- Apple đã phát hành các bản cập nhật bảo mật để giải quyết một số lỗ hổng bảo mật mới, bao gồm hai lỗ hổng mà hãng cho biết đã bị khai thác trong thực tế.

Hai lỗ hổng đã bị khai thác gồm có:

- CVE-2024-23225 - Lỗi memory corruption trong Kernel cho phép kẻ tấn công [có quyền đọc và ghi kernel tùy ý] có thể khai thác để vượt qua các biện pháp bảo vệ bộ nhớ kernel

- CVE-2024-23296 - Lỗi memory corruption trong hệ điều hành RTKit real-time (RTOS) cho phép kẻ tấn công có quyền đọc và ghi kernel tùy ý có thể khai thác để vượt qua các biện pháp bảo vệ bộ nhớ kernel

Hiện vẫn chưa rõ các lỗ hổng đang bị lạm dụng như thế nào. Apple cho biết cả hai lỗ hổng đều đã được xử lý bằng cách cải thiện việc xác thực trong iOS 17.4, iPadOS 17.4, iOS 16.7.6 và iPadOS 16.7.6.

Các bản cập nhật hiện có sẵn cho các thiết bị:

- iOS 16.7.6 và iPadOS 16.7.6 - iPhone 8, iPhone 8 Plus, iPhone X, iPad thế hệ thứ 5, iPad Pro 9,7 inch và iPad Pro 12,9 inch thế hệ 1

- iOS 17.4 và iPadOS 17.4 - iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên, và iPad mini thế hệ thứ 5 trở lên

Tính đến thời điểm hiện tại, Apple đã giải quyết tổng cộng ba lỗ hổng zero-day đã bị khai thác trong thực tế trong phần mềm của mình kể từ đầu năm nay.

Vào cuối tháng 1 năm 2024, Apple đã vá một lỗ hổng type confusion trong WebKit (CVE-2024-23222) ảnh hưởng đến trình duyệt web iOS, iPadOS, macOS, tvOS và Safari, có thể dẫn đến việc thực thi mã tùy ý.

Theo Trung tâm Giám sát an toàn không gian mạng quốc gia - Cục An toàn thông tin - Bộ TT&TT, người dùng nên thường xuyên kiểm tra và cập nhật đầy đủ bản vá cho các sản phẩm, phần mềm đang sử dụng càng sớm càng tốt để giảm thiểu các nguy cơ bị khai thác tấn công.

PV (thehackernews.com/tinnhiemmang.vn)