Apple đã phát hành các bản cập nhật bảo mật nhằm khắc phục hai lỗ hổng đang bị các hacker khai thác trong các phiên bản macOS, iOS, watchOS và iPadOS khác nhau. Nếu bị khai thác, các lỗ hổng có thể dẫn đến việc thực thi mã độc tùy ý.
Hai lỗ hổng này là một phần của chuỗi khai thác có tên BLASTPASS, có khả năng xâm nhập iPhone chạy trên phiên bản iOS mới nhất (16.6) mà không có bất kỳ tương tác nào của nạn nhân. Đây là lỗ hổng zero-click được được sử dụng để phát tán phần mềm gián điệp đánh thuê Pegasus của NSO Group.
Một trong những lỗ hổng (CVE-2023-41064) tồn tại trong framework Image I/O của Apple, cho phép các ứng dụng đọc và ghi hầu hết các định dạng tệp hình ảnh tạo ra lỗi tràn bộ đệm (buffer overflow). Đối với lỗ hổng này, “việc xử lý một hình ảnh độc hại có thể dẫn đến việc thực thi mã độc tùy ý”.
Lỗ hổng thứ hai (CVE-2023-41061) liên quan đến tính năng Wallet của Apple, cho phép người dùng lưu trữ thẻ ngân hàng. Theo Apple, một tệp đính kèm độc hại có thể dẫn đến việc thực thi mã tùy ý. Lỗi cũng được khắc phục ở phiên bản iOS 16.6.1
Cả hai lỗi đều ảnh hưởng đến iPhone 8 trở lên, tất cả các mẫu iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên. Trong khi đó, lỗi liên quan đến CVE-2023-41061 cũng ảnh hưởng đến Apple Watch Series 4 trở lên; trong khi lỗ hổng liên quan đến CVE-2023-41064 cũng ảnh hưởng đến macOS Ventura. Apple đã tung ra iOS 16.6.1, iPadOS 16.6.1, watchOS 9.6.2 và macOS Ventura 13.5.2 để giải quyết các lỗi bảo mật.
Để khắc phục lỗ hổng bảo mật của các thiết bị Apple, bạn chỉ cần vào Cài đặt -> Cài đặt chung -> Cập nhật phần mềm, và cập nhật lên phiên bản Firmware mới nhất cho thiết bị của mình.
Apple trong vài tháng qua đã tung ra các bản sửa lỗi cho nhiều lỗi được khai thác khác nhau, bao gồm thông qua bản cập nhật xử lý lỗ hổng WebKit (CVE-2023-37450) ảnh hưởng đến iOS, macOS và iPadOS vào tháng 7 và một bản cập nhật xử lý lỗ hổng tràn số nguyên (CVE-2023-32434) ảnh hưởng đến watchOS, macOS và iPadOS vào tháng 6.
Bài viết khá hay !!!