Apple vừa vá 3 lỗ hổng zero-day trong công cụ trình duyệt WebKit. Các lỗ hổng lần lượt là CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373, ảnh hưởng đến nhiều loại thiết bị khác nhau, từ iPhone cũ đến các máy Mac mới nhất.
Các lỗ hổng cụ thể gồm:
- Lỗ hổng CVE-2023-32409 là lỗi thoát khỏi sandbox, cho phép kẻ tấn công từ xa thoát khỏi sandbox Web Content. Apple đã khắc phục lỗ hổng này bằng cách cải thiện kiểm tra giới hạn, tăng cường các lớp bảo mật.
- Lỗ hổng CVE-2023-28204 là lỗi out-of-bounds read có thể cho phép kẻ tấn công truy cập vào thông tin nhạy cảm trong quá trình xử lý nội dung web. Lỗ hổng đã được khắc phục bằng cách cải thiện xác thực đầu vào để bảo vệ dữ liệu tốt hơn.
- Lỗ hổng CVE-2023-32373 là lỗi use-after-free cho phép tin tặc thực thi mã tùy ý trên các thiết bị bị xâm nhập. Lỗ hổng này đã được vá bằng cách nâng cao tính năng quản lý bộ nhớ giúp giảm thiểu nguy cơ thực thi mã tùy ý.
Nhiều dòng sản phẩm của Apple có thể bị ảnh hưởng bởi 3 lỗ hổng trên bao gồm: iPhone 6s trở lên, iPad Pro và các mẫu mới hơn, máy Mac chạy macOS Big Sur, Monterey và Ventura, Apple Watch Series 4 trở lên, Apple TV 4K và HD.
Apple đã giải quyết các lỗ hổng trong macOS Ventura 13.4, iOS và iPadOS 16.5, tvOS 16.5, watchOS 9.5 và Safari 16.5. Đây là lần thứ 6 Apple phải vá lỗi zero-day từ đầu năm 2023.
Nguồn: Bleeping Computer, Security Online