nhớ và bổ sung thêm biện pháp kiểm tra xác thực đầu vào, đồng thời cho biết thêm rằng họ đã nhận được báo cáo về việc các lỗ hổng "có thể đã bị khai thác trong thực tế".

Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Donncha Ó Cearbhaill thuộc Nhóm nghiên cứu bảo mật của Tổ chức Ân xá Quốc tế được cho là đã phát hiện và báo cáo các lỗ hổng.

Thông tin chi tiết về hai lỗ hổng hiện vẫn được giữ bí mật để ngăn các tác nhân đe dọa lạm dụng khai thác chúng.

Các bản vá đã có sẵn trong phiên bản iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 và Safari 16.4.1, được áp dụng cho nhiều loại thiết bị, bao gồm:

- iPhone 8 trở lên, iPad Pro (tất cả kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên

- Máy Mac chạy macOS Big Sur, Monterey và Ventura

Apple đã vá ba lỗi zero-day kể từ đầu năm nay. Trước đó, vào tháng 2, Apple đã giải quyết một lỗ hổng zero-day khác (CVE-2023-23529) trong WebKit có thể dẫn đến việc thực thi mã tùy ý.

Người dùng Apple nên kiểm tra và nâng cấp lên các phiên bản mới nhất cho các sản phẩm đang sử dụng để giảm thiểu nguy cơ bị khai thác tấn công.

Diễn biến này diễn ra cùng khi Google TAG tiết lộ rằng các nhà cung cấp phần mềm gián điệp thương mại đang lạm dụng các lỗ hổng zero-day trong Android và iOS để phát tán phần mềm độc hại giám sát trên các thiết bị di động.

Nguồn: thehackernews.com.