Google phát hiện hai lỗ hổng nghiêm trọng trên iOS

Apple đã phát hành phiên bản hệ điều hành iOS mới nhất là 12.1.4 vào tuần trước tới tất cả người dùng đồng thời xác nhận phiên bản hệ điều hành này vá 2 lỗ hổng bảo mật nghiêm trọng được phát hiện bởi Google.

Cụ thể, đội ngũ bảo mật Project Zero của Google đã phát hiện ra hai lỗ hổng bảo mật mới thuộc loại lỗ hổng "zero-day" có tên là CVE-2019-7286 và CVE-2019-7287 trên iOS cho phép tin tặc khai thác để lợi dụng người dùng.

Nền tảng iOS là một nền tảng đóng nên khi xuất hiện lỗ hổng Apple có thể vá và không cần phải công khai chi tiết về chúng. Hiện Apple vẫn chưa công bố mức độ ảnh hưởng và quy mô của các vụ tấn công qua hai lỗ hổng này. Tuy nhiên hãng này cho biết đã vá hoàn toàn 2 lỗ hổng này trên phiên bản iOS 12.1.4.

Trên trang Twitter cá nhân của mình, chuyên gia bảo mật Ben Hawkes đã công bố về lỗ hổng mới này, đồng thời cho biết chúng đã tồn tại và có thể đã bị khai thác từ lâu. Và chỉ đến khi Google báo cáo thì Apple mới biết đến hai lỗ hổng này nên rất khó để tìm ra những ứng dụng nào đang khai thác chúng. Mặc dù vậy, có vẻ như những ứng dụng trước đó lợi dụng lỗ hổng này cũng đã bị Apple gỡ bỏ khỏi App Store.

Lỗ hổng CVE-2019-7286 ảnh hưởng lên một thành phần cốt lõi của hệ điều hành iOS là iOS Foundation Framework. Nếu khai thác thành công lỗ hổng này, tin tặc có thể chiếm quyền kiểm soát bộ nhớ và truy cập dữ liệu người dùng dễ dàng.

Lỗ hổng thứ 2 là CVE-2019-72867 ảnh hưởng tới I/O Kit module, một thành phần quan trọng của iOS có tác dụng xử lý các luồng dữ liệu giữa phần cứng và phần mềm. Các hacker có thể lợi dụng lỗi bộ nhớ để chạy các đoạn mã tùy biến với đặc quyền riêng của kernel nhằm truy cập được mọi thứ trên điện thoại của nạn nhân.

Hiện tại, 2 lỗ hổng bảo mật nghiêm trọng này đã được vá hoàn toàn trong phiên bản iOS 12.1.4 được phát hành vài ngày trước. Để đảm bảo an toàn và tránh việc trở thành nạn nhân của các loại lỗ hổng tương tự, hãy cập nhật ngay thiết bị của bạn lên phiên bản mới nhất nhé.