Apple phát hành bản vá khẩn cấp cho ba lỗ hổng zero-day mới bị khai thác

09:00 | 03/10/2023 | TIN TỨC SẢN PHẨM

Ngày 22/9 vừa qua, Apple đã phát hành bản cập nhật an ninh khẩn cấp để vá 3 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, qua đó nâng tổng số lỗ hổng zero-day được vá trong năm nay lên con số 16. Các nhà nghiên cứu bảo mật tin rằng đó là sản phẩm của các nhà cung cấp phần mềm gián điệp thương mại.

Apple phát hành bản vá khẩn cấp cho ba lỗ hổng zero-day mới bị khai thác

Callie Guenther, Quản lý cấp cao tại Công ty an ninh mạng Critical Start (Mỹ) cho biết, các lỗ hổng đã được phát hiện bởi các nhóm như Citizen Lab và nhóm phân tích các mối đe dọa của Google. Tính từ đầu năm 2023 đã có 16 lỗ hổng zero-day được phát hiện và xử lý. Số lượng lớn các lỗ hổng này cho thấy, các thiết bị của Apple với mức độ phổ biến và lượng người dùng đông đảo đang là mục tiêu hấp dẫn cho các tác nhân đe dọa cấp cao.

Các lỗ hổng zero-day được Apple vá ngày 22/9 bao gồm:

CVE-2023-41993: Lỗ hổng trong trình duyệt WebKit. Lỗ hổng cho phép tin tặc thực thi mã tùy ý thông qua các trang web độc hại tác động trực tiếp đến nhiều người dùng và có khả năng xâm phạm dữ liệu nhạy cảm. NIST thông báo rằng sự cố này đã được khắc phục trong iOS 16.7 và iPadOS 16.7, iOS 17.0.1 và iPadOS 17.0.1 cũng như Safari 16.6.1.
CVE-2023-41991: Lỗ hổng khung bảo mật. Lỗ hổng cho phép tin tặc bypass xác thực chữ ký. Điều này có nghĩa là các ứng dụng độc hại có thể giả mạo là ứng dụng hợp pháp, có khả năng đánh lừa người dùng và các hoạt động kiểm tra phần mềm khác. NIST cho biết sự cố này đã được khắc phục trong iOS 16.7 và iPadOS 16.7, iOS 17.0.1 và iPadOS 17.0.1 cũng như Safari 16.6.1.
CVE-2023-41992: Lỗ hổng được tìm thấy trong Kernel Framework. Đây là lỗ hổng leo thang đặc quyền đặc biệt nghiêm trọng. Chúng có thể cho phép tin tặc có được các đặc quyền cao hơn, thậm chí có thể có quyền truy cập root hoặc quản trị. NIST cho biết sự cố này đã được khắc phục trong iOS 16.7 và iPadOS 16.7, OS 17.0.1 và iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, macOS Monterey 12.7 và watchOS 10.0.1.

Các nhà nghiên cứu bảo mật của Citizen Lab và Google Threat Analysis Group tiết lộ các lỗ hổng zero-day bị lạm dụng trong các cuộc tấn công phần mềm gián điệp có chủ đích nhắm vào các cá nhân có nguy cơ cao, bao gồm các nhà báo, chính trị gia đối lập, và những người bất đồng chính kiến.

Citizen Lab tiết lộ hai lỗ hổng zero-day khác (CVE-2023-41061 và CVE-2023-41064) cũng đã được Apple sửa trong các bản cập nhật an ninh khẩn cấp hồi đầu tháng này và bị lạm dụng như một phần của chuỗi khai thác zero-click (được đặt tên là BLASTPASS) trong phần mềm gián điệp thương mại Pegasus của NSO Group để lây nhiễm iPhone được vá đầy đủ.

