-
27/04/2017
-
29
-
76 bài viết
Apple vá lỗi zero-day mới bị khai thác để tấn công iPhone, iPad, MacOS
Mới đây, Apple đã phát hành các bản cập nhật bản vá để sửa một lỗ hổng zero-day mới bị những kẻ tấn công khai thác để hack iPhone, iPad và Mac.
Lỗ hổng zero-day được theo dõi có mã định danh là CVE-2022-22620 là lỗi WebKit Use After Free có thể gây ra lỗi trong hệ điều hành và thực thi mã trên các thiết bị bị xâm phạm.
Việc khai thác thành công lỗi này cho phép kẻ tấn công thực thi mã tùy ý trên iPhone và iPad chạy các phiên bản iOS và iPadOS dễ bị tấn công sau khi thực thi nội dung web độc hại.
"Apple đã được thông báo về một báo cáo rằng lỗi này có thể đã và đang bị khai thác tích cực" - hãng cho biết khi mô tả về zero-day.
Apple đã giải quyết CVE-2022-22620 với cải tiến cách quản lý bộ nhớ trong iOS 15.3.1, iPadOS 15.3.1 và macOS Monterey 12.2.1.
Danh sách đầy đủ các thiết bị bị ảnh hưởng khá lớn, bao gồm:
Hai lỗi này đã ảnh hưởng đến iPhone (iPhone 6s trở lên), máy Mac chạy macOS Monterey và nhiều mẫu iPad.
Trong khi Apple chỉ mới vá ba lỗi zero-days kể từ đầu năm 2022, hãng đã phải đối phó với hàng loạt zero-day gần như không thể khắc phục bị khai thác trong thực tế nhắm vào thiết bị iOS, iPadOS và macOS.
Danh sách bao gồm nhiều lỗ hổng zero-day được sử dụng để cài đặt phần mềm gián điệp Pegasus của NSO trên iPhone của các nhà báo, nhà hoạt động và chính trị gia.
Lỗ hổng zero-day được theo dõi có mã định danh là CVE-2022-22620 là lỗi WebKit Use After Free có thể gây ra lỗi trong hệ điều hành và thực thi mã trên các thiết bị bị xâm phạm.
Việc khai thác thành công lỗi này cho phép kẻ tấn công thực thi mã tùy ý trên iPhone và iPad chạy các phiên bản iOS và iPadOS dễ bị tấn công sau khi thực thi nội dung web độc hại.
"Apple đã được thông báo về một báo cáo rằng lỗi này có thể đã và đang bị khai thác tích cực" - hãng cho biết khi mô tả về zero-day.
Apple đã giải quyết CVE-2022-22620 với cải tiến cách quản lý bộ nhớ trong iOS 15.3.1, iPadOS 15.3.1 và macOS Monterey 12.2.1.
Danh sách đầy đủ các thiết bị bị ảnh hưởng khá lớn, bao gồm:
- iPhone 6s trở lên,
- iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Máy Mac chạy macOS Monterey
Bản vá lỗi zero-day thứ ba trong năm nay của Apple
Vào tháng 1, Apple đã vá hai zero-day khác được khai thác trong thực tế có thể cho phép các tác nhân đe dọa thực hiện mã tùy ý với các đặc quyền kernel (CVE-2022-22587) và theo dõi hoạt động duyệt web cũng như danh tính của người dùng trong thời gian thực (CVE-2022 -22594).Hai lỗi này đã ảnh hưởng đến iPhone (iPhone 6s trở lên), máy Mac chạy macOS Monterey và nhiều mẫu iPad.
Trong khi Apple chỉ mới vá ba lỗi zero-days kể từ đầu năm 2022, hãng đã phải đối phó với hàng loạt zero-day gần như không thể khắc phục bị khai thác trong thực tế nhắm vào thiết bị iOS, iPadOS và macOS.
Danh sách bao gồm nhiều lỗ hổng zero-day được sử dụng để cài đặt phần mềm gián điệp Pegasus của NSO trên iPhone của các nhà báo, nhà hoạt động và chính trị gia.
Nguồn: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: