Apple phát hành iOS 17.1.2, iPadOS 17.1.2 để vá hai lỗ hổng Zero-day nghiêm trọng

10:48, 01/12/2023

(XHTT) - Apple cho biết, công ty hôm nay đã phát hành bản cập nhật iOS 17.1.2 và iPadOS 17.1.2 để vá một cặp lỗ hổng zero-day đã bị khai thác.

 

Zero-day là lỗ hổng mà các nhà phát triển không biết đến và có thể bị khai thác trước đó một thời gian. Cả hai lỗ hổng được tìm thấy trên phiên bản iOS 17.1.2 và đều liên quan đến công cụ trình duyệt WebKit trên iPhone XS trở lên, iPad Pro 12,9 inch thế hệ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 trở lên.

Lỗ hổng đầu tiên có thể dẫn đến việc thông tin nhạy cảm bị tiết lộ trong khi nội dung web đang được xử lý. Apple cho biết, công ty đã biết về một báo cáo cho biết lỗ hổng này đã bị khai thác trên các phiên bản iOS trước như iOS 16.7.1. Sự cố này mang số hiệu CVE-2023-42916 và được phát hiện bởi Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google.

Lỗ hổng này đang được vá, nhưng qua đó kẻ tấn công đã đọc được bộ nhớ ngoài bộ đệm, cho phép chúng xem thông tin cá nhân và các thông tin, hình ảnh nhạy cảm của chủ thiết bị. Chưa kể, tin tặc có thể còn xâm nhập vào tài khoản ngân hàng hoặc thẻ tín dụng của khổ chủ và sử dụng chúng một cách trái phép. Apple cho biết, việc đọc tin nhắn hoặc xem các nội dung một cách trái phép đã được giải quyết bằng tính năng xác thực đầu vào được cải thiện.

 

Số ký hiệu của lỗ hổng thứ hai này là CVE-2023-42917 và cũng được phát hiện bởi Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google. Với lỗ hổng này, việc xử lý nội dung web có thể dẫn đến việc thực thi mã tùy ý, cho phép kẻ tấn công chạy bất kỳ lệnh hoặc mã nào và có thể đánh cắp thông tin cá nhân của người dùng.

Giống như CVE đầu tiên, đây là loại thông tin có thể tiết lộ một số mật khẩu nhất định hoặc tiết lộ thông tin khác cho phép kẻ tấn công xâm nhập vào tài khoản ngân hàng của bạn hoặc sử dụng thẻ tín dụng của bạn để mua những thứ có thể nhanh chóng chuyển đổi thành tiền mặt. Tin xấu ở đây là lỗ hổng này cũng đã bị khai thác, trước iOS 16.7.1. Apple cho biết lỗ hổng hỏng bộ nhớ đã được giải quyết bằng tính năng khóa được cải tiến.

Để cài đặt bản cập nhật, hãy đi tới Cài đặt > Chung > Cập nhật phần mềm.

 

Hoàng Thanh



.
1