Apple vá lỗi thực thi mã từ xa trong thư viện libxml2 của iOS và macOS

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Apple vá lỗi thực thi mã từ xa trong thư viện libxml2 của iOS và macOS
Apple vừa phát hành các bản vá cho iOS và macOS để giải quyết một số lỗ hổng thực thi mã từ xa trong thư viện libxml2.

Hai lỗi thực thi mã từ xa gồm CVE-2022-40303 và CVE-2022-40304 (đều có điểm CVSS 8,2) trong thư viện libxml2 để phân tích cú pháp tài liệu XML, được phát hiện bởi các nhà nghiên cứu Project Zero của Google.

Anh-whitehat-vn.png

Kẻ tấn công từ xa có thể kích hoạt các lỗ hổng để tắt đột ngột ứng dụng hoặc thực thi mã tùy ý.

Lỗ hổng Integer overflow CVE-2022-40303 được giải quyết bằng cách nâng cấp xác thực đầu vào. Apple cũng cải tiến quá trình kiểm tra dữ liệu để giải quyết lỗ hổng CVE-2022-40303.

"Khi một dữ liệu độc hại được phát hiện, nó bị xóa bằng cách đặt byte đầu tiên bằng 0. Tuy nhiên dữ liệu độc hại có thể được cấp phát từ một dữ liệu dict, dữ liệu dict bị lỗi dẫn đến các loại lỗi logic..., bao gồm lỗi như double-free."

Apple đã phát hành macOS Ventura 13.0.1, iOS 16.1.1 và iPadOS 16.1.1. Mã khai thác (PoC) cho CVE-2022-40303 hiện đã được công bố.

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
apple ios libxml2 macos
Bên trên