Apple phát hành bản vá lỗ hổng zero-day mới trên iPhone cũ

whf

whf

Super Moderator
Thành viên BQT
06/07/2013
796
1.304 bài viết
Apple phát hành bản vá lỗ hổng zero-day mới trên iPhone cũ
whf
Apple vừa phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng zero-day đang bị khai thác trên iPhone cũ và một số dòng Apple Watch và Apple TV.

1702358206052.png

Hai lỗ hổng là CVE-2023-42916 và CVE-2023-42917 tồn tại trong WebKit browser engine do Apple phát triển và sử dụng trong trình duyệt web Safari trên các nền tảng của họ, ví dụ như macOS, iOS, iPadOS.

Khai thác thành công, kẻ tấn công có thể chiếm quyền truy cập vào dữ liệu nhạy cảm và thực thi mã tùy ý bằng cách sử dụng các trang web độc hại để khai thác các lỗ hổng out-of-bounds và memory corruption trên các thiết bị chưa được vá.

Apple đã giải quyết các lỗ hổng này trong phiên bản iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 và watchOS 10.2 trên các thiết bị sau:
  • iPhone từ phiên bản 8 trở đi, iPad Pro (tất cả model), iPad Air thế hệ 3 trở lên, iPad thế hệ 5 trở lên và iPad mini thế hệ 5 trở lên
  • Apple TV HD và Apple TV 4K (tất cả model)
  • Apple Watch Series 4 trở đi
Mặc dù Apple chưa cung cấp chi tiết về việc lỗ hổng được khai thác trong các cuộc tấn công, nhưng theo các nhà nghiên cứu tại Google's Threat Analysis Group (TAG), các lỗ hổng zero-day được sử dụng trong các cuộc tấn công bằng phần mềm gián điệp được chính phủ hậu thuẫn, nhắm vào những cá nhân nổi tiếng bao gồm các nhà báo, lãnh đạo đối lập và những người chống đối.

Từ đầu năm đến nay, Apple đã vá 20 lỗ hổng zero-day đã bị khai thác trong các cuộc tấn công:
  • 2 lỗ hổng zero-day (CVE-2023-42916 và CVE-2023-42917) vào tháng 11
  • 2 lỗ hổng zero-day (CVE-2023-42824 và CVE-2023-5217) vào tháng 10
  • 5 lỗ hổng zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993) vào tháng 9
  • 2 lỗ hổng zero-day (CVE-2023-37450 và CVE-2023-38606) vào tháng 7
  • 3 lỗ hổng zero-day (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439) vào tháng 6
  • 3 lỗ hổng zero-day (CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373) vào tháng 5
  • 2 lỗ hổng zero-day (CVE-2023-28206 và CVE-2023-28205) vào tháng 4
  • 1 lỗ hổng WebKit zero-day (CVE-2023-23529) vào tháng 2
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Apple phát hành bản vá khẩn cấp cho các zero-day đang bị khai thác
  • Apple phát hành bản vá cho lỗ hổng zero-day nghiêm trọng trên iPhone, Mac
  • Apple sửa hai lỗi zero-day mới của iOS trong bản cập nhật khẩn cấp
  • Câu chuyện quả táo thủng lỗ: Apple vá 3 lỗ hổng zero-day bị khai thác
  • Apple tung bản vá khẩn cấp cho các lỗ hổng zero-day ảnh hưởng đến iPhone, iPad và Mac
  • Ba lỗ hổng zero-day của Apple khiến hàng trăm triệu thiết bị gặp nguy hiểm
    • Bên trên