- Cơ quan An ninh Mạng và Cơ sở hạ tầng An toàn thông tin của Hoa Kỳ (CISA) đã bổ sung một lỗ hổng an toàn thông tin ở mức nghiêm trọng ảnh hưởng đến iOS, iPadOS, macOS, tvOS và watchOS vào danh mục “Các lỗ hổng bị khai thác trong thực tế (KEV)” của tổ chức này dựa trên một số bằng chứng về việc lỗ hổng đang bị khai thác gần đây.

Lỗ hổng này có mã CVE-2022-48618 (Điểm CVSS: 7.8) liên quan đến một lỗi trong thành phần kernel. Lỗ hổng cho phép đối tượng tấn công có thể bypass cơ chế bảo mật bộ nhớ để đọc và ghi tùy ý, gọi là Pointer Authentication.

Lỗ hổng này tác động đến các phiên bản iOS cũ hơn 15.7.1. Apple xác nhận rằng vấn đề đã được khắc phục thông qua việc nâng cấp các biện pháp kiểm tra. Tuy nhiên, vẫn chưa rõ liệu lỗ hổng này đã bị khai thác trong các chiến dịch tấn công thực tế hay chưa.

Đáng chú ý, mặc dù bản vá cho lỗ hổng đã được phát hành vào ngày 13/12/2022 với sự ra mắt của iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2, và watchOS 9.2 nhưng tới hơn một năm sau (ngày 09/01/2024) thì thông tin này mới được công bố rộng rãi.

Bên cạnh đó, Apple cũng đã giải quyết một lỗ hổng tương tự trong kernel (CVE-2022-32844, Điểm CVSS: 6.3) trên iOS 15.6 và iPadOS 15.6 trong bản vá phát hành vào ngày 20/07/2022.

Thông tin này được công bố cùng thời điểm với việc phát hành bản vá mở rộng của Apple cho lỗ hổng an toàn thông tin CVE-2024-23222 (Điểm CVSS: 8.8) tồn tại trên WebKit browser engine để bao gồm cả sản phẩm Apple Vision Pro trên phiên bản visionOS 1.0.2.

PV