WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Apple vá hàng tá lỗ hổng trong một loạt sản phẩm
Apple vừa phát hành một bộ cập nhật an ninh để vá hàng chục lỗ hổng ảnh hưởng đến macOS, iOS, watchOS và tvOS…
Có trên 40 lỗi đã được vá qua bản phát hành iOS phiên bản 11.3. Các lỗi này hầu hết ảnh hưởng từ dòng iPhone 5s, iPad Air trở lên và iPod touch thế hệ thứ 6.
WebKit bị ảnh hưởng nhiều nhất với tổng số 19 lỗi. Bên cạnh đó còn có các thành phần CoreFoundation, CoreText, File System Events, iCloud Drive, Kernel, Mail, PluginKit, Safari, Security và Storage.
Nếu khai thác được những lỗ hổng này, hacker có thể cho chạy mã tuỳ ý trên thiết bị dính lỗ hổng, ứng dụng độc hại để leo thang đặc quyền, giả mạo giao diện người dùng, đánh cắp dữ liệu, chặn các nội dung email được mã hoá, tấn công từ chối dịch vụ, keylogging (theo dõi thao tác bàn phím), tắt các tính năng trên thiết bị hoặc khiến thiết bị khởi động lại.
Các lỗi về lạm dụng bộ nhớ được tìm thấy trong WebKit có thể dẫn đến thực thi mã tuỳ ý khi xử lý nội dung web độc hại. Có tổng 16 lỗi đã được vá để cải thiện xử lý bộ nhớ.
Apple cũng vá 35 lỗ hổng qua bản cập nhật macOS High Sierra 10.13.4, bản cập nhật an ninh Sierra 2018-002, El Capitan 2018-002. Các vấn đề ảnh hưởng đến OS X El Capitan 10.11.6, macOS Sierra 10.12.6 và macOS High Sierra 10.13.3.
Khai thác những lỗi này có thể làm lộ mật khẩu, thông tin người dùng, leo thang đặc quyền, tấn công từ chối dịch vụ, thực thi mã tuỳ ý, đọc bộ nhớ giới hạn, bỏ qua thực thi chứng thực số, chặn và lấy các nội dung email bị mã hoá, giả mạo thực thi lệnh tuỳ ý và theo dõi thao tác bàn phím.
Bản cập nhật cho OS X El Capitan 10.11.6, macOS Sierra 10.12.6 và macOS High Sierra 10.13.4, Safari 11.1 vá 23 lỗ hổng dẫn đến việc giả mạo thanh công cụ, đánh cắp dữ liệu lọc mà không cần tương tác người dùng, thưc thi mã tuỳ ý, lỗi cross-site scripting, lỗi ASSERT, từ chối dịch vụ và các website đánh cắp dữ liệu cross-origin.
Trong số 23 lỗ hổng, Safari có 2, một lỗ hổng nằm trong tính năng tự động đăng nhập, trong khi WebKit tồn tại 20 lỗ hổng.
Bên cạnh đó, có 28 lỗi đã được fix trong bản cập nhật tvOS 11.3, ảnh hưởng đến tivi 4K và Apple TV (thế hệ thứ 4).
22 lỗ hổng được vá trên watchOS nằm trong các thành phần CoreFoundation, CoreText, File System Events, Kernel, NSURLSession, Quick Look, Security, System Preferences và WebKit. Tất cả các dòng Apple Watch đều bị ảnh hưởng bởi những lỗi này.
Apple cũng xử lý nhiều vấn đề trong LLVM với bản cập nhật Xcode 9.3. Các lỗi này ảnh hưởng đến bản macOS High Sierra 10.13.2 trở lên.
iCloud cho Windows 7.4 vá 20 lỗ hổng, 19 trong số đó ảnh hưởng đến WebKit, tương tự như iTunes 12.7.4 dành cho Windows. Các lỗi có thể dẫn đến thực thi mã tuỳ ý, leo thang đặc quyền, lỗi ASSERT, từ chối dịch vụ hoặc các website độc hại đánh cắp dữ liệu cross-origin.
WebKit bị ảnh hưởng nhiều nhất với tổng số 19 lỗi. Bên cạnh đó còn có các thành phần CoreFoundation, CoreText, File System Events, iCloud Drive, Kernel, Mail, PluginKit, Safari, Security và Storage.
Nếu khai thác được những lỗ hổng này, hacker có thể cho chạy mã tuỳ ý trên thiết bị dính lỗ hổng, ứng dụng độc hại để leo thang đặc quyền, giả mạo giao diện người dùng, đánh cắp dữ liệu, chặn các nội dung email được mã hoá, tấn công từ chối dịch vụ, keylogging (theo dõi thao tác bàn phím), tắt các tính năng trên thiết bị hoặc khiến thiết bị khởi động lại.
Các lỗi về lạm dụng bộ nhớ được tìm thấy trong WebKit có thể dẫn đến thực thi mã tuỳ ý khi xử lý nội dung web độc hại. Có tổng 16 lỗi đã được vá để cải thiện xử lý bộ nhớ.
Apple cũng vá 35 lỗ hổng qua bản cập nhật macOS High Sierra 10.13.4, bản cập nhật an ninh Sierra 2018-002, El Capitan 2018-002. Các vấn đề ảnh hưởng đến OS X El Capitan 10.11.6, macOS Sierra 10.12.6 và macOS High Sierra 10.13.3.
Khai thác những lỗi này có thể làm lộ mật khẩu, thông tin người dùng, leo thang đặc quyền, tấn công từ chối dịch vụ, thực thi mã tuỳ ý, đọc bộ nhớ giới hạn, bỏ qua thực thi chứng thực số, chặn và lấy các nội dung email bị mã hoá, giả mạo thực thi lệnh tuỳ ý và theo dõi thao tác bàn phím.
Bản cập nhật cho OS X El Capitan 10.11.6, macOS Sierra 10.12.6 và macOS High Sierra 10.13.4, Safari 11.1 vá 23 lỗ hổng dẫn đến việc giả mạo thanh công cụ, đánh cắp dữ liệu lọc mà không cần tương tác người dùng, thưc thi mã tuỳ ý, lỗi cross-site scripting, lỗi ASSERT, từ chối dịch vụ và các website đánh cắp dữ liệu cross-origin.
Trong số 23 lỗ hổng, Safari có 2, một lỗ hổng nằm trong tính năng tự động đăng nhập, trong khi WebKit tồn tại 20 lỗ hổng.
Bên cạnh đó, có 28 lỗi đã được fix trong bản cập nhật tvOS 11.3, ảnh hưởng đến tivi 4K và Apple TV (thế hệ thứ 4).
22 lỗ hổng được vá trên watchOS nằm trong các thành phần CoreFoundation, CoreText, File System Events, Kernel, NSURLSession, Quick Look, Security, System Preferences và WebKit. Tất cả các dòng Apple Watch đều bị ảnh hưởng bởi những lỗi này.
Apple cũng xử lý nhiều vấn đề trong LLVM với bản cập nhật Xcode 9.3. Các lỗi này ảnh hưởng đến bản macOS High Sierra 10.13.2 trở lên.
iCloud cho Windows 7.4 vá 20 lỗ hổng, 19 trong số đó ảnh hưởng đến WebKit, tương tự như iTunes 12.7.4 dành cho Windows. Các lỗi có thể dẫn đến thực thi mã tuỳ ý, leo thang đặc quyền, lỗi ASSERT, từ chối dịch vụ hoặc các website độc hại đánh cắp dữ liệu cross-origin.
Theo SecurityWeek