Apple phát hành bản vá khẩn cấp cho 3 lỗ hổng zero-day mới trong iOS, macOS, Safari

2023-09-27

Apple vừa phát hành một loạt bản vá bảo mật để khắc phục ba lỗ hổng zero-day đang được khai thác ảnh hưởng đến iOS, iPadOS, macOS, watchOS và Safari, nâng tổng số lỗ hổng zero-day được phát hiện trong phần mềm của họ trong năm nay lên 16.

Danh sách lỗ hổng bảo mật như sau:

• CVE-2023-41991 - Một vấn đề xác minh chứng chỉ trong framework Security có thể cho phép ứng dụng độc hại tránh được xác minh chữ ký.
• CVE-2023-41992 - Một lỗ hổng bảo mật trong Kernel có thể cho phép kẻ tấn công cục bộ nâng cao đặc quyền của họ.
• CVE-2023-41993 - Một lỗ hổng WebKit có thể dẫn đến thực thi mã tùy ý khi xử lý nội dung web được tạo đặc biệt.

Apple không cung cấp thông tin cụ thể thêm ngoại trừ việc thừa nhận rằng "vấn đề có thể đã bị khai thác đối với các phiên bản iOS trước iOS 16.7."

Các bản cập nhật có sẵn cho các thiết bị và hệ điều hành sau đây:

• iOS 16.7 và iPadOS 16.7 - iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air thế hệ 3 trở lên, iPad thế hệ 5 trở lên và iPad mini thế hệ 5 trở lên.
• iOS 17.0.1 và iPadOS 17.0.1 - iPhone XS trở lên, iPad Pro 12.9-inch thế hệ 2 trở lên, iPad Pro 10.5-inch, iPad Pro 11-inch thế hệ 1 trở lên, iPad Air thế hệ 3 trở lên, iPad thế hệ 6 trở lên và iPad mini thế hệ 5 trở lên.
• macOS Monterey 12.7 và macOS Ventura 13.6
• watchOS 9.6.3 và watchOS 10.0.1 - Apple Watch Series 4 trở lên
• Safari 16.6.1 - macOS Big Sur và macOS Monterey

Người được ghi nhận là người phát hiện và báo cáo các lỗ hổng này là Bill Marczak của Citizen Lab tại Trường Đại học Toronto và Maddie Stone của Google Threat Analysis Group (TAG), cho thấy chúng có thể đã bị lạm dụng trong khuôn khổ phần mềm gián điệp dành cho các thành viên của xã hội dân sự đang có nguy cơ cao trước các mối đe dọa mạng.

Việc tiết lộ này xảy ra hai tuần sau khi Apple giải quyết hai lỗ hổng zero-day đang được khai thác (CVE-2023-41061 và CVE-2023-41064) đã được kết hợp thành một chuỗi khai thác iMessage không cần tương tác với tên gọi BLASTPASS để triển khai phần mềm gián điệp mang tên Pegasus.

Sau đó, cả Google và Mozilla đã phát hành các bản vá để kiểm soát một lỗ hổng bảo mật (CVE-2023-4863) có thể dẫn đến thực thi mã tùy ý khi xử lý một hình ảnh được tạo đặc biệt.

Có bằng chứng cho thấy cả CVE-2023-41064, một lỗ hổng tràn bộ đệm trong framework phân tích hình ảnh Image I/O của Apple, và CVE-2023-4863, một lỗ hổng tràn bộ đệm heap trong thư viện hình ảnh WebP (libwebp), có thể liên quan đến cùng một lỗi, theo như Ben Hawkes, người sáng lập của Isosceles và cựu nghiên cứu viên của Google Project Zero.

Rezilion, trong một bài phân tích được công bố vào ngày thứ năm, tiết lộ rằng thư viện libwebp được sử dụng trong nhiều hệ điều hành, gói phần mềm, ứng dụng Linux và hình ảnh container, đánh dấu rằng phạm vi của lỗ hổng này rộng hơn so với ban đầu được nghĩ đến.

"Thông tin tốt là lỗi có vẻ đã được vá đúng cách trong libwebp gốc và bản vá đó đang được truyền đến mọi nơi cần thiết", Hawkes nói. "Thông tin xấu là libwebp được sử dụng ở rất nhiều nơi và có thể mất một thời gian trước khi bản vá được triển khai rộng rãi."

Nguồn: thehackernews.com