Ngày 24 tháng 1 năm 2023Ravie LakshmananBảo mật di động / Cuộc tấn công 0 ngày
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng đến các thiết bị cũ hơn, với lý do có bằng chứng về việc khai thác tích cực.
Sự cố, được theo dõi là CVE-2022-42856, là một lỗ hổng gây nhầm lẫn loại trong công cụ trình duyệt WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được tạo thủ công độc hại.
Mặc dù vấn đề này ban đầu được công ty xử lý vào ngày 30 tháng 11 năm 2022, như một phần của bản cập nhật iOS 16.1.2, bản vá này sau đó đã được mở rộng cho nhiều thiết bị Apple hơn với iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 và Safari 16.2.
“Apple đã biết về một báo cáo rằng vấn đề này có thể đã được tích cực khai thác đối với các phiên bản iOS được phát hành trước iOS 15.1,” nhà sản xuất iPhone cho biết trong một lời khuyên được công bố hôm thứ Hai.
Vì vậy, bản cập nhật mới nhất, iOS 12.5.7, có sẵn cho iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 và iPod touch (thế hệ thứ 6).
Clément Lecigne thuộc Nhóm phân tích mối đe dọa của google (TAG) đã được ghi nhận là người đã phát hiện ra lỗ hổng, mặc dù các chi tiết cụ thể chính xác xung quanh các nỗ lực khai thác trong thực tế hiện chưa được biết.
Bản cập nhật được đưa ra khi Apple phát hành iOS 16.3, iPadOS 16.3, macOS Ventura 13.2, watchOS 9.3 và Safari 16.3 để khắc phục một danh sách dài các lỗi bảo mật, bao gồm hai lỗi trong WebKit có thể dẫn đến thực thi mã.
macOS Ventura 13.2 cũng cắm hai lỗ hổng từ chối dịch vụ trong ImageIO và Safari, cùng với ba lỗ hổng trong Kernel có thể bị lạm dụng để làm rò rỉ thông tin nhạy cảm, xác định bố cục bộ nhớ và thực thi mã lừa đảo với các đặc quyền nâng cao.
Tuy nhiên, đó không phải là tất cả các bản sửa lỗi. Các bản cập nhật cũng mang đến khả năng sử dụng các khóa bảo mật phần cứng để khóa ID Apple nhằm xác thực hai yếu tố chống lừa đảo. Họ cũng mở rộng tính khả dụng của Bảo vệ dữ liệu nâng cao bên ngoài Hoa Kỳ
