🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Apple phát hành bản vá khẩn cấp để khắc phục các zero-day gần đây cho các thiết bị iPhone cũ

12/12/2023

Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để vá hai lỗ hổng zero-day đang bị khai thác tích cực trên các iPhone cũ hơn cũng như một số mẫu Apple Watch và Apple TV.

Trong một tư vấn bảo mật được công bố mới đây, công ty cho biết “đã nhận được báo cáo rằng vấn đề này có thể đã bị khai thác trên các phiên bản iOS trước 16.7.1”.

Hai lỗ hổng, có định danh CVE-2023-42916 và CVE-2023-42917, được phát hiện trong công cụ trình duyệt WebKit, do Apple phát triển và được sử dụng trong trình duyệt web Safari của công ty trên các nền tảng của hãng (ví dụ: macOS, iOS, iPadOS) .

Chúng có thể cho phép kẻ tấn công có được quyền truy cập vào dữ liệu nhạy cảm và thực thi mã tùy ý bằng cách sử dụng các trang web độc hại được thiết kế để khai thác các lỗi out-of-bound và memory corruption trên các thiết bị chưa được vá.

Hôm qua, Apple đã giải quyết các lỗ hổng zero-day này trong các phiên bản iOS 16.7.3, iPadOS 16.7.3tvOS 17.2, và watchOS 10.2 bằng cách cải thiện tính năng kiểm tra xác thực đầu vào và tính năng khóa (locking).

Danh sách các thiết bị hiện đã được vá các lỗi này bao gồm:

- iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên

- Apple TV HD và Apple TV 4K (tất cả các mẫu máy)

- Apple Watch Series 4 trở lên

Clément Lecigne, nhà nghiên cứu bảo mật thuộc Nhóm phân tích mối đe dọa (TAG) của Google, đã phát hiện và báo cáo cả hai lỗ hổng zero-day.

Mặc dù thông tin chi tiết về cách khai thác lỗ hổng trong các cuộc tấn công chưa được tiết lộ, nhưng các nhà nghiên cứu tại Google TAG đã phát hiện và tiết lộ rằng các lỗ hổng zero-day đã được sử dụng trong các cuộc tấn công gián điệp mạng do nhà nước tài trợ nhắm vào các cá nhân nổi tiếng, bao gồm các nhà báo và những người bất đồng chính kiến,…

Trước các hoạt động khai thác đang diễn ra, vào ngày 4 tháng 12, CISA cũng đã yêu cầu các cơ quan thuộc Chi nhánh Điều hành Dân sự Liên bang (FCEB) áp dụng bản vá cho các thiết bị của họ để giảm thiểu rủi ro liên quan đến hai lỗ hổng bảo mật này.

Nguồn: bleepingcomputer.com

scrolltop