CVE-2023-37450: Lỗ hổng ảnh hưởng đến iPhone, Mac và iPad

Tommy_Nguyen

Tommy_Nguyen

Moderator
Thành viên BQT
06/04/2022
23
41 bài viết
CVE-2023-37450: Lỗ hổng ảnh hưởng đến iPhone, Mac và iPad
Tommy_Nguyen

Cập nhật​

Apple đã rút bản cập nhật phần mềm sau khi có báo cáo rằng việc cài đặt các bản vá khiến một số trang web như Facebook, Instagram và Zoom gặp lỗi "Trình duyệt không được hỗ trợ" trên Safari.

Nguồn: The Hacker News
Một nhà nghiên cứu ẩn danh đã báo cáo cho Apple về lỗ hổng zero-day đáng lo ngại có thể được dử dụng để khai thác iPhone, Mac và iPad kể cả khi chúng đã được cập nhật lên các phiên bản mới nhất. Báo cáo này đã khiến gã khổng lồ công nghệ phải gấp rút phát hành một loạt các bản cập nhật “bản cập nhật bảo mật nhanh” (Rapid Security Response - RSP) để giải quyết lỗ hổng.

  • 1689045180326.png

Lỗ hổng bảo mật được nhắc đến có mã định danh là CVE-2023-37450. Lỗ hổng này đã gây ra một làn sóng đáng lo ngại trong thế giới kỹ thuật số, chứng tỏ mức độ phức tạp ngày càng tăng của các mối đe dọa mạng. Không có thiết bị nào, dù bảo mật đến đâu, có thể miễn nhiễm với sự tinh vi ngày càng tăng của tội phạm mạng.

CVE nằm trong công cụ trình duyệt WebKit của chính Apple. Khai thác thành công lỗi cho phép tin tặc thực thi mã tùy ý trên các thiết bị tồn tại lỗ hổng. Bằng cách đánh lừa người dùng truy cập vào các trang web có nội dung độc hại, kẻ tấn công có thể giành quyền kiểm soát thiết bị, từ đó có khả năng dẫn đến một loạt các vi phạm khác.

Apple đã thừa nhận về sự tồn tại của lỗ hổng và đang tích cực khắc phục vấn đề. “Apple đã biết về một báo cáo nói rằng vấn đề này có thể đã bị khai thác trong thực tế” - hãng cho biết

Apple đã triển khai các “bản cập nhật bảo mật nhanh” (RSR), một cách tiếp cận mới nhằm giải quyết nhanh chóng các mối đe dọa. RSR là tuyến phòng thủ trung gian, cung cấp các cải tiến bảo mật quan trọng giữa các lần cập nhật phần mềm thông thường. Nó có thể bao gồm các cải tiến đối với trình duyệt web Safari, WebKit framework stack hoặc các thư viện hệ thống quan trọng khác.

Những phản hồi này cũng đóng vai trò là giải pháp nhanh để giảm thiểu các lỗ hổng an ninh được báo cáo là đang tồn tại trong thực tế, ngăn chặn hiệu quả hoạt động khai thác tích cực của chúng. Tuy nhiên, RSP chỉ được cung cấp cho các phiên bản iOS, iPadOS và macOS mới nhất, từ iOS 16.4.1, iPadOS 16.4.1 và macOS 13.3.1.

Để đối phó với lỗ hổng zero-day CVE-2023-37450 hiện tại, Apple đã phát hành các bản vá khẩn cấp sau:
  1. macOS Ventura 13.4.1 (a)
  2. iOS 16.5.1 (a)
  3. iPadOS 16.5.1 (a)
  4. Safari 16.5.2
Đối với những người dùng đã tắt cập nhật tự động hoặc chưa cài đặt RSR, bản vá lỗ hổng sẽ được đưa vào các bản nâng cấp phần mềm trong tương lai.

Nguồn: Security Online
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Đã có PoC của lỗ hổng leo thang đặc quyền CVE-2024-26218 trong Windows Kernel
  • Lỗ hổng 9,9 điểm trong plugin của WordPress gây ra hàng triệu cuộc tấn công SQL injection
  • Cisco cảnh cáo lỗ hổng zero-day có thể bị khai thác để tấn công mạng chính phủ
  • Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkit
  • Lỗ hổng nghiêm trọng của plugin Forminator ảnh hưởng hơn 300 nghìn trang web
  • Lỗ hổng nghiêm trọng trong PuTTY làm rò rỉ khóa riêng
    • Thẻ
    apple cve-2023-37450 ios ipad macos webkit
    Bên trên