Ngày 08 tháng 4 năm 2023Ravie Lakshmanan Bảo mật Zero-Day / Điểm cuối
Apple vào thứ Sáu đã phát hành các bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS và Safari để giải quyết một số lỗ hổng zero-day đang bị khai thác trên thực tế.
Hai lỗ hổng như sau –
CVE-2023-28205 – Việc sử dụng sau sự cố miễn phí trong webkit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được chế tạo đặc biệt.
CVE-2023-28206 – Sự cố ghi ngoài giới hạn trong IOSurfaceAccelerator có thể cho phép ứng dụng thực thi mã tùy ý với các đặc quyền của nhân.
Apple cho biết họ đã giải quyết vấn đề CVE-2023-28205 bằng cách cải thiện khả năng quản lý bộ nhớ và vấn đề thứ hai là xác thực đầu vào tốt hơn, đồng thời bổ sung thêm rằng họ biết rằng các lỗi “có thể đã bị khai thác tích cực”.
Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Donncha Ó Cearbhaill thuộc Phòng thí nghiệm bảo mật của Tổ chức Ân xá Quốc tế được cho là đã phát hiện và báo cáo các lỗ hổng.
Thông tin chi tiết về hai lỗ hổng đã được giữ lại do hoạt động khai thác tích cực và để ngăn chặn nhiều tác nhân đe dọa lạm dụng chúng.
Các bản cập nhật có sẵn trong phiên bản iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 và Safari 16.4.1. Các bản sửa lỗi cũng trải rộng trên nhiều loại thiết bị –
iPhone 8 trở lên, iPad Pro (tất cả kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên Máy Mac chạy macOS Big Sur, Monterey và Ventura
Apple đã vá ba lỗi zero-day kể từ đầu năm. Vào tháng 2, Apple đã giải quyết một lỗ hổng zero-day khác (CVE-2023-23529) trong WebKit có thể dẫn đến việc thực thi mã tùy ý.
Diễn biến này cũng diễn ra khi Google TAG tiết lộ rằng các nhà cung cấp phần mềm gián điệp thương mại đang tận dụng lỗ hổng zero-day trong Android và iOS để lây nhiễm phần mềm độc hại giám sát vào các thiết bị di động.
