🔥 UBND Thị Xã Đông Hoà tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 UBND Huyện Sông Hinh Tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Sở Khoa học và Công nghệ tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Công nghệ thông tin và truyền thông tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Bảo trợ xã hội và Công tác xã hội tỉnh Khánh Hoà đã đăng ký tín nhiệm. 🔥                   

CISA cảnh báo về việc khai thác lỗ hổng của Apple iOS và macOS trong thực tế

02/02/2024

­­­­

Thứ Tư vừa qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã bổ sung một lỗ hổng có độ nghiêm trọng mức cao, ảnh hưởng đến iOS, iPadOS, macOS, tvOS và watchOS vào danh mục Lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác đang diễn ra.

Lỗ hổng có định danh CVE-2022-48618 (điểm CVSS: 7,8), liên quan đến một lỗi trong thành phần kernel.

Apple cho biết trong một tư vấn bảo mật rằng: “Kẻ tấn công có khả năng đọc và ghi tùy ý có thể bỏ qua xác thực con trỏ (Pointer Authentication)”, đồng thời cho biết thêm vấn đề “có thể đã bị khai thác trên các phiên bản iOS được phát hành trước iOS 15.7.1”.

Nhà sản xuất iPhone cho biết vấn đề đã được giải quyết bằng cách cải thiện các biện pháp kiểm tra. Hiện vẫn chưa biết lỗ hổng này đã bị lạm dụng như thế nào trong các cuộc tấn công trong thực tế.

Các bản vá cho lỗ hổng này đã được phát hành vào ngày 13 tháng 12 năm 2022, cùng với việc phát hành iOS 16.2, iPadOS 16.2macOS Ventura 13.1tvOS 16.2, và watchOS 9.2, trong khi nó mới chỉ được tiết lộ công khai hơn một năm sau đó vào ngày 9 tháng 1, 2024.

Điều đáng chú ý là Apple đã giải quyết một lỗ hổng tương tự trong kernel (CVE-2022-32844, điểm CVSS: 6.3) trong iOS 15.6 và iPadOS 15.6, được phát hành vào ngày 20 tháng 7 năm 2022. Hiện chưa rõ liệu hai lỗ hổng này có liên quan đến nhau hay không.

Do việc CVE-2022-48618 đã bị khai thác trong thực tế, CISA đang đề nghị các cơ quan Chi nhánh hành pháp dân sự liên bang (FCEB) áp dụng các bản sửa lỗi cho lỗ hổng trước ngày 21 tháng 2 năm 2024.

Nguồn: thehackernews.com.

 
scrolltop