-
06/04/2022
-
24
-
41 bài viết
Nóng! Apple vá 3 lỗ hổng zero-day mới trên iPhone, Mac và iPad
Apple vừa giải quyết 3 lỗ hổng zero-day mới được khai thác trong các cuộc tấn công để xâm nhập vào iPhone, Mac và iPad.
Tất cả các lỗ hổng đều được tìm thấy trong công cụ trình duyệt WebKit đa nền tảng và được gán mã định danh lần lượt là CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373.
Lỗ hổng đầu tiên CVE-2023-32409 (điểm CVSS 6,0) là một lỗi liên quan tới môi trường sandbox của trình duyệt web, cho phép kẻ tấn công từ xa có thể thoát khỏi sandbox và tương tác với hệ thống thật.
Hai lỗ hổng CVE-2023-28204 (điểm CVSS 4,1) và CVE-2023-32373 (điểm CVSS 7,5) liên quan tới vấn đề đọc ngoài giới hạn bộ nhớ (cho phép kẻ tấn công có thể truy cập vào thông tin nhạy cảm ngoài giới hạn cho phép) và lợi dụng các phần mềm crack bản quyển cho phép thực thi mã tùy ý trên các thiết bị bị xâm nhập. Cả hai lỗ hổng này đều có thể được thực thi thông qua việc đánh lừa mục tiêu tải phần mềm từ các trang web độc hại.
Apple đã giải quyết cả 3 lỗ hổng zero-day trong macOS Ventura 13.4, iOS và iPadOS 16.5, tvOS 16.5, watchOS 9.5 và Safari 16.5 bằng các phương thức kiểm tra giới hạn, xác thực đầu vào và quản lý bộ nhớ. Vì vậy người dùng cần cập nhật lên các phiên bản mới càng sớm càng tốt.
Danh sách các thiết bị bị ảnh hưởng khá rộng, vì lỗi này ảnh hưởng đến các kiểu máy cũ hơn và mới hơn, bao gồm:
Tất cả các lỗ hổng đều được tìm thấy trong công cụ trình duyệt WebKit đa nền tảng và được gán mã định danh lần lượt là CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373.
Lỗ hổng đầu tiên CVE-2023-32409 (điểm CVSS 6,0) là một lỗi liên quan tới môi trường sandbox của trình duyệt web, cho phép kẻ tấn công từ xa có thể thoát khỏi sandbox và tương tác với hệ thống thật.
Hai lỗ hổng CVE-2023-28204 (điểm CVSS 4,1) và CVE-2023-32373 (điểm CVSS 7,5) liên quan tới vấn đề đọc ngoài giới hạn bộ nhớ (cho phép kẻ tấn công có thể truy cập vào thông tin nhạy cảm ngoài giới hạn cho phép) và lợi dụng các phần mềm crack bản quyển cho phép thực thi mã tùy ý trên các thiết bị bị xâm nhập. Cả hai lỗ hổng này đều có thể được thực thi thông qua việc đánh lừa mục tiêu tải phần mềm từ các trang web độc hại.
Apple đã giải quyết cả 3 lỗ hổng zero-day trong macOS Ventura 13.4, iOS và iPadOS 16.5, tvOS 16.5, watchOS 9.5 và Safari 16.5 bằng các phương thức kiểm tra giới hạn, xác thực đầu vào và quản lý bộ nhớ. Vì vậy người dùng cần cập nhật lên các phiên bản mới càng sớm càng tốt.
Danh sách các thiết bị bị ảnh hưởng khá rộng, vì lỗi này ảnh hưởng đến các kiểu máy cũ hơn và mới hơn, bao gồm:
- iPhone 6s (tất cả các phiên bản), iPhone 7 (tất cả các phiên bản), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4), iPod touch (thế hệ 7) và iPhone 8 trở lên
- iPad Pro (tất cả các phiên bản), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
- Máy Mac chạy macOS Big Sur, Monterey và Ventura
- Apple Watch Series 4 trở lên
- Apple TV 4K (tất cả các mẫu) và Apple TV HD
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối bởi người điều hành: