Apple phát hành bản cập nhật iOS và macOS để vá lỗ hổng bảo mật trong 0 ngày được khai thác tích cực

Bản cập nhật iOS và iPadOS

Hôm thứ Tư, đã phát hành iOS 15.3 và macOS Monterey 12.2 với bản sửa lỗi đánh bại quyền riêng tư trong Safari, cũng như ngăn chặn lỗ hổng zero-day, mà họ cho rằng đã bị lợi dụng để xâm nhập vào các thiết bị của họ.

Theo dõi là CVE-2022-22587lỗ hổng bảo mật liên quan đến vấn đề hỏng bộ nhớ trong thành phần IOMobileFrameBuffer có thể bị ứng dụng độc hại lạm dụng để thực thi mã tùy ý với đặc quyền hạt nhân.

Nhà sản xuất iPhone cho biết họ “biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực”, đồng thời cho biết thêm rằng họ đã giải quyết vấn đề với xác thực đầu vào được cải thiện. Nó không tiết lộ bản chất của các cuộc tấn công, mức độ lan rộng của chúng hoặc danh tính của những kẻ đe dọa đang khai thác chúng.

Một nhà nghiên cứu ẩn danh cùng với Meysam Firouzi và Siddharth Aeri đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.

CVE-2022-22587 là lỗ hổng zero-day thứ ba được phát hiện trong IOMobileFrameBuffer trong khoảng sáu tháng sau CVE-2021-30807 và CVE-2021-30883. Vào tháng 12 năm 2021, Apple đã giải quyết bốn điểm yếu bổ sung trong phần mở rộng nhân được sử dụng để quản lý bộ đệm khung hình màn hình.

Cũng đã được khắc phục bởi gã khổng lồ là một lỗ hổng được tiết lộ gần đây trong Safari xuất phát từ việc triển khai lỗi API IndexedDB (CVE-2022-22594), có thể bị một trang web độc hại lạm dụng để theo dõi hoạt động trực tuyến của người dùng trong trình duyệt web và thậm chí tiết lộ danh tính của họ.

Xem tiếp:   Tin tặc SolarWinds Nhắm mục tiêu Chính phủ và Các Tổ chức Doanh nghiệp Trên toàn Thế giới

Các sai sót khác cần lưu ý bao gồm –

CVE-2022-22584 – Sự cố hỏng bộ nhớ trong ColorSync có thể dẫn đến việc thực thi mã tùy ý khi xử lý một tệp được tạo thủ công độc hại
CVE-2022-22578 – Một vấn đề logic trong Crash Reporter có thể cho phép một ứng dụng độc hại giành được đặc quyền root
CVE-2022-22585 – Sự cố xác thực đường dẫn trong iCloud có thể bị ứng dụng giả mạo lợi dụng để truy cập tệp của người dùng CVE-2022-22591 – Sự cố hỏng bộ nhớ trong Trình điều khiển đồ họa Intel có thể bị ứng dụng độc hại lạm dụng để thực thi mã tùy ý với đặc quyền hạt nhân
CVE-2022-22593 – Sự cố tràn bộ đệm trong Nhân có thể bị ứng dụng độc hại lạm dụng để thực thi mã tùy ý với các đặc quyền của nhân
CVE-2022-22590 – Sự cố sử dụng sau khi sử dụng miễn phí trong WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được tạo độc hại

Các bản cập nhật có sẵn cho iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên, iPod touch (thế hệ thứ 7) và các thiết bị macOS chạy Big Sur, Catalina , và Monterey.

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …