- Vào thời điểm iOS 17.4.1 và iPadOS 17.4.1 được phát hành, Apple vẫn giữ im lặng về các vấn đề bảo mật đã được khắc phục trong bản cập nhật. Trên trang hỗ trợ của mình, Apple đã không chia sẻ về các số CVE hoặc Lỗ hổng phổ biến và Khai thác được sử dụng để lập danh mục các lỗ hổng, thay vào đó, hãng viết: "Sắp có thông tin chi tiết".
Trên trang thông báo về bản cập nhật iOS 17.4.1 dành cho iPhone và iPadOS 17.4.1 dành cho máy tính bảng iPad, Apple gợi ý rằng, các bản cập nhật nên được cài đặt càng sớm càng tốt. Apple cũng viết điều tương tự về mỗi bản cập nhật hệ điều hành, "Bản cập nhật này cung cấp các bản sửa lỗi và cập nhật bảo mật quan trọng được khuyến nghị cho tất cả người dùng." Hôm nay, Apple đã cập nhật trang hỗ trợ Bản phát hành bảo mật để bao gồm các lỗ hổng mà Apple phải vá nhưng trước đó không đề cập đến. Một bản vá đã xử lý lỗ hổng trong CoreMedia, khung truyền thông mà Apple sử dụng trên các thiết bị của mình bao gồm cả iPhone.
Lỗ hổng này ảnh hưởng đến người dùng các thiết bị như iPhone mới và iPad mini thế hệ thứ 5 trở lên. Người nào sử dụng một trong các thiết bị nói trên nếu vô tình chạm vào hình ảnh độc hại có thể tạo cơ hội cho kẻ tấn công chạy bất kỳ lệnh hoặc mã nào trên thiết bị mục tiêu. Bản cập nhật sau khi được cài đặt sẽ loại bỏ lỗ hổng này khỏi các thiết bị bị ảnh hưởng.
Apple không chia sẻ về bất kỳ dấu hiệu nhận biết nào cho thấy lỗ hổng này đã bị khai thác. Apple đưa ra bản mô tả đơn giản như sau: "Vấn đề ngoài giới hạn đã được giải quyết bằng tính năng xác thực đầu vào được cải thiện." Với số danh sách CVE-2024-1580, lỗ hổng đã được Nick Galloway của Google Project Zero phát hiện.
Lỗ hổng thứ hai là một lỗ hổng trong hệ thống mà Apple gọi là WebRTC, cung cấp "trình duyệt web và ứng dụng di động giao tiếp theo thời gian thực thông qua giao diện lập trình ứng dụng". Lỗ hổng này cũng ảnh hưởng đến các thiết bị tương tự từ iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên , iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 trở lên.
Theo Apple biết, lỗ hổng này cũng chưa bị bất kỳ kẻ tấn công nào khai thác, cũng có thể cho phép kẻ tấn công chạy bất kỳ lệnh hoặc mã nào trên thiết bị được nhắm mục tiêu. Lỗ hổng được gán số CVE CVE-2024-1580 và cũng được phát hiện bởi Nick Galloway của Google Project Zero
Nếu bạn chưa cài đặt iOS 17.4.1, hãy đi tới Cài đặt > Cài đặt chung > Cập nhật phần mềm và làm theo hướng dẫn.
Hoàng Thanh