Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để giải quyết hai lỗ hổng zero-day có thể bị kẻ tấn công khai thác để truy cập vào thông tin nhạy cảm hoặc thực thi mã tùy ý trên các thiết bị bị ảnh hưởng.
Các lỗ hổng này được theo dõi là CVE-2023-42916 và CVE-2023-42917, nằm trong công cụ trình duyệt WebKit, được Safari và các trình duyệt web khác trên thiết bị Apple sử dụng.
Việc phát hiện ra những lỗ hổng này là nhờ sự cảnh giác và chuyên môn của Clément Lecigne từ Nhóm phân tích mối đe dọa (TAG) của Google.
Chi tiết về lỗ hổng:
- CVE-2023-42916: Lỗ hổng đọc ngoài giới hạn có thể cho phép kẻ tấn công đọc thông tin nhạy cảm từ bộ nhớ của thiết bị bị ảnh hưởng.
- CVE-2023-42917: Lỗ hổng hỏng bộ nhớ có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị bị ảnh hưởng.
Các thiết bị Apple sau bị ảnh hưởng bởi các lỗ hổng này:
- iPhone: iPhone XS trở lên
- iPad: iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 và sau đó
- Mac: Máy Mac chạy macOS Monterey, Ventura hoặc Sonoma
Khắc phục:
Apple đã phát hành bản cập nhật bảo mật cho iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 và Safari 17.1.2 nhằm giải quyết các lỗ hổng này . Người dùng được khuyến khích cài đặt các bản cập nhật này càng sớm càng tốt.
Ngoài việc cài đặt các bản cập nhật bảo mật, người dùng cũng có thể thực hiện các bước sau để bảo vệ mình khỏi những lỗ hổng này:
- Hãy thận trọng khi nhấp vào liên kết hoặc mở tệp đính kèm trong email từ những người gửi không xác định.
- Chỉ tải phần mềm từ các nguồn đáng tin cậy.
- Luôn cập nhật thiết bị với các bản vá bảo mật mới nhất.
Nguồn: securityonline