WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Apple vá 2 lỗi zero-day đang bị khai thác trong macOS, iOS
Apple vừa tung ra các bản vá khẩn cấp cho một cặp lỗ hổng zero-day đang bị khai thác trong các nền tảng macOS và iOS.
Hai lỗ hổng zero-day này có thể cho phép tin tặc hack các sản phẩm iPhone, iPad, or Mac. Cụ thể:
• CVE-2022-32894 (kernel) – Là một lỗi ghi out-of-bounds trong kernel của hệ điều hành. Một ứng dụng có thể lợi dụng lỗ hổng này để thực thi mã tùy ý với các đặc quyền của kernel, từ đó kiểm soát hoàn toàn thiết bị.
• CVE-2022-32893 (WebKit) - Là một lỗi ghi out-of-bounds trong WebKit, công cụ trình duyệt web được sử dụng bởi Safari và các ứng dụng khác. Lỗ hổng này có thể cho phép tin tặc thực thi mã tùy ý.
Cả hai lỗ hổng đã được Apple vá trong macOS Monterey 12.5.1, iOS 15.6.1 và iPadOS 15.6.1 bằng cách cải thiện kiểm tra giới hạn.
Danh sách các thiết bị bị ảnh hưởng gồm:
+ Máy Mac chạy macOS Monterey
+ iPhone 6s trở lên
+ iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7).
Apple cho biết cả hai lỗ hổng đã bị khai thác trong thực tế, tuy nhiên không tiết lộ bất kỳ chi tiết liên quan nào.
Người dùng được khuyến cáo cập nhật các bản vá lỗi càng sớm càng tốt.
Bản vá khẩn cấp của Apple được đưa ra cùng ngày Google phát hành bản vá cho lỗ hổng zero-day thứ năm trong Chrome kể từ đầu năm.
Năm nay, cho đến thời điểm hiện tại, các trình theo dõi zero-day đã ghi nhận 27 cuộc tấn công nhằm vào các sản phẩm phần mềm di động và máy tính phổ biến. Phần lớn các cuộc tấn công zero-day nhằm vào Apple, Google và Microsoft.
Hai lỗ hổng zero-day này có thể cho phép tin tặc hack các sản phẩm iPhone, iPad, or Mac. Cụ thể:
• CVE-2022-32894 (kernel) – Là một lỗi ghi out-of-bounds trong kernel của hệ điều hành. Một ứng dụng có thể lợi dụng lỗ hổng này để thực thi mã tùy ý với các đặc quyền của kernel, từ đó kiểm soát hoàn toàn thiết bị.
• CVE-2022-32893 (WebKit) - Là một lỗi ghi out-of-bounds trong WebKit, công cụ trình duyệt web được sử dụng bởi Safari và các ứng dụng khác. Lỗ hổng này có thể cho phép tin tặc thực thi mã tùy ý.
Cả hai lỗ hổng đã được Apple vá trong macOS Monterey 12.5.1, iOS 15.6.1 và iPadOS 15.6.1 bằng cách cải thiện kiểm tra giới hạn.
Danh sách các thiết bị bị ảnh hưởng gồm:
+ Máy Mac chạy macOS Monterey
+ iPhone 6s trở lên
+ iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7).
Apple cho biết cả hai lỗ hổng đã bị khai thác trong thực tế, tuy nhiên không tiết lộ bất kỳ chi tiết liên quan nào.
Người dùng được khuyến cáo cập nhật các bản vá lỗi càng sớm càng tốt.
Bản vá khẩn cấp của Apple được đưa ra cùng ngày Google phát hành bản vá cho lỗ hổng zero-day thứ năm trong Chrome kể từ đầu năm.
Năm nay, cho đến thời điểm hiện tại, các trình theo dõi zero-day đã ghi nhận 27 cuộc tấn công nhằm vào các sản phẩm phần mềm di động và máy tính phổ biến. Phần lớn các cuộc tấn công zero-day nhằm vào Apple, Google và Microsoft.
Theo Security Weeks