DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Apple phát hành bản vá khẩn cấp cho lỗ hổng 0-day ảnh hưởng đến Mac, iPhone, iPad
Hôm thứ hai (26/7), Apple đã tung ra một bản cập nhật bảo mật khẩn cấp cho iOS, iPadOS và macOS để giải quyết một lỗ hổng zero-day. Apple cho biết lỗ hổng đang bị tin tặc khai thác tích cực. Đây là lỗ hổng 0-day thứ 13 mà Apple vá trong năm nay.
Lỗ hổng có mã định danh CVE-2021-30807, là một lỗi hỏng bộ nhớ trong thành phần IOMobileFrameBuffer, một phần mở rộng hạt nhân để quản lý bộ đệm hình ảnh, có thể bị lạm dụng để thực thi mã tùy ý với các đặc quyền của hạt nhân.
Apple cho biết họ đã giải quyết vấn đề bằng việc cải thiện cách bộ nhớ xử lý dữ liệu bộ đệm hình ảnh, và xác nhận việc "lỗ hổng đang bị khai thác tích cực." Chi tiết kỹ thuật về lỗ hổng đã không được tiết lộ. Apple đã ghi nhận một nhà nghiên cứu ẩn danh vì đã phát hiện và báo cáo lỗ hổng bảo mật.
Thời điểm phát hành bản vá cũng đặt ra câu hỏi về việc liệu lỗ hổng zero-day này có liên quan đến việc xâm nhập iPhone bằng phần mềm Pegasus của NSO Group không. Pegasus vốn đã trở thành tâm điểm của một loạt các báo cáo điều tra. Phần mềm cho phép xâm nhập các thiết bị iPhone không yêu cầu tương tác của người dùng, nhắm mục tiêu đến các nhà báo, nhà hoạt đông nhân quyền để cấp quyền truy cập vào thiết bị cũng như đánh cắp các dữ liệu nhạy cảm.
Lỗ hổng có mã định danh CVE-2021-30807, là một lỗi hỏng bộ nhớ trong thành phần IOMobileFrameBuffer, một phần mở rộng hạt nhân để quản lý bộ đệm hình ảnh, có thể bị lạm dụng để thực thi mã tùy ý với các đặc quyền của hạt nhân.
Apple cho biết họ đã giải quyết vấn đề bằng việc cải thiện cách bộ nhớ xử lý dữ liệu bộ đệm hình ảnh, và xác nhận việc "lỗ hổng đang bị khai thác tích cực." Chi tiết kỹ thuật về lỗ hổng đã không được tiết lộ. Apple đã ghi nhận một nhà nghiên cứu ẩn danh vì đã phát hiện và báo cáo lỗ hổng bảo mật.
Thời điểm phát hành bản vá cũng đặt ra câu hỏi về việc liệu lỗ hổng zero-day này có liên quan đến việc xâm nhập iPhone bằng phần mềm Pegasus của NSO Group không. Pegasus vốn đã trở thành tâm điểm của một loạt các báo cáo điều tra. Phần mềm cho phép xâm nhập các thiết bị iPhone không yêu cầu tương tác của người dùng, nhắm mục tiêu đến các nhà báo, nhà hoạt đông nhân quyền để cấp quyền truy cập vào thiết bị cũng như đánh cắp các dữ liệu nhạy cảm.
Theo: thehackernews