Được báo cáo bởi một nhà nghiên cứu bảo mật ẩn danh, lỗ hổng bảo mật được đánh dấu là CVE-2022-32917 có thể cho phép các ứng dụng độc hại thực thi các mã tùy ý với đặc quyền kernel và đã được khắc phục trong các bản cập nhật iOS 15.7, iPadOS 15.7, macOS Monterey 12.6 và macOS Big Sur 11.7.
Danh sách đầy đủ các thiết bị bị ảnh hưởng bởi lỗ hổng bảo mật này bao gồm:
- Các thiết bị iPhone 6s trở lên, iPad Pro (tất cả các dòng), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Máy Mac chạy macOS Big Sur 11.7 và macOS Monterey 12.6.
Bên cạnh đó Apple cũng hỗ trợ bản vá cho lỗ hổng zero-day khác (CVE-2022-32894) trên các máy Mac chạy macOS Big Sur 11.7 sau khi tung ra bản cập nhật bổ sung vào ngày 31/8 để khắc phục lỗi tương tự trên các phiên bản iOS chạy trên các dòng iPhone và iPad cũ hơn.
Mặc dù Apple tiết lộ lỗ hổng bảo mật này có thể đã được khai thác một cách tích cực nhưng công ty vẫn chưa cung cấp bất kỳ thông tin nào về các cuộc tấn công này.
Nhiều khả năng Táo Khuyết muốn cho phép các nhà nghiên cứu bảo mật có thể vá các lỗ hổng bảo mật trên thiết bị của hãng trước khi kẻ tấn công triển khai các cuộc khai thác và tấn công nhắm mục tiêu vào các thiết bị iPhone và máy Mac dễ bị tấn công.
Trong khi lỗ hổng bảo mật zero-day này hầu như chỉ được sử dụng trong các cuộc tấn công có mục đích cao thì người dùng được khuyến cáo nên cài đặt các bản cập nhật bảo mật càng sớm càng tốt để ngăn chặn các nỗ lực tấn công.
Đây là lỗ hổng bảo mật zero-day thứ 8 được được Apple khắc phục kể từ đầu năm nay, các bản vá bảo mật trước đó bao gồm:
- Lần gần nhất, Apple vá 2 lỗ hổng bảo mật zero day trên iOS Kernel (CVE-2022-32893) vào tháng 8.
- Vá 2 lỗi zero day trên Intel Graphics Driver (CVE-2022-22674) và AppleADV (CVE-2022-22675) vào tháng 3.
- Phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng zero-day trong Webkit vào tháng 2.
- Vá 2 lỗ hổng bảo mật zero-day bị khai thác khác, cho phép việc thực thi mã với đặc quyền kernel (CVE-2022-22587) và theo dõi các hoạt động duyệt web (CVE-2022-22594) vào tháng 1.
APPS LIÊN QUAN
Bowmaster Apple Shooter cho iPhone
Game xạ thủ bắn cung