Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Apple vá loạt lỗ hổng bao gồm lỗi zero-day trong kernel
Apple vừa tung bản cập nhật an ninh mới nhất. Các phiên bản macOS còn hỗ trợ (Monterey, Big Sur và Catalina) cũng như toàn bộ các thiết bị di động hiện tại (iPhone, iPad, Apple TV và Apple Watches) đều nhận được bản vá.
Ngoài ra, các lập trình viên sử dụng hệ thống phát triển Xcode của Apple cũng nhận được bản cập nhật.
Chi tiết:
Các lỗi đáng chú ý khác bao gồm: lỗ hổng cho phép ứng dụng giả mạo trốn tránh sandbox (chẳng hạn như truy cập các tệp mà chúng không được phép xem, sử dụng các tài nguyên như máy ảnh hoặc micrô mà chúng không nên có quyền truy cập); lỗi Safari theo dõi người dùng ngay cả trong Private Mode; và một lỗ hổng trong hệ thống con Security cho các ứng dụng độc hại lén lút vượt qua cơ chế xác minh chữ ký số của hệ điều hành.
Ngoài ra, danh sách còn có một lỗi màn hình khóa. Theo đó, một người nào đó có được iPhone của bạn có thể truy cập vào ảnh của bạn mà không cần biết mã mở khóa.
Ngoài ra còn có bản vá cho CVE-2022-0778, một lỗi mật mã trong OpenSSL đã được nhóm OpenSSL vá gần hai tháng trước.
CVE-2022-22675 được gọi là zero-day. Hacker đã phát hiện lỗ hổng và đang khai thác trong thực tế.
Tuy nhiên, CVE-202 2-22675, lỗ hổng zero-day đã được khắc phục trong Big Sur, tvOS và watchOS, dường như không xuất hiện ở đây. Chúng tôi cho rằng lỗi đã được đưa vào sau khi Catalina được phát hành, do đó, nó sẽ không bị ảnh hưởng.
Lưu ý rằng bản cập nhật này sẽ không được cung cấp cho bạn trừ khi bạn có macOS Big Sur hoặc macOS Catalina. Trong macOS Monterey và tất cả các nền tảng thiết bị di động của Apple, những bản vá này được đưa vào bản cập nhật hệ thống chính.
Do đó, đừng quên rằng nếu bạn là người dùng Big Sur hoặc Catalina, bạn sẽ cài đặt hai bản cập nhật, không chỉ một bản, với Safari được cập nhật riêng biệt với phần còn lại của hệ điều hành.
Theo báo cáo ngắn gọn về CVE-2022-24765, “trên các máy đa người dùng Git, người dùng có thể bất ngờ thấy mình trong một worktree của Git”. Điều này có vẻ do bỏ qua xác thực, như thể trong khi đăng nhập với tư cách người dùng X, bạn có thể đột nhiên nhận được quyền truy cập vào mã nguồn của người dùng Y hoặc dự án Z mà bạn không thuộc về.
Cần làm gì?
Hầu hết người dùng Apple đều bật tính năng cập nhật tự động và do đó, họ vẫn mong đợi nhận được các bản sửa lỗi mới nhất mà không cần theo dõi khi nào các bản cập nhật được tung ra.
Tuy nhiên, chúng tôi thực sự khuyên bạn nên kiểm tra các bản cập nhật theo cách thủ công bất cứ khi nào bạn biết rằng có các bản sửa lỗi được cung cấp, đặc biệt nếu có lỗi ở cấp kernel hoặc lỗi zero-day.
Trên iPhone hoặc iPad: Settings > General > Software Update
Trên Mac: Apple menu > About this Mac > Software Update…
Ngoài ra, các lập trình viên sử dụng hệ thống phát triển Xcode của Apple cũng nhận được bản cập nhật.
- Bản vá HT213258. APPLE-SA-2022-05-16-1: cập nhật lên iOS 15.5 và iPadOS 15.5.
