Apple vá các lỗ hổng zero-day đang bị khai thác trong tháng 11

[WhiteHat Team]

Apple đã phát hành bản cập nhật bảo mật cho iOS, iPadOS, macOS, visionOS và trình duyệt web Safari để giải quyết hai lỗ hổng zero-day đang bị khai thác rộng rãi.

​

Các lỗi bao gồm:

• CVE-2024-44308 - Lỗ hổng trong JavaScriptCore có thể cho phép thực thi mã tùy ý khi xử lý nội dung web độc hại
• CVE-2024-44309 - Lỗ hổng quản lý cookie trong WebKit có thể cho phép tấn công XSS khi xử lý nội dung web độc hại

Nhà Táo đã giải quyết CVE-2024-44308 và CVE-2024-44309 bằng cách cải thiện các biện pháp kiểm tra và quản lý trạng thái, đồng thời thừa nhận cặp lỗ hổng này "có thể đã bị khai thác trên các hệ thống Mac chạy bằng Intel".

Các bản cập nhật có sẵn cho các thiết bị và hệ điều hành sau:

• iOS 18.1.1 và iPadOS 18.1.1
  • Áp dụng cho:
    • iPhone XS trở lên
    • iPad Pro 13 inch
    • iPad Pro 12,9 inch (thế hệ thứ 3 trở lên)
    • iPad Pro 11 inch (thế hệ thứ 1 trở lên)
    • iPad Air (thế hệ thứ 3 trở lên)
    • iPad (thế hệ thứ 7 trở lên)
    • iPad mini (thế hệ thứ 5 trở lên)
• iOS 17.7.2 và iPadOS 17.7.2
  • Áp dụng cho:
    • iPhone XS trở lên
    • iPad Pro 13 inch
    • iPad Pro 12,9 inch (thế hệ thứ 2 trở lên)
    • iPad Pro 10,5 inch
    • iPad Pro 11 inch (thế hệ thứ 1 trở lên)
    • iPad Air (thế hệ thứ 3 trở lên)
    • iPad (thế hệ thứ 6 trở lên)
    • iPad mini (thế hệ thứ 5 trở lên)
• macOS Sequoia 15.1.1
  • Áp dụng cho: Máy Mac chạy macOS Sequoia
• visionOS 2.1.1
  • Áp dụng cho: Apple Vision Pro
• Safari 18.1.1
  • Áp dụng cho: Máy Mac chạy macOS Ventura và macOS Sonoma

Cho đến nay, Apple đã giải quyết tổng cộng 4 lỗi zero-day, bao gồm một lỗi (CVE-2024-27834) đã được công bố tại cuộc thi hack Pwn2Own Vancouver. 3 lỗi còn lại đã được vá vào tháng 1 và tháng 3 năm 2024 .

Người dùng nên cập nhật thiết bị của mình lên phiên bản mới nhất càng sớm càng tốt để bảo vệ khỏi các rủi ro an ninh mạng.

Theo The Hacker News​