Nóng! Apple vá 3 lỗ hổng zero-day mới trên iPhone, Mac và iPad

Tommy_Nguyen

Moderator
Thành viên BQT
06/04/2022
24
41 bài viết
Nóng! Apple vá 3 lỗ hổng zero-day mới trên iPhone, Mac và iPad
Apple vừa giải quyết 3 lỗ hổng zero-day mới được khai thác trong các cuộc tấn công để xâm nhập vào iPhone, Mac và iPad.

1684726032291.png

Tất cả các lỗ hổng đều được tìm thấy trong công cụ trình duyệt WebKit đa nền tảng và được gán mã định danh lần lượt là CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373.

Lỗ hổng đầu tiên CVE-2023-32409 (điểm CVSS 6,0) là một lỗi liên quan tới môi trường sandbox của trình duyệt web, cho phép kẻ tấn công từ xa có thể thoát khỏi sandbox và tương tác với hệ thống thật.

Hai lỗ hổng CVE-2023-28204 (điểm CVSS 4,1) và CVE-2023-32373 (điểm CVSS 7,5) liên quan tới vấn đề đọc ngoài giới hạn bộ nhớ (cho phép kẻ tấn công có thể truy cập vào thông tin nhạy cảm ngoài giới hạn cho phép) và lợi dụng các phần mềm crack bản quyển cho phép thực thi mã tùy ý trên các thiết bị bị xâm nhập. Cả hai lỗ hổng này đều có thể được thực thi thông qua việc đánh lừa mục tiêu tải phần mềm từ các trang web độc hại.

Apple đã giải quyết cả 3 lỗ hổng zero-day trong macOS Ventura 13.4, iOS và iPadOS 16.5, tvOS 16.5, watchOS 9.5 và Safari 16.5 bằng các phương thức kiểm tra giới hạn, xác thực đầu vào và quản lý bộ nhớ. Vì vậy người dùng cần cập nhật lên các phiên bản mới càng sớm càng tốt.

Danh sách các thiết bị bị ảnh hưởng khá rộng, vì lỗi này ảnh hưởng đến các kiểu máy cũ hơn và mới hơn, bao gồm:
  • iPhone 6s (tất cả các phiên bản), iPhone 7 (tất cả các phiên bản), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4), iPod touch (thế hệ 7) và iPhone 8 trở lên
  • iPad Pro (tất cả các phiên bản), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
  • Máy Mac chạy macOS Big Sur, Monterey và Ventura
  • Apple Watch Series 4 trở lên
  • Apple TV 4K (tất cả các mẫu) và Apple TV HD
Hãng cũng cho biết CVE-2023-28204 và CVE-2023-32373 đã được xử lý cho các thiết bị iOS 16.4.1 và macOS 13.3.1 phát hành vào ngày 1 tháng 5 và không chia sẻ thêm thông tin liên quan đến các cuộc tấn công của 3 lỗ hổng zero-day này.

Nguồn: Bleeping Computer
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Hoàng AT
Thẻ
apple zero-day cve lỗ hổng của apple webkit
Bên trên