Apple phát hành bản vá khẩn cấp cho hai lỗ hổng zero-day mới của iOS

Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục hai lỗ hổng zero-day đang bị lạm dụng trong các cuộc tấn công và ảnh hưởng đến các thiết bị iPhone, iPad và Mac, nâng tổng số zero-day đã được vá từ đầu năm lên 20.

Trong một tư vấn bảo mật, Apple cho biết họ "đã nhận được báo cáo cho biết vấn đề này có thể đã bị lạm dụng trên các phiên bản iOS trước iOS 16.7.1,".

Hai lỗ hổng được phát hiện trong trình duyệt WebKit (CVE-2023-42916 và CVE-2023-42917), cho phép kẻ tấn công truy cập vào thông tin nhạy cảm và thực thi mã tùy ý trên các thiết bị bị ảnh hưởng thông qua các trang web độc hại.

Công ty cho biết đã giải quyết các lỗ hổng cho các thiết bị đang chạy phiên bản iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 và Safari 17.1.2 với việc cải thiện việc kiểm tra dữ liệu đầu vào và khóa (locking).

Danh sách các thiết bị Apple bị ảnh hưởng, bao gồm:

- iPhone XS và các mẫu mới hơn

- iPad Pro 12.9-inch thế hệ thứ 2 và mới hơn, iPad Pro 10.5-inch, iPad Pro 11-inch thế hệ thứ 1 và mới hơn, iPad Air thế hệ thứ 3 và mới hơn, iPad thế hệ thứ 6 và mới hơn, và iPad mini thế hệ thứ 5 và mới hơn

- Mac đang chạy macOS Monterey, Ventura, Sonoma

Nhà nghiên cứu bảo mật Clément Lecigne thuộc nhóm Phân tích môi đe dọa (TAG) của Google đã phát hiện và báo cáo cả hai zero-day.

Thông tin liên quan về việc khai thác các lỗ hổng trong thực tế hiện chưa được tiết lộ để tránh bị tin tặc lạm dụng nhiều hơn.

Apple gần đây cũng đã vá ba zero-day khác (CVE-2023-41991, CVE-2023-41992, và CVE-2023-41993) được báo cáo bởi các nhà nghiên cứu của Citizen Lab và Google TAG và bị tin tặc lạm dụng để triển khai phần mềm gián điệp Predator.

Để giảm thiểu các rủi ro tiềm ẩn, người dùng nên nhanh chóng kiểm tra và cập nhật bản vá cho các sản phẩm đang sử dụng ngay khi có thể.

Nguồn: bleepingcomputer.com.