Apple phát hành bản cập nhật khẩn cấp để vá lỗ hổng zero-day mới

Apple phát hành bản cập nhật an ninh khẩn cấp để vá lỗ hổng zero-day mới, bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và iPad 

“Vấn đề có thể đã bị khai thác thực tế trên các phiên bản iOS trước 16.6”, Apple cho biết trong khuyến cáo đưa ra hôm thứ Tư. 

Lỗ hổng zero-day (CVE-2023-42824) xuất phát từ điểm yếu được phát hiện trong nhân XNU, cho phép kẻ tấn công cục bộ leo thang đặc quyền trên iPhone và iPad. 

Apple cho biết họ đã khắc phục vấn đề trong iOS 17.0.3 và iPadOS 17.0.3, tuy nhiên hãng chưa tiết lộ ai đã tìm thấy và báo cáo lỗ hổng. 

Danh sách các thiết bị ảnh hưởng bởi lỗ hổng gồm: 

  • iPhone XS trở lên 
  • iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 trở lên 

Apple cũng vá lỗ hổng zero-day có mã theo dõi CVE-2023-5217, do lỗi tràn bộ đệm heap trong mã hóa VP8 của thư viện codec video libvpx mã nguồn mở. Vấn đề có thể cho phép hacker thực thi mã tùy ý nếu khai thác thành công. Lỗi libvpx trước đó đã được Google vá trong trình duyệt web Chrome và Microsoft vá trong các sản phẩm Edge, Teams và Skype. 

Bản phát hành iOS 17.0.3 cũng khắc phục vấn đề khiến iPhone chạy iOS 17.0.2 trở xuống bị quá nóng. “Bản cập nhật này vá các lỗi quan trọng, tăng cường an ninh và giải quyết vấn đề có thể khiến iPhone chạy nóng hơn dự kiến”, Apple cho biết. 

Như vậy, CVE-2023-42824 là lỗ hổng zero-day thứ 17 bị khai thác trong các cuộc tấn công mà Apple đã vá kể từ đầu năm nay. 

Nguồn: Bleeping Computer