Apple phát hành bản vá khẩn cấp cho các zero-day đang bị khai thác

[WhiteHat News #ID:2018]

Apple vừa phát hành bản cập nhật bảo mật để vá nhiều lỗ hổng trong đó có 2 lỗi đang bị khai thác trên thực tế.

Hai lỗ hổng được đề cập gồm:

• CVE-2024-23225: Lỗi làm hỏng bộ nhớ trong nhân (kernel) từ đó kẻ tấn công với quyền đọc và ghi tùy ý trong nhân có thể khai thác để vượt qua các cơ chế bảo vệ bộ nhớ.
• CVE-2024-23296: Lỗ hổng trong bộ nhớ của hệ điều hành thời gian thực RTKit (RTOS) mà kẻ tấn công với khả năng đọc và ghi tùy ý trong nhân có thể qua mặt cơ chế bảo vệ bộ nhớ.

Vẫn chưa rõ cách các lỗ hổng bị khai thác trên thực tế. Apple cho biết cả hai lỗ hổng đã được xử lý trong iOS 17.4, iPadOS 17.4, iOS 16.7.6 và iPadOS 16.7.6. Bản cập nhật đã có cho các thiết bị sau:

• iOS 16.7.6 và iPadOS 16.7.6, tương ứng iPhone 8, iPhone 8 Plus và iPhone X, iPad thế hệ thứ 5 và iPad Pro 9.7 inch và iPad Pro 12.9 inch thế hệ đầu tiên.
• iOS 17.4 và iPadOS 17.4, iPhone XS trở lên, iPad Pro 12.9 inch thế hệ thứ 2 trở lên và iPad Pro 10.5 inch, iPad Pro 11 inch đời đầu trở lên, iPad Air từ thế hệ thứ 3 và iPad từ thế hệ thứ 6, iPad mini thế hệ thứ 5 trở lên.

Với bản cập nhật mới nhất này, Apple đã xử lý tổng 3 lỗ hổng zero-day đang bị khai thác kể từ đầu năm. Người dùng cần cập nhật bản vá tương ứng để bảo vệ các thiết bị của mình.

Theo The Hacker News​