🔥 Liên minh Hợp tác xã tỉnh Cao Bằng đã đăng ký tín nhiệm. 🔥                    🔥 Báo Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Kiểm soát bệnh tật tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Văn hóa- Điện ảnh thành phố Đà Nẵng đã đăng ký tín nhiệm. 🔥                    🔥 Sở Du lịch thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                   

Apple phát hành các bản vá khẩn cấp cho 3 lỗ hổng zero-day mới trong WebKit

19/05/2023

Thứ Năm vừa qua, Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình duyệt web Safari để giải quyết ba lỗ hổng zero-day mới đang bị khai thác trong thực tế.

Ba lỗ hổng bao gồm:

- CVE-2023-32409 - lỗ hổng WebKit có thể cho phép kẻ tấn công thoát khỏi Web Content sandbox, đã được giải quyết bằng cách cải thiện việc kiểm tra các giới hạn (bounds check).

- CVE-2023-28204 - lỗi use-after free trong WebKit có thể bị lạm dụng để tiết lộ thông tin nhạy cảm khi xử lý nội dung web, đã được giải quyết với việc cải thiện biện pháp xác thực đầu vào.

- CVE-2023-32373 - lỗi use-after free trong WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại, đã được giải quyết bằng cách cải thiện việc quản lý bộ nhớ.

Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Donncha Ó Cearbhaill thuộc Phòng nghiên cứu bảo mật của Tổ chức Ân xá Quốc tế được ghi nhận là người đã báo cáo CVE-2023-32409. Một nhà nghiên cứu ẩn danh khác được ghi nhận là đã báo cáo hai lỗ hổng còn lại.

Điều đáng chú ý là cả CVE-2023-28204 và CVE-2023-32373 đều được vá như một phần của bản cập nhật khẩn cấp (Rapid Security Response updates) - iOS 16.4.1 (a) và iPadOS 16.4.1 (a) mà công ty đã phát hành vào đầu tháng.

Hiện không có chi tiết kỹ thuật bổ sung nào về các lỗ hổng, cũng như bản chất của các cuộc tấn công hoặc danh tính của các tác nhân đe dọa có thể đang khai thác chúng.

Những lỗ hổng như vậy đã từng bị lạm dụng trong các cuộc xâm nhập có chủ đích để triển khai phần mềm gián điệp trên thiết bị của những người bất đồng chính kiến, nhà báo và nhà hoạt động nhân quyền,...

Các bản cập nhật mới nhất hiện có sẵn cho các thiết bị sau:

- iOS 16.5 và iPadOS 16.5 - iPhone 8 trở lên, iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên

- iOS 15.7.6 và iPadOS 15.7.6 - iPhone 6s, iPhone 7, iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)

- macOS Ventura 13.4 - macOS Ventura

- tvOS 16.5 - Apple TV 4K và Apple TV HD

- watchOS 9.5 - Apple Watch Series 4 trở lên

- Safari 16.5 - macOS Big Sur và macOS Monterey

Cho đến nay, Apple đã khắc phục tổng cộng sáu lỗ hổng zero-day đã bị khai thác trong thực tế kể từ đầu năm 2023. Đầu tháng 2 này, công ty đã giải quyết một lỗ hổng WebKit (CVE-2023-23529) có thể dẫn đến thực thi mã từ xa. Sau đó, vào tháng trước, Apple đã phát hành các bản sửa lỗi cho hai lỗ hổng (CVE-2023-28205 và CVE-2023-28206) cho phép thực thi mã với các đặc quyền nâng cao.

Nguồn: thehackernews.com.

scrolltop