🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý dự án đầu tư xây dựng công trình dân dụng và công nghiệp tỉnh Tiền Giang đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Apple vá lỗ hổng WebKit zero-day mới được tiết lộ gần đây cho các thiết bị iPhone cũ hơn

28/03/2023

Apple đã đưa ra bản cập nhật mới cho các bản vá được phát hành vào tháng trước để giải quyết lỗ hổng zero-day đã bị khai thác trong thực tế cho các máy iPhone và iPad cũ hơn.

Lỗ hổng có định danh CVE-2023-23529, liên quan đến lỗi nhầm lẫn kiểu (type confusion) WebKit mà công ty đã khắc phục trên các thiết bị iPhone và iPad mới hơn vào ngày 13 tháng 2 năm 2023.

Các tác nhân đe dọa có thể khai thác nó để gây ra sự cố hệ điều hành và giành quyền thực thi mã trên các thiết bị iOS và iPadOS bị xâm nhập.

Sau đó, chúng có thể thực thi mã tùy ý trên thiết bị iPhone và iPad bị nhắm mục tiêu sau khi lừa nạn nhân truy cập vào các trang web độc hại (lỗi này cũng ảnh hưởng đến Safari 16.3.1 trên macOS Big Sur và Monterey).

Apple đã giải quyết lỗ hổng zero-day trong iOS 15.7.4 và iPadOS 15.7.4 bằng cách bổ sung các biện pháp kiểm tra.

Danh sách các thiết bị bị ảnh hưởng bao gồm iPhone 6s (tất cả các mẫu), iPhone 7 (tất cả các mẫu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7).

Apple cho biết đã nhận được các báo cáo về việc lỗ hổng đã bị khai thác trong các cuộc tấn công trong thực tế, nhưng công ty chưa công bố thông tin về những sự cố này.

Đây là quy trình tiêu chuẩn của Apple khi tiết lộ các bản vá bảo mật cho lỗ hổng zero-day bị khai thác trong thực tế. Hạn chế chia sẻ các chi tiết kỹ thuật nhằm cho phép nhiều người dùng bảo mật thiết bị của họ nhất có thể, đồng thời, làm chậm nỗ lực của kẻ tấn công trong việc phát triển và triển khai các khai thác nhắm mục tiêu vào các thiết bị bị ảnh hưởng.

Mặc dù CVE-2023-23529 có khả năng chỉ được sử dụng trong các cuộc tấn công có chủ đích, nhưng bạn vẫn nên cài đặt các bản vá mới càng sớm càng tốt để ngăn chặn các nỗ lực tấn công tiềm ẩn nhắm vào người dùng thiết bị iPhone và iPad chạy phiên bản cũ hơn.

Vào tháng 1, Apple cũng đã phát hành các bản vá cho một lỗ hổng zero-day có thể khai thác từ xa (do Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google báo cáo) cho các thiết bị iPhone và iPad cũ hơn.

Nguồn: bleepingcomputer.com.

scrolltop