Apple tuần này đã phát hành các bản cập nhật bảo mật khẩn cấp để giải quyết các lỗ hổng zero-day trên các mẫu iPhone, iPad và iPod cũ hơn.
Các bản vá, được tung ra vào thứ Tư, giải quyết vấn đề ghi ngoài giới hạn có thể bị kẻ tấn công khai thác cho phép chúng kiểm soát thiết bị bị ảnh hưởng. Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm nay đã khuyến khích người dùng và quản trị viên CNTT xem xét lời khuyên HT213428 của Apple và áp dụng các bản cập nhật cần thiết.
Apple đã không trả lời ngay lập tức yêu cầu bình luận về việc liệu các lỗ hổng có được chú ý thông qua các hoạt động khai thác tích cực hay không, nhưng bản cập nhật bảo mật của họ cho biết, “Apple đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực”.
Các lỗ hổng phần mềm được liệt kê trong cơ sở dữ liệu Các lỗ hổng bảo mật và các điểm lộ thông thường (CVE), một hệ thống được tài trợ bởi một bộ phận của Bộ An ninh Nội địa Hoa Kỳ (DHS) nhằm đảm bảo việc tiết lộ công khai các lỗ hổng bảo mật và các điểm lộ.
“Vấn đề là nếu một trang web được xây dựng theo một cách nhất định, nó có thể khiến mã thực thi trên thiết bị bên ngoài phạm vi ngăn chặn thông thường và tạo ra một tình huống phần mềm độc hại trên thiết bị có thể xâm phạm dữ liệu, danh bạ, vị trí, chèn phần mềm độc hại. SW, v.v.”, Jack Gold, nhà phân tích chính tại J. Gold Associates, LLC cho biết.
“Vì vậy, đó là một vấn đề lớn,” anh ấy nói thêm.
Các lỗ hổng ảnh hưởng đến iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 và iPod touch (thế hệ thứ 6) và các máy tính chạy các phiên bản macOS cũ hơn.
Thực tế là vấn đề ảnh hưởng đến nhóm thiết bị cũ hơn – chứ không phải các mẫu mới hơn – có nghĩa là có tương đối ít thiết bị gặp rủi ro, Gold lưu ý. Mặc dù vậy, anh ấy nói, bất kỳ ai có một trong những thiết bị cũ hơn nên cập nhật càng sớm càng tốt.
Mặc dù bản vá được cung cấp cho các thiết bị cũ hơn có vẻ không quan trọng, nhưng tội phạm mạng đặc biệt thích công nghệ cũ chưa được vá, đặc biệt nếu lỗ hổng cho phép chúng kiểm soát hoàn toàn và có khả năng truy cập vào các hệ thống và dịch vụ khác.
“Kẻ tấn công có thể dụ một nạn nhân tiềm năng đến một trang web được thiết kế đặc biệt hoặc sử dụng quảng cáo độc hại để xâm phạm hệ thống dễ bị tổn thương bằng cách khai thác lỗ hổng này,” Malwarebytes cho biết trong một bài đăng trên blog hôm nay. “Do lỗ hổng tồn tại trong phần mềm kết xuất HTML của Apple (WebKit). WebKit hỗ trợ tất cả các trình duyệt web iOS và Safari, vì vậy các mục tiêu có thể là iPhone, iPad và Mac, tất cả đều có thể bị lừa chạy mã trái phép.”
Sự cố đã được khắc phục trong iOS 15.6.1, iPadOS 15.6.1 và macOS Monterey 12.5.1. Apple đang khuyến khích người dùng nâng cấp lên phiên bản mới nhất của phần mềm.
Bản quyền © 2022 IDG Communications, Inc.
