-
09/04/2020
-
93
-
618 bài viết
Apple sửa hai lỗi zero-day mới của iOS trong bản cập nhật khẩn cấp
Apple đã phát hành bản cập nhật khẩn cấp để khắc phục hai lỗ hổng zero-day ảnh hưởng đến các thiết bị iPhone, iPad và Mac đang bị khai thác trong các cuộc tấn công. Đây là bản vá zero-day thứ 20 của Apple kể từ đầu năm.
“Apple đã biết về việc lỗ hổng này có thể đã bị khai thác trong các phiên bản iOS trước iOS 16.7.1” - hãng cho biết trong một thông báo.
Hai lỗi được tìm thấy trong công cụ trình duyệt WebKit (CVE-2023-42916 và CVE-2023-42917), cho phép kẻ tấn công truy cập vào thông tin nhạy cảm thông qua một lỗi đọc ngoài phạm vi (out-of-bounds read weakness) và thực thi mã tùy ý thông qua lỗi bộ nhớ trên các thiết bị tồn tại lỗ hổng.
Apple cho biết họ đã giải quyết các lỗi cho thiết bị chạy iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 và Safari 17.1.2 bằng cách cải thiện tính năng xác thực và khóa đầu vào.
Danh sách các thiết bị Apple bị ảnh hưởng khá rộng, bao gồm:
“Apple đã biết về việc lỗ hổng này có thể đã bị khai thác trong các phiên bản iOS trước iOS 16.7.1” - hãng cho biết trong một thông báo.
Hai lỗi được tìm thấy trong công cụ trình duyệt WebKit (CVE-2023-42916 và CVE-2023-42917), cho phép kẻ tấn công truy cập vào thông tin nhạy cảm thông qua một lỗi đọc ngoài phạm vi (out-of-bounds read weakness) và thực thi mã tùy ý thông qua lỗi bộ nhớ trên các thiết bị tồn tại lỗ hổng.
Apple cho biết họ đã giải quyết các lỗi cho thiết bị chạy iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 và Safari 17.1.2 bằng cách cải thiện tính năng xác thực và khóa đầu vào.
Danh sách các thiết bị Apple bị ảnh hưởng khá rộng, bao gồm:
- iPhone XS trở lên
- iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 trở lên
- Máy Mac chạy macOS Monterey, Ventura, Sonoma
- Hai lỗi zero-day (CVE-2023-37450 và CVE-2023-38606) vào tháng 7
- Ba lỗi zero-day (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439) vào tháng 6
- Ba lỗi zero-day (CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373) vào tháng 5
- Hai lỗi zero-day (CVE-2023-28206 và CVE-2023-28205) vào tháng 4
- Một lỗi zero-day WebKit khác (CVE-2023-23529) vào tháng 2
Nguồn: Bleeping Computer