Tin tức

Apple khắc phục hai lỗ hổng đang bị khai thác hiệu quả

Posted on by admin
08
Sep

Apple đã phát hành các bản cập nhật bảo mật để khắc phục hai lỗ hổng đang được tấn công một cách chủ động trên các phiên bản macOS, iOS, watchOS và iPadOS. Nếu bị khai thác, các lỗ hổng này có thể dẫn đến thực thi mã tùy ý.

Một trong hai lỗ hổng (CVE-2023-41064) tồn tại trong khung Image I/O, cho phép ứng dụng đọc và ghi hầu hết các định dạng file ảnh. Vấn đề tràn bộ nhớ đã được Apple khắc phục bằng cách cải thiện việc xử lý bộ nhớ.

Đối với lỗ hổng này, công ty cho biết trong một thông báo bảo mật vào thứ năm rằng “xử lý một hình ảnh được tạo một cách xấu ý có thể dẫn đến việc thực thi mã tùy ý”. “Apple đã nhận được một báo cáo cho biết vấn đề này có thể đã bị khai thác một cách chủ động.”

Lỗ hổng thứ hai (CVE-2023-41061) là một vấn đề xác minh trong tính năng Wallet của Apple, cho phép người dùng lưu trữ các thẻ và chứng chỉ của họ. Theo Apple, một tập tin đính kèm tạo ra một cách xấu ý có thể dẫn đến việc thực thi mã tùy ý. Bug này đã được khắc phục bằng cách cải thiện logic.

Cả hai lỗi ảnh hưởng đến iPhone 8 và các phiên bản sau đó, tất cả các mẫu iPad Pro, iPad Air thế hệ thứ 3 và sau đó, iPad thế hệ thứ 5 và sau đó, và iPad mini thế hệ thứ 5 và sau đó. Trong khi lỗi liên quan đến CVE-2023-41061 cũng ảnh hưởng đến Apple Watch Series 4 và các phiên bản sau đó; trong khi lỗi liên quan đến CVE-2023-41064 cũng ảnh hưởng đến macOS Ventura. Apple đã tung ra iOS 16.6.1, iPadOS 16.6.1, watchOS 9.6.2 và macOS Ventura 13.5.2 để khắc phục các lỗ hổng bảo mật.

Trong khi CVE-2023-41064 được tìm thấy bởi Citizen Lab tại Trường Đại học Toronto, CVE-2023-41061 được phát hiện bên trong bởi Apple, với “sự trợ giúp” từ Citizen Lab.

“Vì sự bảo vệ của khách hàng, Apple không tiết lộ, thảo luận hoặc xác nhận các vấn đề bảo mật cho đến khi đã thực hiện điều tra và đã có các bản vá hoặc phiên bản có sẵn,” Apple thông báo.

Trong những tháng gần đây, Apple đã phát hành các bản vá cho các lỗi đang được tấn công một cách chủ động, bao gồm một bản cập nhật khắc phục lỗi WebKit (CVE-2023-37450) ảnh hưởng đến iOS, macOS và iPadOS vào tháng 7 và một bản vá cho lỗi số nguyên tràn (CVE-2023-32434) ảnh hưởng đến watchOS, macOS và iPadOS vào tháng 6. #Apple #SecurityUpdates #MacOS #iOS #watchOS #iPadOS

Nguồn: https://duo.com/decipher/apple-fixes-actively-exploited-ios-macos-flaws

Apple has released security updates that address two actively exploited vulnerabilities in various versions of macOS, iOS, watchOS and iPadOS. If exploited, the vulnerabilities can lead to arbitrary code execution.

One of the flaws (CVE-2023-41064) exists in the Image I/O framework, which allows applications to read and write most image file formats. The buffer overflow issue was addressed by Apple with improved memory handling.

For this flaw, “processing a maliciously crafted image may lead to arbitrary code execution,” the company said in a Thursday security advisory. “Apple is aware of a report that this issue may have been actively exploited.”

The second flaw (CVE-2023-41061) is a validation issue in Apple’s Wallet feature, which allows users to store their cards and passes. According to Apple, a maliciously crafted attachment could lead to arbitrary code execution. The bug was addressed with improved logic.

Both bugs impact iPhone 8 and later, all models of the iPad Pro, iPad Air 3rd generation and later, iPad 5th generation and later, and the iPad mini 5th generation and later. Meanwhile, the bug tied to CVE-2023-41061 also impacts Apple Watch Series 4 and later; while the flaw tied to CVE-2023-41064 additionally affects macOS Ventura. Apple has rolled out iOS 16.6.1, iPadOS 16.6.1, watchOS 9.6.2 and macOS Ventura 13.5.2 to address the security flaws.

While CVE-2023-41064 was found by The Citizen Lab at The University of Torontoʼs Munk School, CVE-2023-41061 was discovered internally by Apple, with “assistance” from Citizen Lab.

“For our customers’ protection, Apple doesn’t disclose, discuss, or confirm security issues until an investigation has occurred and patches or releases are available,” said Apple.

Apple over the past few months has rolled out fixes for various actively exploited bugs, including through an update addressing a WebKit flaw (CVE-2023-37450) impacting iOS, macOS and iPadOS in July and one addressing an integer overflow flaw (CVE-2023-32434) impacting watchOS, macOS and iPadOS in June.


admin

Leave a Reply

Your email address will not be published. Required fields are marked *