Apple vừa phát hành bản cập nhật an ninh khẩn cấp để vá 3 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac.
Hai lỗi được phát hiện trong công cụ trình duyệt WebKit (CVE-2023-41993) và framework Security (CVE-2023-41991), cho phép kẻ tấn công bỏ qua xác thực chữ ký bằng ứng dụng độc hại hoặc thực thi mã tùy ý thông qua các trang web độc hại.
Lỗ hổng thứ ba tồn tại trong Kernel Framework vốn dùng để cung cấp API và hỗ trợ cho các phần mở rộng kernel và trình điều khiển thiết bị thường trú trong kernel. Những kẻ tấn công cục bộ có thể khai thác lỗ hổng này (CVE-2023-41992) để leo thang đặc quyền.
Apple đã vá cả ba lỗi trong macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 và watchOS 9.6.3/10.0.1 bằng cách khắc phục vấn đề xác thực chứng chỉ và tăng cường các bước kiểm tra.
Danh sách các thiết bị ảnh hưởng bao gồm:
- iPhone 8 trở lên
- iPad mini thế hệ thứ 5 trở lên
- Máy Mac chạy macOS Monterey và mới hơn
- Apple Watch Series 4 trở lên
Cả ba lỗ hổng zero-day đều được phát hiện và báo cáo bởi Bill Marczak thuộc Citizen Lab, Trường Munk của Đại học Toronto và Maddie Stone của Google Threat Analysis Group.
Hiện Apple chưa cung cấp thông tin chi tiết về việc khai thác lỗ hổng, tuy nhiên các nhà nghiên cứu của Citizen Lab và Google Threat Analysis Group cho biết các lỗi zero-day được sử dụng trong các cuộc tấn công phần mềm gián điệp có chủ đích nhắm vào các cá nhân như nhà báo, chính trị gia đối lập, và những người bất đồng chính kiến.
Nguồn: Bleeping Computer