Apple khẩn cấp cập nhật bản vá cho lỗ hổng Zero-Day để tránh lây nhiễm mã độc trên iPhone

0
0

- Apple đã phát hành một bản vá khẩn cấp cho iOS, iPadOS, macOS và watchOS nhằm khắc phục lỗ hổng zero-day đã bị bị các đối tượng tấn công khai thác nhằm lây nhiễm mã độc Pegasus Spyware.

Ảnh minh họa
Ảnh minh họa

Chi tiết cụ thể về lỗ hổng:

CVE-2023-41061: Đây là một lỗ hổng xác thực trong ứng dụng Wallet của Apple. Lỗ hổng này cho phép đối tượng tấn công thực hiện việc thực thi mã từ xa khi xử lý một tệp tin độc hại. Điều này có nghĩa là, nếu người dùng mở một tệp tin độc hại trong Wallet, đối tượng tấn công có thể thực hiện mã từ xa trên thiết bị của họ.

CVE-2023-41064: Đây là một lỗi Buffer Overflow (tràn bộ đệm) trong bộ phận Image I/O của Apple. Lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa khi xử lý một hình ảnh độc hại.

Nếu một người dùng mở một hình ảnh có chứa mã độc, đối tượng tấn công có thể lợi dụng lỗ hổng này để kiểm soát từ xa thiết bị của người dùng. Apple đã đưa ra bản vá cho các thiết bị và hệ điều hành sau của hãng:

• iOS 16.6.1 và iPadOS 16.6.1 - Dành cho iPhone 8 trở lên, iPad Pro, iPad Air thế hệ 3 trở lên, iPad thế hệ 5 trở lên và iPad mini từ thế hệ 5 trở lên.

• macOS Venture 13.5.2 - Cho các thiết macOS sử dụng macOS Venture

• watchOS 9.6.2 – Dành cho Apple Watch Series 4 trở lên.

Trong một cảnh báo khác, đã ghi nhận rằng cả hai lỗ hổng này đã được sử dụng trong một chuỗi tấn công zero-click (không cần tương tác từ người dùng) trên ứng dụng iMessage, được đặt tên là BLASTPASS, nhằm triển khai phần mềm gián điệp Pegasus trên các iPhone đã được cập nhật lên phiên bản mới nhất của hệ điều hành iOS 16.6.

Chuỗi khai thác này cho phép đối tượng tấn công xâm nhập vào iPhone của người dùng mà không yêu cầu họ phải thực hiện bất kỳ thao tác nào. Quy trình này thực hiện thông qua việc đính kèm một PassKit chứa hình ảnh độc hại được đối tấn công gửi tới người dùng thông qua ứng dụng iMessage.

Hiện tại, các thông tin kỹ thuật chi tiết về lỗ hổng chưa được tiết lộ để tránh việc bị kẻ tấn công lợi dụng. Tuy nhiên, có thông tin cho rằng khi lỗ hổng này bị khai thác, nó có khả năng bỏ qua BlastDoor, một framework sandbox mà Apple sử dụng để ngăn chặn các hình thức tấn công zero-click.

Thông tin về lỗ hổng zero-day này đã dẫn đến việc Trung Quốc đã cấm các công chức nhà nước sử dụng iPhone và các thiết bị của các hãng nước ngoài trong công việc. Đây là một biện pháp nhằm giảm sự phụ thuộc của quốc gia này vào công nghệ nước ngoài, đặc biệt trong bối cảnh căng thẳng của cuộc chiến tranh thương mại với Mỹ.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.