Ngày 14 tháng 2 năm 2023Ravie LakshmananBảo mật thiết bị / Zero Day
Apple hôm thứ Hai đã tung ra các bản cập nhật bảo mật cho iOS, iPadOS, macOS và Safari để giải quyết lỗ hổng zero-day mà hãng cho biết đã bị khai thác tích cực trong thực tế.
Được theo dõi dưới dạng CVE-2023-23529sự cố liên quan đến lỗi nhầm lẫn loại trong công cụ trình duyệt WebKit có thể được kích hoạt khi xử lý nội dung web được tạo thủ công độc hại, dẫn đến việc thực thi mã tùy ý.
Nhà sản xuất iPhone cho biết lỗi này đã được giải quyết bằng các kiểm tra được cải thiện, đồng thời cho biết thêm rằng họ “đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực.” Một nhà nghiên cứu ẩn danh đã được ghi nhận là người đã báo cáo lỗ hổng.
Hiện chưa rõ lỗ hổng này đang bị khai thác như thế nào trong các cuộc tấn công trong thế giới thực, nhưng đây là lỗ hổng nhầm lẫn loại bị lạm dụng tích cực thứ hai trong WebKit được Apple vá sau CVE-2022-42856 trong nhiều tháng, lỗ hổng này đã bị đóng vào tháng 12. 2022.
Các lỗ hổng WebKit cũng đáng chú ý vì chúng ảnh hưởng đến mọi trình duyệt web của bên thứ ba có sẵn cho iOS và iPadOS do các hạn chế của Apple yêu cầu các nhà cung cấp trình duyệt sử dụng cùng một khung kết xuất.
Công ty cũng giải quyết vấn đề sử dụng sau khi miễn phí trong Kernel (CVE-2023-23514) có thể cho phép một ứng dụng lừa đảo thực thi mã tùy ý với các đặc quyền cao nhất.
Người được cho là đã báo cáo sự cố là Xinru Chi của Pangu Lab và Ned Williamson của google project zero. Apple cho biết họ đã giải quyết lỗ hổng bằng cách cải thiện quản lý bộ nhớ.
Một cách riêng biệt, bản cập nhật macOS mới nhất cũng bổ sung một lỗi về quyền riêng tư trong Phím tắt mà ứng dụng chứa phần mềm độc hại có thể lợi dụng để “quan sát dữ liệu người dùng không được bảo vệ”. Apple lưu ý rằng sự cố đã được khắc phục bằng cách cải thiện việc xử lý các tệp tạm thời.
Người dùng nên cập nhật lên iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 và Safari 16.3.1 để giảm thiểu rủi ro tiềm ẩn. Các bản cập nhật có sẵn cho các thiết bị sau –
iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên Máy Mac chạy macOS Ventura, macOS Big Sur và macOS Monterey
Apple đã khắc phục tổng cộng 10 lỗi zero-day trong phần mềm của mình vào năm 2022, 9 trong số đó được tiết lộ là bị các tác nhân đe dọa tích cực khai thác. Bốn trong số những lỗ hổng đó đã được phát hiện trong WebKit.
