Apple đã giải quyết ba lỗ hổng zero-day mới được khai thác trong các cuộc tấn công để xâm nhập vào iPhone, Mac và iPad.
Tất cả các lỗi bảo mật đều được tìm thấy trong công cụ trình duyệt WebKit đa nền tảng và được theo dõi là CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373 công ty tiết lộ trong các tư vấn bảo mật mô tả các lỗ hổng.
Lỗ hổng đầu tiên CVE-2023-32409 (điểm CVSS 6,0) là liên quan tới sandbox của trình duyệt web, cho phép kẻ tấn công từ xa có thể thoát khỏi sandbox và tương tác với hệ thống thật.
Hai lỗ hổng còn lại CVE-2023-28204 (điểm CVSS 4,1) và CVE-2023-32373 (điểm CVSS 7,5) liên quan tới vấn đề đọc ngoài giới hạn cho phép kẻ tấn công truy cập vào thông tin nhạy cảm ngoài giới hạn cho phép và lợi dụng các phần mềm crack để thực thi mã tùy ý trên các thiết bị xâm nhập. Cả hai vấn đề này sau khi lừa mục tiêu tải các trang web được tạo độc hại.
Apple đã giải quyết ba lỗi zero-day trong macOS Ventura 13.4, iOS và iPadOS 16.5, tvOS 16.5, watchOS 9.5 và Safari 16.5 bằng các kiểm tra giới hạn, xác thực đầu vào và quản lý bộ nhớ.
Danh sách các thiết bị bị ảnh hưởng khá rộng, vì lỗi này ảnh hưởng đến các kiểu máy cũ hơn và mới hơn, bao gồm:
- iPhone 6s (tất cả các kiểu), iPhone 7 (tất cả các kiểu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4), iPod touch (thế hệ 7) và iPhone 8 trở lên
- iPad Pro (tất cả các mẫu), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
- Máy Mac chạy macOS Big Sur, Monterey và Ventura
- Apple Watch Series 4 trở lên
- Apple TV 4K (tất cả các mẫu) và Apple TV HD
Hãng cho biết thêm CVE-2023-28204 và CVE-2023-32373 lần đầu tiên được xử lý bằng các bản vá Phản hồi bảo mật nhanh (RSR) cho các thiết bị iOS 16.4.1 và macOS 13.3.1 được phát hành vào ngày 1 tháng 5.