Apple vừa tung ra bản cập nhật bảo mật để vá lỗ hổng bảo mật zero-day thứ 8 được sử dụng để tấn công các thiết bị iPhone và Mac kể từ đầu năm nay. Trong khuyến cáo bảo mật được đưa ra hôm thứ 2, Nhà Táo tiết lộ các báo cáo cho thấy lỗ hổng bảo mật này có lẽ đã bị khai thác "tích cực".
- Apple tung các bản cập nhật macOS, iOS và iPadOS vá lỗi được khai thác tích cực
- Apple phát hành macOS 10.13.2 và iOS 11.2.2 vá lỗ hổng Spectre
- Cách cập nhật iOS 15.6.1 mới nhất
- Cách cập nhật iOS 15.7 cho iPhone, iPad khi chưa muốn lên iOS 16
- Twitter xác nhận lỗ hổng bảo mật làm lộ dữ liệu chủ tài khoản ẩn danh
Được báo cáo bởi một nhà nghiên cứu bảo mật ẩn danh, lỗ hổng bảo mật được đánh dấu là CVE-2022-32917 có thể cho phép các ứng dụng độc hại thực thi các mã tùy ý với đặc quyền kernel và đã được khắc phục trong các bản cập nhật iOS 15.7, iPadOS 15.7, macOS Monterey 12.6 và macOS Big Sur 11.7.
Apple sửa lỗi Zero-day thu 8 được dùng để hack iPhone và Mac
Danh sách đầy đủ các thiết bị bị ảnh hưởng bởi lỗ hổng bảo mật này bao gồm:
- Các thiết bị iPhone 6s trở lên, iPad Pro (tất cả các dòng), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Máy Mac chạy macOS Big Sur 11.7 và macOS Monterey 12.6.
Bên cạnh đó Apple cũng hỗ trợ bản vá cho lỗ hổng zero-day khác (CVE-2022-32894) trên các máy Mac chạy macOS Big Sur 11.7 sau khi tung ra bản cập nhật bổ sung vào ngày 31/8 để khắc phục lỗi tương tự trên các phiên bản iOS chạy trên các dòng iPhone và iPad cũ hơn.
Bản vá bảo mật cho iPhone và Mac ngăn chặn các cuộc tấn công
Mặc dù Apple tiết lộ lỗ hổng bảo mật này có thể đã được khai thác một cách tích cực nhưng công ty vẫn chưa cung cấp bất kỳ thông tin nào về các cuộc tấn công này.
Nhiều khả năng Táo Khuyết muốn cho phép các nhà nghiên cứu bảo mật có thể vá các lỗ hổng bảo mật trên thiết bị của hãng trước khi kẻ tấn công triển khai các cuộc khai thác và tấn công nhắm mục tiêu vào các thiết bị iPhone và máy Mac dễ bị tấn công.
Trong khi lỗ hổng bảo mật zero-day này hầu như chỉ được sử dụng trong các cuộc tấn công có mục đích cao thì người dùng được khuyến cáo nên cài đặt các bản cập nhật bảo mật càng sớm càng tốt để ngăn chặn các nỗ lực tấn công.
Đây là lỗ hổng bảo mật zero-day thứ 8 được được Apple khắc phục kể từ đầu năm nay, các bản vá bảo mật trước đó bao gồm:
- Lần gần nhất, Apple vá 2 lỗ hổng bảo mật zero day trên iOS Kernel (CVE-2022-32893) vào tháng 8.
- Vá 2 lỗi zero day trên Intel Graphics Driver (CVE-2022-22674) và AppleADV (CVE-2022-22675) vào tháng 3.
- Phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng zero-day trong Webkit vào tháng 2.
https://9mobi.vn/apple-va-lo-hong-zero-day-thu-8-duoc-khai-thac-tich-cuc-tren-iphone-va-mac-30578n.aspx
- Vá 2 lỗ hổng bảo mật zero-day bị khai thác khác, cho phép việc thực thi mã với đặc quyền kernel (CVE-2022-22587) và theo dõi các hoạt động duyệt web (CVE-2022-22594) vào tháng 1.