-
06/04/2022
-
24
-
41 bài viết
CVE-2023-37450: Lỗ hổng ảnh hưởng đến iPhone, Mac và iPad
Cập nhật
Apple đã rút bản cập nhật phần mềm sau khi có báo cáo rằng việc cài đặt các bản vá khiến một số trang web như Facebook, Instagram và Zoom gặp lỗi "Trình duyệt không được hỗ trợ" trên Safari.Nguồn: The Hacker News
Một nhà nghiên cứu ẩn danh đã báo cáo cho Apple về lỗ hổng zero-day đáng lo ngại có thể được dử dụng để khai thác iPhone, Mac và iPad kể cả khi chúng đã được cập nhật lên các phiên bản mới nhất. Báo cáo này đã khiến gã khổng lồ công nghệ phải gấp rút phát hành một loạt các bản cập nhật “bản cập nhật bảo mật nhanh” (Rapid Security Response - RSP) để giải quyết lỗ hổng.
Lỗ hổng bảo mật được nhắc đến có mã định danh là CVE-2023-37450. Lỗ hổng này đã gây ra một làn sóng đáng lo ngại trong thế giới kỹ thuật số, chứng tỏ mức độ phức tạp ngày càng tăng của các mối đe dọa mạng. Không có thiết bị nào, dù bảo mật đến đâu, có thể miễn nhiễm với sự tinh vi ngày càng tăng của tội phạm mạng.
CVE nằm trong công cụ trình duyệt WebKit của chính Apple. Khai thác thành công lỗi cho phép tin tặc thực thi mã tùy ý trên các thiết bị tồn tại lỗ hổng. Bằng cách đánh lừa người dùng truy cập vào các trang web có nội dung độc hại, kẻ tấn công có thể giành quyền kiểm soát thiết bị, từ đó có khả năng dẫn đến một loạt các vi phạm khác.
Apple đã thừa nhận về sự tồn tại của lỗ hổng và đang tích cực khắc phục vấn đề. “Apple đã biết về một báo cáo nói rằng vấn đề này có thể đã bị khai thác trong thực tế” - hãng cho biết
Apple đã triển khai các “bản cập nhật bảo mật nhanh” (RSR), một cách tiếp cận mới nhằm giải quyết nhanh chóng các mối đe dọa. RSR là tuyến phòng thủ trung gian, cung cấp các cải tiến bảo mật quan trọng giữa các lần cập nhật phần mềm thông thường. Nó có thể bao gồm các cải tiến đối với trình duyệt web Safari, WebKit framework stack hoặc các thư viện hệ thống quan trọng khác.
Những phản hồi này cũng đóng vai trò là giải pháp nhanh để giảm thiểu các lỗ hổng an ninh được báo cáo là đang tồn tại trong thực tế, ngăn chặn hiệu quả hoạt động khai thác tích cực của chúng. Tuy nhiên, RSP chỉ được cung cấp cho các phiên bản iOS, iPadOS và macOS mới nhất, từ iOS 16.4.1, iPadOS 16.4.1 và macOS 13.3.1.
Để đối phó với lỗ hổng zero-day CVE-2023-37450 hiện tại, Apple đã phát hành các bản vá khẩn cấp sau:
- macOS Ventura 13.4.1 (a)
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
- Safari 16.5.2
Nguồn: Security Online
Chỉnh sửa lần cuối bởi người điều hành: