Cập nhật ngay: 2 lỗ hổng zero-day mới đã bị khai thác để tấn công iPhone, Mac

[whf]

Apple đã phát hành bản cập nhật khẩn cấp để khắc phục 2 lỗ hổng zero-day mới bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, nâng tổng số lỗ hổng zero-day bị khai thác đã được vá lên con số 13 kể từ đầu năm.

Apple cho biết các lỗ hổng này có thể đã bị khai thác rộng rãi, được tìm thấy trong Image I/O và Wallet frameworks, bao gồm CVE-2023-41064 và CVE-2023-41061.

Các chuyên gia an ninh mạng cho biết thêm các lỗ hổng CVE-2023-41064 và CVE-2023-41061 đã bị lợi dụng như một phần của chuỗi khai thác zero-click iMessage có tên BLASTPASS được sử dụng để triển khai phần mềm gián điệp Pegasus của NSO Group.

CVE-2023-41064 là một lỗ hổng buffer overflow được kích hoạt khi xử lý các hình ảnh độc hại và có thể dẫn đến việc thực thi mã tùy ý trên các thiết bị chưa được vá.

CVE-2023-41061 là một lỗ hổng xác thực có thể bị khai thác bằng cách sử dụng tệp đính kèm độc hại để thực thi mã tùy ý trên các thiết bị được nhắm mục tiêu.

Apple cũng đã vá lỗ hổng zero-days trong macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 và watchOS 9.6.2 với khả năng xử lý bộ nhớ và logic được cải thiện.

Danh sách các thiết bị bị ảnh hưởng khá rộng, vì 2 lỗ hổng này ảnh hưởng đến cả các dòng máy cũ và mới hơn, bao gồm:

• iPhone 8 trở lên
• iPad Pro (tất cả các model), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
• Máy Mac chạy macOS Ventura
• Apple Watch Series 4 trở lên

Trước đó Apple cũng đã cung cấp bản vá cho các lỗ hổng:

• CVE-2023-37450 và CVE-2023-38606 vào tháng 7
• CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439 vào tháng 6
• CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373 vào tháng 5
• CVE-2023-28206 và CVE-2023-28205 vào tháng 4
• CVE-2023-23529 vào tháng 2

Nguồn: Bleepingcomputer​