Apple phát hành các bản vá khẩn cấp cho các lỗi 0-day đang bị khai thác

[sImplePerson]

Apple đã phát hành các bản cập nhật bảo mật cho iOS, macOS và watchOS để xử lý ba lỗ hổng 0-day và các bản vá mở rộng cho lỗ hổng thứ tư có thể đang bị khai thác trên thực tế.

Tất cả các lỗ hổng đều liên quan đến WebKit, công cụ trình duyệt hỗ trợ Safari và các trình duyệt web của bên thứ ba khác trong hệ điều hành iOS, cho phép hacker thực thi mã trên các thiết bị mục tiêu. Cụ thể:

• CVE-2021-30663: Lỗ hổng tràn số nguyên, sau khi bị khai thác có thể tạo nội dung web độc hại, dẫn đến việc thực thi mã. Lỗ hổng này đã được xử lý bằng cách cải thiện xác thực đầu vào.
• CVE-2021-30665: Sự cố hỏng bộ nhớ có thể giúp hacker lợi dụng để tạo ra nội dung web độc hại, dẫn đến việc thực thi mã. Apple đã xử lý lỗ hổng cách cải thiện quản lý trạng thái ứng dụng.
• CVE-2021-30666: Lỗ hổng tràn bộ đệm giúp hacker sau khi khai thác có thể tạo nội dung web độc hại, dẫn đến việc thực thi mã. Lỗ hổng đã được giải quyết bằng cách cải thiện xử lý bộ nhớ.

Sự việc xảy ra chỉ một tuần sau khi Apple phát hành iOS 14.5 và macOS Big Sur 11.3 để sửa lỗi cho lỗ hổng WebKit Storage có khả năng bị khai thác. Được đánh dấu là CVE-2021-30661, đây là lỗi use-after-free chỉ ảnh hưởng đến các thiết bị Apple cũ như iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 và iPod touch (thế hệ thứ 6). Bản cập nhật iOS 12.5.3, đã khắc phục lỗ hổng này, bao gồm cả bản sửa lỗi cho CVE-2021-30661.

Người dùng các thiết bị của Apple được khuyến cáo cập nhật lên phiên bản mới nhất để giảm thiểu rủi ro liên quan đến các lỗ hổng trên.

Theo The Hacker News​