Apple phát hành bản vá khẩn cấp cho 3 lỗ hổng zero-day mới trong iOS, macOS, Safari

Apple đã phát hành các bản vá bảo mật khẩn cấp để giải quyết ba lỗ hổng zero-day mới đã bị khai thác trong thực tế ảnh hưởng đến iOS, iPadOS, macOS, watchOS và Safari, nâng tổng số zero-day được phát hiện trong phần mềm của hãng trong năm nay lên 16.

Ba zero-day mới bao gồm:

- CVE-2023-41991 - vấn đề kiểm tra xác thực chứng chỉ trong Security framework có thể cho phép ứng dụng độc hại vượt qua kiểm tra xác thực chữ ký.

- CVE-2023-41992 - lỗ hổng trong Kernel có thể cho phép kẻ tấn công cục bộ leo thang đặc quyền.

- CVE-2023-41993 - lỗ hổng WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại.

Apple không tiết lộ thêm thông tin cụ thể ngoại trừ việc xác nhận rằng "lỗ hổng có thể đã bị khai thác trong thực tế trên các phiên bản iOS trước 16.7".

Các bản cập nhật hiện có sẵn cho các thiết bị và hệ điều hành sau:

- iOS 16.7 và iPadOS 16.7 - iPhone 8 trở lên, iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad và iPad mini thế hệ thứ 5 trở lên

- iOS 17.0.1 và iPadOS 17.0.1 - iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thứ 6 thế hệ trở lên, iPad mini thế hệ thứ 5 trở lên

- macOS Monterey 12.7 và macOS Ventura 13.6

- watchOS 9.6.3 và watchOS 10.0.1 - Apple Watch Series 4 trở lên

- Safari 16.6.1 - macOS Big Sur và macOS Monterey

Bill Marczak thuộc Citizen Lab tại Trường Munk của Đại học Toronto và Maddie Stone thuộc Nhóm Phân tích Mối đe dọa (TAG) của Google là người đã phát hiện và báo cáo các lỗ hổng.

Tiết lộ này được đưa ra hai tuần sau khi Apple giải quyết hai lỗ hổng zero-day đã bị khai thác trong thực tế (CVE-2023-41061 và CVE-2023-41064) như một phần của chuỗi khai thác zero-click iMessage có tên BLASTPASS để triển khai phần mềm gián điệp Pegasus.

Người dùng nên kiểm tra và cập nhật bản vá ngay cho các sản phẩm bị ảnh hưởng để giảm thiểu các nguy cơ bị khai thác tấn công.

Nguồn: thehackernews.com.