Thứ Năm vừa qua, Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình duyệt web Safari để giải quyết ba lỗ hổng zero-day mới đang bị khai thác trong thực tế.
Ba lỗ hổng bao gồm:
- CVE-2023-32409 - lỗ hổng WebKit có thể cho phép kẻ tấn công thoát khỏi Web Content sandbox, đã được giải quyết bằng cách cải thiện việc kiểm tra các giới hạn (bounds check).
- CVE-2023-28204 - lỗi use-after free trong WebKit có thể bị lạm dụng để tiết lộ thông tin nhạy cảm khi xử lý nội dung web, đã được giải quyết với việc cải thiện biện pháp xác thực đầu vào.
- CVE-2023-32373 - lỗi use-after free trong WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại, đã được giải quyết bằng cách cải thiện việc quản lý bộ nhớ.
Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Donncha Ó Cearbhaill thuộc Phòng nghiên cứu bảo mật của Tổ chức Ân xá Quốc tế được ghi nhận là người đã báo cáo CVE-2023-32409. Một nhà nghiên cứu ẩn danh khác được ghi nhận là đã báo cáo hai lỗ hổng còn lại.
Điều đáng chú ý là cả CVE-2023-28204 và CVE-2023-32373 đều được vá như một phần của bản cập nhật khẩn cấp (Rapid Security Response updates) - iOS 16.4.1 (a) và iPadOS 16.4.1 (a) mà công ty đã phát hành vào đầu tháng.
Hiện không có chi tiết kỹ thuật bổ sung nào về các lỗ hổng, cũng như bản chất của các cuộc tấn công hoặc danh tính của các tác nhân đe dọa có thể đang khai thác chúng.
Những lỗ hổng như vậy đã từng bị lạm dụng trong các cuộc xâm nhập có chủ đích để triển khai phần mềm gián điệp trên thiết bị của những người bất đồng chính kiến, nhà báo và nhà hoạt động nhân quyền,...
Các bản cập nhật mới nhất hiện có sẵn cho các thiết bị sau:
- iOS 16.5 và iPadOS 16.5 - iPhone 8 trở lên, iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
- iOS 15.7.6 và iPadOS 15.7.6 - iPhone 6s, iPhone 7, iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)
- macOS Ventura 13.4 - macOS Ventura
- tvOS 16.5 - Apple TV 4K và Apple TV HD
- watchOS 9.5 - Apple Watch Series 4 trở lên
- Safari 16.5 - macOS Big Sur và macOS Monterey
Cho đến nay, Apple đã khắc phục tổng cộng sáu lỗ hổng zero-day đã bị khai thác trong thực tế kể từ đầu năm 2023. Đầu tháng 2 này, công ty đã giải quyết một lỗ hổng WebKit (CVE-2023-23529) có thể dẫn đến thực thi mã từ xa. Sau đó, vào tháng trước, Apple đã phát hành các bản sửa lỗi cho hai lỗ hổng (CVE-2023-28205 và CVE-2023-28206) cho phép thực thi mã với các đặc quyền nâng cao.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một đối tượng người Nga đã bị Bộ Tư pháp Mỹ (DoJ) buộc tội và truy tố vì đã phát động các cuộc tấn công ransomware nhằm vào "hàng nghìn nạn nhân" trong nước và trên toàn thế giới.
Tín nhiệm mạng | App Store đã ngăn chặn các giao dịch, trị giá hơn 2 tỷ đô la, được gắn thẻ là có khả năng gian lận và chặn gần 1,7 triệu lượt tải lên ứng dụng do vi phạm chính sách về quyền riêng tư, bảo mật và nội dung vào năm 2022
Tín nhiệm mạng | Discord đang thông báo cho người dùng về sự cố vi phạm dữ liệu đã xảy ra sau khi tài khoản của bộ phận hỗ trợ bên thứ ba bị xâm phạm.
Tín nhiệm mạng | Tin tặc đang lạm dụng khai thác một lỗ hổng bảo mật đã được khắc phục gần đây trong plugin WordPress Advanced Custom Fields sau khi bằng chứng chứng minh (PoC) khai thác của lỗ hổng được công khai.
Tín nhiệm mạng | Ngày càng nhiều hoạt động ransomware đang sử dụng mã nguồn phần mềm tống tiền Babuk để tạo ra công cụ mã hóa Linux nhắm mục tiêu vào các máy chủ VMware ESXi.
Tín nhiệm mạng | Mới đây, chính phủ Mỹ đã thông báo về việc phá vỡ một mạng lưới, có phạm vi toàn cầu, các thiết bị bị xâm phạm bởi một mã độc tinh vi có tên là Snake được Cơ quan An ninh Liên bang Nga (FSB) sử dụng.