Apple phát hành bản vá cho lỗ hổng zero-day nghiêm trọng trong iPhone, Mac

Hôm qua, Apple đã phát hành bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day đang bị khai thác trong thực tế.

Lỗ hổng có định danh CVE-2024-23222, là một lỗi nhầm lẫn kiểu (type confusion) có thể bị kẻ tấn công khai thác để thực thi mã tùy ý khi xử lý nội dung web độc hại.

Các lỗ hổng nhầm lẫn kiểu có thể bị lạm dụng để thực hiện truy cập bộ nhớ trái phép hoặc dẫn đến sự cố và thực thi mã tùy ý.

Apple, trong một tư vấn bảo mật, cho biết họ đã nhận được thông tin về một báo cáo cho rằng vấn đề này có thể đã bị khai thác, nhưng không chia sẻ bất kỳ thông tin cụ thể nào khác về bản chất của các cuộc tấn công hoặc các tác nhân đe dọa đang lợi dụng nó.

Bản cập nhật để giải quyết lỗ hổng đã có sẵn cho các thiết bị và hệ điều hành sau:

– iOS 17.3 and iPadOS 17.3 – iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên, và iPad mini thế hệ thứ 5 trở lên

– iOS 16.7.5 and iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad thế hệ thứ 5, iPad Pro 9,7 inch và iPad Pro 12,9 inch thế hệ 1

– macOS Sonoma 14.3 – Máy Mac chạy macOS Sonoma

– macOS Ventura 13.6.4 – Máy Mac chạy macOS Ventura

– macOS Monterey 12.7.3 – Máy Mac chạy macOS Monterey

– tvOS 17.3 – Apple TV HD và Apple TV 4K (tất cả các kiểu máy)

– Safari 17.3 – Máy Mac chạy macOS Monterey và macOS Ventura

Sự phát triển này đánh dấu lỗ hổng zero-day bị khai thác đầu tiên được Apple vá trong năm nay. Năm ngoái, nhà sản xuất iPhone đã giải quyết 20 lỗ hổng zero-day bị lạm dụng trong các cuộc tấn công trong thực tế.

Ngoài ra, Apple cũng đã triển khai bản sửa lỗi (backported fixes) cho CVE-2023-42916 và CVE-2023-42917 – các bản vá cho chúng đã được phát hành vào tháng 12 năm 2023 – cho các thiết bị cũ hơn: iOS 15.8.1 và iPadOS 15.8.1 – iPhone 6s và iPhone 7 (tất cả kiểu máy), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ thứ 4) và iPod touch (thế hệ thứ 7).

Người dùng nên kiểm tra và cập nhật thiết bị lên các phiên bản đã được vá tương ứng với sản phẩm đang sử dụng để giảm thiểu các nguy cơ tiềm ẩn.

Nguồn: thehackernews.com.