Các lỗi đáng chú ý khác bao gồm: lỗ hổng cho phép ứng dụng giả mạo trốn tránh sandbox (chẳng hạn như truy cập các tệp mà chúng không được phép xem, sử dụng các tài nguyên như máy ảnh hoặc micrô mà chúng không nên có quyền truy cập); lỗi Safari theo dõi người dùng ngay cả trong Private Mode; và một lỗ hổng trong hệ thống con Security cho các ứng dụng độc hại lén lút vượt qua cơ chế xác minh chữ ký số của hệ điều hành.
Ngoài ra, danh sách còn có một lỗi màn hình khóa. Theo đó, một người nào đó có được iPhone của bạn có thể truy cập vào ảnh của bạn mà không cần biết mã mở khóa.
- Bản vá HT213257. APPLE-SA-2022-05-16-2: cập nhật lên macOS Monterey 12.4.
Ngoài ra còn có bản vá cho CVE-2022-0778, một lỗi mật mã trong OpenSSL đã được nhóm OpenSSL vá gần hai tháng trước.
- Bản vá HT213256. APPLE-SA-2022-05-16-3: cập nhật lên macOS Big Sur 11.6.6.
CVE-2022-22675 được gọi là zero-day. Hacker đã phát hiện lỗ hổng và đang khai thác trong thực tế.
- Bản vá HT213254. APPLE-SA-2022-05-16-6: cập nhật lên tvOS 15.5.
- Bản vá HT213253. APPLE-SA-2022-05-16-5: cập nhật lên watchOS 8.6.
- Bản vá HT213255. APPLE-SA-2022-05-16-4: cập nhật cho 2022-004 Catalina
Tuy nhiên, CVE-202 2-22675, lỗ hổng zero-day đã được khắc phục trong Big Sur, tvOS và watchOS, dường như không xuất hiện ở đây. Chúng tôi cho rằng lỗi đã được đưa vào sau khi Catalina được phát hành, do đó, nó sẽ không bị ảnh hưởng.
- Bản vá HT213260. APPLE-SA-2022-05-16-7: cập nhật lên Safari 15.5.
Lưu ý rằng bản cập nhật này sẽ không được cung cấp cho bạn trừ khi bạn có macOS Big Sur hoặc macOS Catalina. Trong macOS Monterey và tất cả các nền tảng thiết bị di động của Apple, những bản vá này được đưa vào bản cập nhật hệ thống chính.
Do đó, đừng quên rằng nếu bạn là người dùng Big Sur hoặc Catalina, bạn sẽ cài đặt hai bản cập nhật, không chỉ một bản, với Safari được cập nhật riêng biệt với phần còn lại của hệ điều hành.
- Bản vá HT213261. Cập nhật APPLE-SA-2022-05-16-8L lên Xcode 13.4.
Theo báo cáo ngắn gọn về CVE-2022-24765, “trên các máy đa người dùng Git, người dùng có thể bất ngờ thấy mình trong một worktree của Git”. Điều này có vẻ do bỏ qua xác thực, như thể trong khi đăng nhập với tư cách người dùng X, bạn có thể đột nhiên nhận được quyền truy cập vào mã nguồn của người dùng Y hoặc dự án Z mà bạn không thuộc về.
Cần làm gì?
Hầu hết người dùng Apple đều bật tính năng cập nhật tự động và do đó, họ vẫn mong đợi nhận được các bản sửa lỗi mới nhất mà không cần theo dõi khi nào các bản cập nhật được tung ra.
Tuy nhiên, chúng tôi thực sự khuyên bạn nên kiểm tra các bản cập nhật theo cách thủ công bất cứ khi nào bạn biết rằng có các bản sửa lỗi được cung cấp, đặc biệt nếu có lỗi ở cấp kernel hoặc lỗi zero-day.
Trên iPhone hoặc iPad: Settings > General > Software Update
Trên Mac: Apple menu > About this Mac > Software Update…
Nguồn: Naked Security
Chỉnh sửa lần cuối: