Apple vá nhiều lỗ hổng cho iOS 15.2 và macOS Monterey 12.1

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Apple vá nhiều lỗ hổng cho iOS 15.2 và macOS Monterey 12.1
Đầu tuần này, Apple đã phát hành các bản cập nhật an ninh cho iOS và macOS để vá các lỗ hổng được phát hiện trong cuộc thi hack tổ chức tại Trung Quốc vào đầu năm nay.

Apple đã vá 42 lỗ hổng cho iOS 15.2 và iPadOS 15.2, và 46 lỗ hổng cho macOS Monterey 12.1. Các lỗi được vá lần này bao gồm 6 lỗ hổng được tiết lộ tại cuộc thi hack Tianfu Cup diễn ra vào tháng 10.

applepatch.png

Tại sự kiện, ban tổ chức đã trao tổng số tiền thưởng lên đến 1,9 triệu USD cho việc khai thác nhắm mục tiêu vào Windows 10, Ubuntu, iOS 15 trên iPhone 13 Pro, Microsoft Exchange, Chrome, Safari, Adobe Reader, Parallels Desktop, QEMU, Docker, VMware ESXi và Workstation, và bộ định tuyến ASUS.

Team Pangu đã giành giải thưởng 300.000 USD từ việc bẻ khóa thành công iPhone 13 Pro chạy iOS 15. Việc khai thác được kích hoạt bằng một cú nhấp chuột vào một liên kết được chế tạo đặc biệt.

Nhóm an ninh mạng của công ty Cyber Kunlun Trung Quốc, đã kiếm được số tiền thưởng lớn nhất với 654.500 USD, trong đó 180.000 USD đến từ việc khai thác các sản phẩm của Apple. Nhóm của công ty an ninh không gian mạng Qihoo 360 đã kiếm được 90.000 đô la cho việc khai thác các lỗ hổng trong sản phẩm của Appple.

Team Pangu đã khai thác thành công lỗ hổng CVE-2021-30983, một lỗ tràn bộ đệm trong IOMobileFrameBuffer cho phép thực thi mã tùy ý với đặc quyền kernel, và lỗ hổng CVE-2021-30951, một lỗi use-after-free trong WebKit cho phép thực thi mã thông qua việc tạo nội dung web độc hại.

Nhóm Kunlun phát hiện lỗi CVE-2021-30984, một lỗi race condition trong WebKit cho phép thực thi mã tùy ý và CVE-2021-30954, một lỗi type confusion trong WebKit có thể bị khai thác để thực thi mã.

Một lỗ hổng phát hiện tại Tianfu Cup bởi nhóm Qihoo 360 là CVE-2021-30953, lỗi đọc ngoài biên (out-of-bounds) trong WebKit có thể cho phép thực thi mã từ xa.

Apple cũng đã vá CVE-2021-30952, một lỗi tràn số nguyên trong WebKit có thể được sử dụng để thực thi mã từ xa. Một đội có tên WeBin đã kiếm được 40.000 USD cho việc khai thác lỗi này tại Tianfu Cup.

Các lỗ hổng trong WebKit ảnh hưởng đến cả iOS và macOS.

Để đảm bảo an toàn khi sử dụng các thiết bị của Apple, người dùng cần cập nhật các bản vá lỗi kịp thời.

Theo: securityweek
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
apple vulnerability
Bên trên