Apple đã đưa ra bản cập nhật mới cho các bản vá được phát hành vào tháng trước để giải quyết lỗ hổng zero-day đã bị khai thác trong thực tế cho các máy iPhone và iPad cũ hơn.
Lỗ hổng có định danh CVE-2023-23529, liên quan đến lỗi nhầm lẫn kiểu (type confusion) WebKit mà công ty đã khắc phục trên các thiết bị iPhone và iPad mới hơn vào ngày 13 tháng 2 năm 2023.
Các tác nhân đe dọa có thể khai thác nó để gây ra sự cố hệ điều hành và giành quyền thực thi mã trên các thiết bị iOS và iPadOS bị xâm nhập.
Sau đó, chúng có thể thực thi mã tùy ý trên thiết bị iPhone và iPad bị nhắm mục tiêu sau khi lừa nạn nhân truy cập vào các trang web độc hại (lỗi này cũng ảnh hưởng đến Safari 16.3.1 trên macOS Big Sur và Monterey).
Apple đã giải quyết lỗ hổng zero-day trong iOS 15.7.4 và iPadOS 15.7.4 bằng cách bổ sung các biện pháp kiểm tra.
Danh sách các thiết bị bị ảnh hưởng bao gồm iPhone 6s (tất cả các mẫu), iPhone 7 (tất cả các mẫu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7).
Apple cho biết đã nhận được các báo cáo về việc lỗ hổng đã bị khai thác trong các cuộc tấn công trong thực tế, nhưng công ty chưa công bố thông tin về những sự cố này.
Đây là quy trình tiêu chuẩn của Apple khi tiết lộ các bản vá bảo mật cho lỗ hổng zero-day bị khai thác trong thực tế. Hạn chế chia sẻ các chi tiết kỹ thuật nhằm cho phép nhiều người dùng bảo mật thiết bị của họ nhất có thể, đồng thời, làm chậm nỗ lực của kẻ tấn công trong việc phát triển và triển khai các khai thác nhắm mục tiêu vào các thiết bị bị ảnh hưởng.
Mặc dù CVE-2023-23529 có khả năng chỉ được sử dụng trong các cuộc tấn công có chủ đích, nhưng bạn vẫn nên cài đặt các bản vá mới càng sớm càng tốt để ngăn chặn các nỗ lực tấn công tiềm ẩn nhắm vào người dùng thiết bị iPhone và iPad chạy phiên bản cũ hơn.
Vào tháng 1, Apple cũng đã phát hành các bản vá cho một lỗ hổng zero-day có thể khai thác từ xa (do Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google báo cáo) cho các thiết bị iPhone và iPad cũ hơn.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Vào ngày thứ ba của cuộc thi hack Pwn2Own, các nhà nghiên cứu bảo mật đã giành được 185.000 đô tiền thưởng sau khi thử nghiệm thành công 5 khai thác zero-day nhắm vào Windows 11, Ubuntu Desktop và phần mềm ảo hóa VMware Workstation.
Tín nhiệm mạng | Phần mềm trojan giả dạng tiện ích bổ sung ChatGPT hợp pháp dành cho Chrome đã được đưa lên Cửa hàng Chrome trực tuyến (Chrome Web Store) và có hơn 9.000 lượt tải xuống.
Tín nhiệm mạng | Vào ngày đầu tiên của Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật đã thử nghiệm thành công các chuỗi khai thác và khai thác zero-day cho Tesla Model 3, Windows 11 và macOS để giành được 375.000 đô và một chiếc Tesla Model 3.
Tín nhiệm mạng | Nhà sản xuất máy ATM Bitcoin General Bytes cho biết tin tặc đã đánh cắp tiền điện tử từ công ty và khách hàng của họ bằng cách khai thác một lỗ hổng zero-day trong nền tảng quản lý BATM của họ.
Tín nhiệm mạng | Mispadu đang được sử dụng trong các chiến dịch thư rác nhắm mục tiêu đến các quốc gia như Bolivia, Chile, Mexico, Peru và Bồ Đào Nha để đánh cắp thông tin đăng nhập và phát tán các loại mã độc khác.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện hoạt động khai thác một lỗ hổng zero-day hiện đã được vá trong hệ điều hành Fortinet FortiOS và nghi ngờ nó có liên quan đến một nhóm tin tặc Trung Quốc đang được theo dõi dưới tên UNC3886.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
