Apple cảnh báo về 3 lỗ hổng bảo mật iOS Zero-Day đang bị khai thác

Apple cảnh báo về 3 lỗ hổng bảo mật iOS Zero-Day đang bị khai thác

January 28, 2021 | vietsunshine

Hôm thứ ba, Apple đã phát hành các bản cập nhật cho iOS, iPadOS và tvOS với các bản sửa lỗi cho ba lỗ hổng bảo mật mà họ cho rằng có thể đã bị khai thác tích cực.

Báo cáo của một nhà nghiên cứu ẩn danh, ba lỗ hổng zero-day – CVE-2021-1782, CVE-2021-1870 và CVE-2021-1871 – có thể cho phép kẻ tấn công nâng cao đặc quyền và thực thi mã từ xa.

Nhà sản xuất iPhone không tiết lộ mức độ lan rộng của cuộc tấn công cũng như tiết lộ danh tính của những kẻ tấn công đang tích cực khai thác chúng.

Trong khi lỗi leo thang đặc quyền trong nhân (CVE-2021-1782) được ghi nhận là một điều kiện có thể khiến ứng dụng độc hại nâng cao đặc quyền của nó, hai thiếu sót khác – được gọi là “vấn đề logic” – đã được phát hiện trong trình duyệt WebKit engine (CVE-2021-1870 và CVE-2021-1871), cho phép kẻ tấn công thực hiện mã tùy ý bên trong Safari.

Apple cảnh báo về 3 lỗ hổng bảo mật iOS Zero-Day đang bị khai thác_2

Mặc dù các chi tiết chính xác của việc khai thác tận dụng các lỗ hổng này khó có thể được công khai cho đến khi các bản vá được áp dụng rộng rãi, sẽ không có gì ngạc nhiên nếu chúng được xâu chuỗi lại với nhau để thực hiện các cuộc tấn công nhắm tới các mục tiêu tiềm năng.

Một cuộc tấn công như vậy sẽ liên quan đến việc cung cấp mã độc hại đơn giản bằng cách truy cập một trang web bị xâm nhập, sau đó lợi dụng các lỗ hổng nói trên để nâng cao đặc quyền của nó và chạy các lệnh tùy ý để chiếm quyền kiểm soát thiết bị.

Các bản cập nhật hiện có sẵn cho iPhone 6s trở lên, iPad Air 2 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7), cũng như Apple TV 4K và Apple TV HD.

Tin tức về zero-days mới nhất được đưa ra sau khi công ty giải quyết ba lỗ hổng được khai thác tích cực vào tháng 11 năm 2020 và một lỗi zero-day riêng biệt trong iOS 13.5.1 đã được tiết lộ được sử dụng trong một chiến dịch gián điệp mạng nhắm vào các nhà báo của Al Jazeera vào năm ngoái.

Nguồn: Apple Warns of 3 iOS Zero-Day Security Vulnerabilities Exploited in the Wild

Tags: , ,