WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Apple phát thành macOS Big Sur 11.0.1 vá 60 lỗ hổng
Bản cập nhật đầu tiên của macOS Big Sur 11.0 giải quyết 60 lỗ hổng ảnh hưởng đến các thành phần khác nhau của hệ điều hành.
macOS Big Sur 11.0 chính thức ra mắt vào ngày 12/11 và trong cùng ngày Apple đã phát hành bản cập nhật đầu tiên cho hệ điều này hành, đồng thời khuyến cáo khách hàng cập nhật lên phiên bản mới nhất. macOS Big Sur 11.0 được cài sẵn trên một số máy Mac nhất định nhưng có báo cáo rằng bản cập nhật Big Sur đang làm một số MacBook Pro cũ hơn biến thành “cục gạch”.
Một số lỗ hổng được vá trong Big Sur 11.0.1 trước đây đã được vá trong macOS và các hệ điều hành khác của Apple, bao gồm ba lỗ hổng đang bị khai thác ảnh hưởng đến nhân và các thành phần FontParser. Các lỗ hổng này được Google Project Zero báo cáo cho Apple và có thể dẫn đến tiết lộ thông tin và thực thi mã tùy ý. Các lỗ hổng này cũng ảnh hưởng đến một số phiên bản iOS và tvOS.
Các lỗ hổng khác được vá trong Big Sur 11.0.1 ảnh hưởng đến các thành phần như App Store, Audio, Bluetooth, CoreAudio, CoreCapture, CoreGraphics, CoreText, Disk Images, Crash Reporter, Finder, FontParser, Foundation, ImageIO, kernel, libxml2 , libxpc, Logging, Mail, Messages, Model I/O, NetworkExtension, NSRemoteView, PCRE, Power Management, Python, Quick Look, Ruby, Safari, Sandbox, SQLite, System Preferences, WebKit, Wi-Fi và Xsan.
Việc khai thác các lỗ hổng có thể cho phép leo thang đặc quyền, thực thi mã tùy ý, truy cập thông tin bị hạn chế từ bộ nhớ hoặc tệp, tấn công DoS, tấn công MitM, sửa đổi hệ thống tệp, giả mạo thanh địa chỉ trong Safari, làm hỏng dữ liệu (SQLite) và vượt qua các biện pháp bảo vệ.
Điều mà Apple chưa khắc phục có liên quan đến việc các ứng dụng trên Big Sur vượt qua tường lửa và kết nối VPN. Vấn đề này đã được tiết lộ vào tháng 10 và các chuyên gia tin rằng vấn đề có thể sẽ được khắc phục trong bản phát hành chính thức của Big Sur.
Tuần trước, Apple cũng đã phát hành các bản cập nhật bảo mật cho Safari để vá lỗi giả mạo thanh địa chỉ và lỗ hổng thực thi mã liên quan đến WebKit, cũng như các bản cập nhật cho macOS High Sierra và Mojave để sửa các lỗ hổng được khai thác tích cực do Google Project Zero báo cáo.
Khi công bố Big Sur, gã khổng lồ công nghệ cũng tiết lộ M1, hệ thống trên chip (SoC) đầu tiên được thiết kế dành riêng cho Mac. Apple cho biết M1 được thiết kế ngay từ đầu để ghép đôi với Big Sur nhằm cải thiện hiệu suất, tuổi thọ pin và bảo mật.
macOS Big Sur 11.0 chính thức ra mắt vào ngày 12/11 và trong cùng ngày Apple đã phát hành bản cập nhật đầu tiên cho hệ điều này hành, đồng thời khuyến cáo khách hàng cập nhật lên phiên bản mới nhất. macOS Big Sur 11.0 được cài sẵn trên một số máy Mac nhất định nhưng có báo cáo rằng bản cập nhật Big Sur đang làm một số MacBook Pro cũ hơn biến thành “cục gạch”.
Một số lỗ hổng được vá trong Big Sur 11.0.1 trước đây đã được vá trong macOS và các hệ điều hành khác của Apple, bao gồm ba lỗ hổng đang bị khai thác ảnh hưởng đến nhân và các thành phần FontParser. Các lỗ hổng này được Google Project Zero báo cáo cho Apple và có thể dẫn đến tiết lộ thông tin và thực thi mã tùy ý. Các lỗ hổng này cũng ảnh hưởng đến một số phiên bản iOS và tvOS.
Các lỗ hổng khác được vá trong Big Sur 11.0.1 ảnh hưởng đến các thành phần như App Store, Audio, Bluetooth, CoreAudio, CoreCapture, CoreGraphics, CoreText, Disk Images, Crash Reporter, Finder, FontParser, Foundation, ImageIO, kernel, libxml2 , libxpc, Logging, Mail, Messages, Model I/O, NetworkExtension, NSRemoteView, PCRE, Power Management, Python, Quick Look, Ruby, Safari, Sandbox, SQLite, System Preferences, WebKit, Wi-Fi và Xsan.
Việc khai thác các lỗ hổng có thể cho phép leo thang đặc quyền, thực thi mã tùy ý, truy cập thông tin bị hạn chế từ bộ nhớ hoặc tệp, tấn công DoS, tấn công MitM, sửa đổi hệ thống tệp, giả mạo thanh địa chỉ trong Safari, làm hỏng dữ liệu (SQLite) và vượt qua các biện pháp bảo vệ.
Điều mà Apple chưa khắc phục có liên quan đến việc các ứng dụng trên Big Sur vượt qua tường lửa và kết nối VPN. Vấn đề này đã được tiết lộ vào tháng 10 và các chuyên gia tin rằng vấn đề có thể sẽ được khắc phục trong bản phát hành chính thức của Big Sur.
Tuần trước, Apple cũng đã phát hành các bản cập nhật bảo mật cho Safari để vá lỗi giả mạo thanh địa chỉ và lỗ hổng thực thi mã liên quan đến WebKit, cũng như các bản cập nhật cho macOS High Sierra và Mojave để sửa các lỗ hổng được khai thác tích cực do Google Project Zero báo cáo.
Khi công bố Big Sur, gã khổng lồ công nghệ cũng tiết lộ M1, hệ thống trên chip (SoC) đầu tiên được thiết kế dành riêng cho Mac. Apple cho biết M1 được thiết kế ngay từ đầu để ghép đôi với Big Sur nhằm cải thiện hiệu suất, tuổi thọ pin và bảo mật.
Theo Security Week