Apple đã phát hành các bản vá bảo mật để khắc phục ba lỗ hổng đã bị các phần mềm gián điệp thương mại tấn công để xâm nhập vào iPhone và các thiết bị khác.
Các bản vá, được phát hành vào ngày 22 tháng 9 năm 2023, nên được cài đặt càng sớm càng tốt để bảo vệ chống lại những lỗ hổng này.
Ba lỗ hổng bao gồm CVE-2023-41991, một vấn đề xác thực chứng chỉ có thể cho phép ứng dụng độc hại vượt qua xác thực chữ ký. CVE-2023-41992, một lỗ hổng gia tăng đặc quyền cấp nhân – mà có thể bị lợi dụng để chiếm quyền kiểm soát đầy đủ của một thiết bị. Và CVE-2023-41993, một lỗ hổng xử lý nội dung web có thể dẫn đến thực thi mã tùy ý.
macOS Monterey 12.7, macOS Ventura 13.6, watchOS 9.6.3, watchOS 10.0.1, iOS 16.7 và iPadOS 16.7, iOS 17.0.1 và iPadOS 17.0.1, và Safari 16.6.1 là các thiết bị và phần mềm của Apple bị ảnh hưởng bởi các lỗ hổng này.
Nhóm Phân tích Mối đe dọa của Google (TAG) và The Citizen Lab đã phát hiện chứng cứ cho thấy những lỗ hổng này đã bị tấn công bởi phần mềm gián điệp Predator, mà được bán bởi công ty Intellexa. Intellexa đã được thêm vào danh sách thực thể của Mỹ vào tháng 7 năm 2023 như một mối đe dọa đối với an ninh quốc gia.
TAG đã kêu gọi người dùng cập nhật các bản vá bảo mật mới nhất cho thiết bị của họ và sử dụng giao thức HTTPS an toàn thay vì HTTP không an toàn, nếu có thể, để ngăn chặn chuyển hướng đến các trang web độc hại.
Nguồn thông tin cho bài viết này bao gồm một bài báo trên TheRegister.
#Apple #bảovemạng #lỗhổngbảo mật #Predator #Intellexa
Nguồn: https://www.itworldcanada.com/post/apple-fixes-security-flaws
Apple has released security updates to patch three flaws that have been exploited by commercial spyware to infect iPhones and other devices.
The updates, which were released on September 22, 2023, should be installed as soon as possible to protect against these vulnerabilities.
The three flaws are CVE-2023-41991, a certificate validation issue that could allow a malicious app to bypass signature validation. CVE-2023-41992, a kernel-level privilege escalation hole that could be abused to gain full control of a device. And CVE-2023-41993, a web content processing flaw that could lead to arbitrary code execution.
macOS Monterey 12.7, macOS Ventura 13.6, watchOS 9.6.3, watchOS 10.0.1, iOS 16.7 and iPadOS 16.7, iOS 17.0.1 and iPadOS 17.0.1, and Safari 16.6.1 are the Apple devices and software are affected by the flaws.
Google’s Threat Analysis Group (TAG) and The Citizen Lab have discovered evidence that these flaws were exploited by Predator spyware, which is sold by the company Intellexa. Intellexa was added to the U.S. entity list in July 2023 as a national security threat.
TAG has urged users to update their devices to the latest security patches and to use secure HTTPS rather than insecure HTTP where possible to help prevent redirects to malicious websites.
The sources for this piece include an article in TheRegister.
[ad_2]
