CVE-2023-23529: Lỗ hổng zero-day đầu tiên được Apple vá trong năm nay 

Apple đã phát hành các bản vá khẩn cấp để giải quyết lỗ hổng zero-day mới được sử dụng trong các cuộc tấn công nhằm hack iPhone, iPad và Mac. 

Lỗ hổng có mã định danh là CVE-2023-23529, là lỗi type confusion của WebKit có thể bị khai thác để gây ra lỗi hệ điều hành và thực thi mã tùy ý. 

Các thiết bị bị ảnh hưởng gồm: iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini thế hệ thứ 5 trở lên, máy Mac chạy macOS Ventura. 

Khai thác thành công lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị chạy phiên bản iOS, iPadOS và macOS tồn tại lỗ hổng sau khi mở một trang web độc hại (lỗi này cũng ảnh hưởng đến Safari 16.3.1 trên macOS Big Sur và Monterey). 

Apple đã vá CVE-2023-23529 trong iOS 16.3.1, iPadOS 16.3.1 và macOS Ventura 13.2.1. 

Apple cũng đã vá lỗ hổng use-after-free CVE-2023-23514 có thể dẫn đến thực thi mã tùy ý với các đặc quyền kernel trên máy Mac và iPhone. 

Người dùng được khuyến nghị áp dụng các bản vá khẩn cấp càng sớm càng tốt để đảm bảo an toàn. 

Nguồn: Bleeping Computer