Apple vừa tung ra các bản vá khẩn cấp để giải quyết hai lỗ hổng zero-day trong hệ điều hành dành cho bản mobile và desktop mà họ cho rằng có thể chúng đã bị khai thác trong thực tế.
Xem thêm: Hướng dẫn kiểm tra phiên bản MacOS đang sử dụng trên máy Mac
Các lỗi được khắc phục trong các bản cập nhật cho iOS và iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 và watchOS 8.5.1. Cả hai lỗ hổng đều được báo cáo ẩn danh cho Apple.
Đầu tiên là CVE-2022-22675, lỗ hổng ghi ngoài phạm vi (out-of-bounds) trong thành phần giải mã âm thanh và video có tên AppleAVD, có thể cho phép ứng dụng thực thi mã tùy ý với quyền kernel. Apple cho biết “lỗi được giải quyết với việc cải tiến kiểm tra giới hạn vì có thể nó đã bị khai thác trong thực tế”.
Bên cạnh CVE-2022-22675, phiên bản mới nhất của macOS Monterey cũng sửa lỗi cho CVE-2022-22674, lỗ hổng đọc ngoài phạm vi (out-of-bounds) trong mô-đun Intel Graphics Driver có thể cho phép tin tặc đọc bộ nhớ kernel.
Nhà sản xuất lưu ý lỗi này đã được “giải quyết bằng việc cải tiến xác thực đầu vào” và có bằng chứng về việc khai thác trong thực tế, đồng thời từ chối tiết lộ các chi tiết bổ sung để ngăn chặn việc bị lạm dụng trong tương lai.
Các bản cập nhật mới nhất nâng tổng số lỗ hổng zero-day mà Apple vá lỗi lên 4 kể từ đầu năm 2022, chưa kể đến một lỗ hổng được công bố trong API IndexedDB (CVE-2022-22594), có thể bị trang web độc hại vũ khí hóa để theo dõi hoạt động trực tuyến và danh tính của người dùng trong trình duyệt.
- CVE-2022-22587 (IOMobileFrameBuffer) – Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền kernel.
- CVE-2022-22620 (WebKit) – Quá trình xử lý nội dung web độc hại có thể dẫn đến thực thi mã tùy ý.
Người dùng iPhone, iPad và Mac được khuyến nghị nâng cấp lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu nguy cơ bị tấn công.
Các bản cập nhật iOS và iPad đã có sẵn cho iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7). Anh em mau nắm bắt ngay nhé!
Theo The Hacker News