Tuấn Hưng

(Theo scmagazine)

‹ › ×

Tin liên quan

Cập nhật bản vá lỗ hổng bảo mật tháng 9

07:00 | 23/10/2023

Trong tháng 9, Microsoft, Mozilla và Adobe đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Ghi nhận hơn 2.600 lỗ hổng bảo mật mới trong tháng 12/2023

07:00 | 15/01/2024

Trong tháng 12, các chuyên gia bảo mật đã ghi nhận 2.677 lỗ hổng bảo mật mới. Trong đó có 48 lỗ hổng bảo mật ở mức thấp, 1.078 lỗ hổng bảo mật ở mức trung bình, 998 lỗ hổng bảo mật ở mức cao và 553 lỗ hổng bảo mật ở mức nghiêm trọng.

Apple vá khẩn cấp các lỗ hổng zero-day bị khai thác đối với phần mềm gián điệp Pegasus trên iPhone

10:00 | 12/09/2023

Ngày 7/9 vừa qua, Apple đã phát hành các bản cập nhật khẩn cấp cho các thiết bị iOS, iPadOS, macOS và watchOS nhằm vá 2 lỗ hổng zero-day đã bị khai thác để phát tán phần mềm gián điệp Pegasus của Tập đoàn NSO.

Mỹ gia tăng quản lý lỗ hổng bảo mật

07:00 | 23/10/2023

Trong cam kết nâng cao khả năng quản lý lỗ hổng bảo mật, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ đã công bố việc tích hợp tiêu chuẩn Khung tư vấn bảo mật chung OASIS (Common Security Advisory Framework- CSAF) Phiên bản 2.0 vào các Hướng dẫn bảo mật, được điều chỉnh cho Hệ thống kiểm soát công nghiệp (ICS), Công nghệ vận hành (OT) và Thiết bị y tế.

Cập nhật bản vá lỗ hổng bảo mật tháng 11

09:00 | 08/12/2023

Trong tháng 11, Microsoft, Linux và VMWare lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2023

07:00 | 30/10/2023

Trong tháng 10, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Apple phát hành bản vá khẩn cấp cho lỗ hổng Zero-Day nhắm mục tiêu iOS, iPadOS, macOS và Safari

16:00 | 14/07/2023

Mới đây, Apple đã phát hành bản cập nhật Rapid Security Responsec (RSR) dành cho trình duyệt web iOS, iPadOS, macOS và Safari để giải quyết lỗ hổng zero-day mà hãng cho biết đã bị tin tặc khai thác trong thực tế.

Apple ra mắt chế độ Lockdown để chặn các cuộc tấn công phần mềm gián điệp

14:00 | 19/07/2022

Đầu tháng 7, Apple đã công bố một tính năng bảo mật mới có tên gọi chế độ Lockdown (Lockdown Mode) để bảo vệ người dùng trước các nguy cơ cuộc tấn công bằng phần mềm gián điệp.

Tin cùng chuyên mục

WhatsApp cảnh báo người dùng châu Âu về phần mềm gián điệp

09:00 | 10/02/2025

Ngày 05/02, chính phủ Italy cho biết đã nhận được thông báo của WhatsApp về việc có 07 người dùng điện thoại di động trở thành mục tiêu của một phần mềm gián điệp qua dịch vụ tin nhắn này. Chính phủ Italy nhấn mạnh đây là sự cố đặc biệt nghiêm trọng.

Apache sửa lỗi bỏ qua thực thi mã từ xa trong máy chủ web Tomcat

10:00 | 31/12/2024

Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.

UAE được Mỹ chấp thuận nhập khẩu chip AI tiên tiến

10:00 | 11/12/2024

Lô hàng chip AI tiên tiến của Mỹ đã được cấp phép xuất khẩu sang UAE. Cơ sở tiếp nhận do Microsoft điều hành hứa hẹn sẽ thúc đẩy mạnh mẽ ứng dụng công nghệ AI tại quốc gia này.

Cisco ra mắt các thiết bị Wi-Fi 7

15:00 | 27/11/2024

Cisco vừa ra mắt các thiết bị Wi-Fi 7 với nhiều tính năng thông minh, an toàn bảo mật và đảm bảo dịch vụ tiên phong, tích hợp vào nhóm giải pháp mạng doanh nghiệp.