Apple đã tung ra các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và Safari để giải quyết một số lỗ hổng bảo mật, bao gồm một lỗi zero-day được khai thác tích cực trong thực tế.
Được theo dõi dưới dạng CVE-2023-38606, lỗ hổng nằm trong nhân và cho phép một ứng dụng độc hại có khả năng sửa đổi trạng thái nhân nhạy cảm. Công ty cho biết nó đã được giải quyết với sự quản lý nhà nước được cải thiện.
“Apple biết về một báo cáo rằng vấn đề này có thể đã được tích cực khai thác đối với các phiên bản iOS được phát hành trước iOS 15.7.1,” gã khổng lồ công nghệ lưu ý trong lời khuyên của mình.
Điều đáng chú ý là CVE-2023-38606 là lỗ hổng bảo mật thứ ba được phát hiện liên quan đến Operation Triangulation, một chiến dịch gián điệp mạng di động tinh vi nhắm mục tiêu các thiết bị iOS kể từ năm 2019 bằng cách sử dụng chuỗi khai thác không cần nhấp chuột. Hai zero-day khác, CVE-2023-32434 và CVE-2023-32435, đã được Apple vá vào tháng trước.
Các nhà nghiên cứu của Kaspersky, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko và Boris Larin được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.
Các bản cập nhật có sẵn cho các thiết bị và hệ điều hành sau –
- iOS 16.6 và iPadOS 16.6 – iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
- iOS 15.7.8 và iPadOS 15.7.8 – iPhone 6s (tất cả các kiểu), iPhone 7 (tất cả các kiểu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)
- macOS Ventura 13.5, macOS Monterey 12.6.8 và macOS Big Sur 11.7.9
- tvOS 16.6 – Apple TV 4K (tất cả các mẫu) và Apple TV HD, và
- watchOS 9.6 – Apple Watch Series 4 trở lên
Với đợt vá lỗi mới nhất, Apple đã giải quyết tổng cộng 11 lỗi zero-day ảnh hưởng đến phần mềm của họ kể từ đầu năm 2023. Nó cũng diễn ra hai tuần sau khi công ty công bố các bản sửa lỗi khẩn cấp cho một lỗi bị khai thác tích cực trong WebKit có thể dẫn đến thực thi mã tùy ý (CVE-2023-37450).
Trả lời