Apple phát hành bản cập nhật iOS 14.4.2, iOS 12.5.2 và watchOS 7.3.3 vá lỗ hổng zero-day nghiêm trọng, người dùng nên cài đặt ngay

Apple vừa phát hành một loạt bản cập nhật bảo mật nhằm giải quyết một lỗ hổng zero-day tương đối nghiêm trọng trên iOS. Lỗ hổng này vốn bị khai thác tích cực và ảnh hưởng đến nhiều thiết bị iPhone, iPad, iPod và Apple Watch trên toàn thế giới.

Lỗ hổng bảo mật này được theo dõi với mã định danh CVE-2021-1879, Nó được phát hiện cũng như báo cáo đầu tiên bởi các chuyên gia an ninh mạng Clement Lecigne và Billy Leonard, đều đến từ đội ngũ Google Threat Analysis Group.

Các chuyên gia bảo mật Google đã tình cờ tìm thấy lỗ hổng zero-day này trong công cụ trình duyệt Webkit iOS. Theo kết quả phân tích, nếu bị khai thác thành công, lỗ hổng sẽ cho phép các tác nhân độc hại thực hiện một loạt các cuộc tấn công cross-site scripting trên nhiều trang web. Nhưng tất nhiên trước đó, chúng sẽ phải đánh lừa được mục tiêu mở nội dung web độc hại trên thiết bị Apple của họ.

Danh sách các thiết bị có thể bị ảnh hưởng bởi lỗ hổng này bao gồm:

  • iPhone 6s trở lên, iPad Pro (tất cả các model), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7).
  • iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 và iPod touch (thế hệ thứ 6).
  • Apple Watch Series 3 trở lên.

Ngay sau khi nhận được thông báo về lỗ hổng, phía Apple đã lập tức bắt tay vào vấn đề và sớm tung ra các bản vá iOS 14.4.2, iOS 12.5.2 và watchOS 7.3.3 vào ngày 28/03.

Các bạn cập nhật này đi kèm với những bản vá bảo mật quan trọng và được khuyến nghị cho tất cả người dùng”, Apple cho biết trong thông báo cập nhật.

Bản vá được khuyến nghị cho tất cả người dùng

7 lỗ hổng zero-day được vá trong vòng 5 tháng

Trước đó, Apple cũng đã tung ra bản vá khắc phục 2 “cụm” lỗ hổng zero-day vốn cũng bị khai thác tích cực trong iOS vào tháng 1 năm 2021 và tháng 11 năm 2020. Các lộ hổng này được báo cáo bởi một nhà nghiên cứu ẩn danh và Project Zero - nhóm săn lỗi zero-day của Google.

Cụ thể vào tháng 01/2021, công ty Cupertino đã khắc phục một lỗi trong nhân iOS (được theo dõi với định danh CVE-2021-1782) và hai lỗi WebKit (CVE-2021-1870 và CVE-2021-1871). Vào tháng 11/2020, Apple đã vá ba lỗi zero-days khác trên iOS — lỗi thực thi mã từ xa (CVE-2020-27930), rò rỉ bộ nhớ nhân (CVE-2020-27950) và lỗi leo thang đặc quyền nhân (CVE-2020-27932) — Ảnh hưởng đến các thiết bị iPhone, iPad và iPod.

Chủ Nhật, 28/03/2021 14:59
52 👨 7.224
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng