Apple vá hai lỗi zero-day mới trên iOS trong bản cập nhật khẩn cấp

Apple phát hành bản cập nhật khẩn cấp để khắc phục hai lỗ hổng zero-day đã bị khai thác trong các cuộc tấn công, ảnh hưởng đến các thiết bị iPhone, iPad và Mac. Như vậy, tổng số bản vá zero-day đã lên tới 20 tính từ đầu năm.

“Apple đã biết về việc lỗ hổng có thể đã bị khai thác trên các phiên bản iOS trước iOS 16.7.1”, hãng cho biết trong thông báo đưa ra hôm thứ Tư.

Hai lỗi được tìm thấy trong công cụ trình duyệt WebKit (CVE-2023-42916 và CVE-2023-42917), cho phép kẻ tấn công truy cập vào thông tin nhạy cảm qua khai thác vấn đề đọc ngoài giới hạn và thực thi mã tùy ý thông qua lỗi bộ nhớ trên các thiết bị.

Apple cho biết đã giải quyết các lỗi bảo mật cho các thiết bị chạy iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 và Safari 17.1.2 bằng cách cải thiện tính năng xác thực và khóa đầu vào.

Danh sách các thiết bị Apple bị ảnh hưởng khá rộng, bao gồm:

  • iPhone XS trở lên
  • iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 trở lên
  • Máy Mac chạy macOS Monterey, Ventura, Sonoma

Nhà nghiên cứu bảo mật Clément Lecigne thuộc TAG của Google đã tìm thấy và báo cáo cả hai lỗ hổng zero-day.

Mặc dù Apple chưa công bố thông tin liên quan đến hoạt động khai thác đang diễn ra thực tế, nhưng các nhà nghiên cứu của Google TAG thường phát hiện và tiết lộ các lỗ hổng zero-day được sử dụng trong các cuộc tấn công bằng phần mềm gián điệp do nhà nước tài trợ, nhằm vào các cá nhân có nguy cơ cao, chẳng hạn như nhà báo, chính trị gia đối lập và những người bất đồng chính kiến.

CVE-2023-42916 và CVE-2023-42917 là lỗ hổng zero-day thứ 19 và 20 bị khai thác trong các cuộc tấn công mà Apple đã vá trong năm nay.

Nguồn: Bleeping Computer