Apple phát hành bản vá khẩn cấp cho lỗ hổng zero-day mới ảnh hưởng đến iPhone, iPad và Mac

Apple đã phát hành các bản cập nhật bảo mật mới cho các thiết bị iOS, iPadOS, macOS, tvOS, watchOS và Safari để giải quyết một số lỗ hổng bảo mật, bao gồm một lỗi zero-day đang bị khai thác trong thực tế.

Lỗ hổng zero-day có định danh CVE-2023-38606, có thể cho phép một ứng dụng độc hại sửa đổi trạng thái kernel. Lỗ hổng đã được giải quyết bằng cách cải thiện việc quản lý trạng thái trong kernel.

Công ty lưu ý rằng “Apple đã nhận được báo cáo về việc lỗ hổng này có thể đã bị khai thác đối với các phiên bản iOS trước 15.7.1”.

Đáng chú ý, CVE-2023-38606 là lỗ hổng bảo mật thứ ba được phát hiện có liên quan đến Operation Triangulation, một chiến dịch gián điệp mạng di động tinh vi nhắm mục tiêu các thiết bị iOS kể từ năm 2019 bằng cách sử dụng chuỗi khai thác không cần nhấp chuột (zero-click). Hai zero-day khác là CVE-2023-32434 và CVE-2023-32435, đã được Apple vá vào tháng trước.

Các nhà nghiên cứu của Kaspersky, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko và Boris Larin được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.

Các bản cập nhật hiện có sẵn cho các thiết bị và hệ điều hành sau:

- iOS 16.6 và iPadOS 16.6 - iPhone 8 trở lên, iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad và iPad mini thế hệ thứ 5 trở lên

- iOS 15.7.8 và iPadOS 15.7.8 - iPhone 6s, iPhone 7, iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)

- macOS Ventura 13.5, macOS Monterey 12.6.8, và macOS Big Sur 11.7.9

- tvOS 16.6 - Apple TV 4K và Apple TV HD

- watchOS 9.6 - Apple Watch Series 4 trở lên

Với bản phát hành mới nhất, Apple đã giải quyết tổng cộng 11 lỗi zero-day ảnh hưởng đến các phần mềm của mình kể từ đầu năm 2023. Bản cập nhật cũng được cung cấp hai tuần sau khi công ty công bố các bản vá khẩn cấp cho một lỗ hổng WebKit (CVE-2023-37450) cho phép thực thi mã tùy ý và đã bị khai thác trong thực tế.

Nguồn: thehackernews.com.