🔥 Công Ty Cổ phần Sức Sống Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH Cửa Phú Mỹ Hưng đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại - Dịch Vụ - Đầu Tư Q Global đã đăng ký tín nhiệm. 🔥                    🔥 Hiệp Hội Blockchain Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 Thành ủy Cần Thơ đã đăng ký tín nhiệm. 🔥                   

Apple phát hành bản vá cho lỗ hổng zero-day mới đã bị khai thác trong iOS và iPadOS

26/10/2022

Đầu tuần này, Apple đã phát hành các bản cập nhật để khắc phục một lỗ hổng zero-day trong iOS và iPadOS mà họ cho rằng đã bị khai thác trong thực tế.

Lỗ hổng có định danh CVE-2022-42827, do một nhà nghiên cứu ẩn danh phát hiện và báo cáo, liên quan đến lỗi ‘out-of-bounds write’ trong kernel, có thể bị một ứng dụng độc hại lợi dụng để thực thi mã tùy ý với các đặc quyền cao nhất.

Out-of-bounds write thường xảy ra khi một một ứng dụng cố gắng ghi dữ liệu vào một vị trí bộ nhớ mà nó không được phép truy cập, có thể dẫn đến hỏng dữ liệu, sự cố hệ thống hoặc thực thi mã trái phép.

Lỗ hổng đã được giải quyết bằng cách cải thiện việc kiểm tra phạm vi giới hạn (bounds checking) của dữ liệu.

Apple cho biết đã nhận được báo cáo về việc “lỗ hổng có thể đã bị khai thác trong thực tế" và không tiết lộ thêm chi tiết về lỗ hổng này để tránh việc lỗ hổng bị lạm dụng nhiều hơn.

CVE-2022-42827 là lỗ hổng out-of-bound liên quan đến Kernel thứ ba liên tiếp được Apple vá sau CVE-2022-32894 và CVE-2022-32917, đều được báo cáo là đã bị khai thác trong thực tế.

Bản cập nhật bảo mật này đã có sẵn cho iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air thế hệ thứ 3 trở lên, iPad/iPad mini thế hệ thứ 5 trở lên.

Với bản vá mới nhất, Apple đã giải quyết tổng cộng tám lỗ hổng zero-day đã bị khai thác và một lỗ hổng zero-day được công khai rộng rãi kể từ đầu năm nay, bao gồm:

- CVE-2022-22587 (IOMobileFrameBuffer), CVE-2022-22675 (AppleAVD), CVE-2022-32894CVE-2022-32917 (Kernel) – các lỗ hổng cho phép ứng dụng độc hại có thể thực thi mã tùy ý với đặc quyền kernel

- CVE-2022-22594 (WebKit Storage) - lỗ hổng cho phép một trang web thu thập thông tin nhạy cảm của người dùng (đã được công khai rộng rãi)

- CVE-2022-22620CVE-2022-32893 (WebKit) - các lỗ hổng cho phép thực thi mã tùy ý

- CVE-2022-22674 (Intel Graphics Driver) - lỗ hổng cho phép ứng dụng độc hại truy cập đọc trái phép vào bộ nhớ kernel

Ngoài CVE-2022-42827, bản cập nhật cũng giải quyết 19 lỗ hổng khác, bao gồm hai lỗ hổng trong Kernel, ba lỗ hổng trong giao thức Point-to-Point, hai lỗ hổng trong WebKit và một lỗ hổng trong AppleMobileFileIntegrity, Core Bluetooth, IOKit, Sandbox,…

Nguồn: thehackernews.com.

scrolltop