Apple đã phát hành iOS 17.5 cùng với cảnh báo để cập nhật ngay cho tất cả người dùng iPhone. Điều này bởi vì iOS 17.5 sửa 15 lỗ hổng bảo mật, một số trong số đó rất nghiêm trọng. Apple vẫn giữ bí mật về việc chính xác những gì đã được sửa trong iOS 17.5, để đảm bảo nhiều người nhất có thể nâng cấp iPhone của họ trước khi kẻ tấn công có thể tiếp cận chi tiết. Một số lỗ hổng quan trọng được vá trong iOS 17.5 là vấn đề trong Kernel nằm ở trái tim của hệ điều hành iPhone được theo dõi theo mã CVE-2024-27818, có thể cho phép kẻ tấn công thực thi code. Một vấn đề khác được sửa trong iOS 17.5, trong AppleAVD, có thể khiến một đối thủ có khả năng thực thi mã tùy ý với đặc quyền Kernel nếu người dùng tải xuống một ứng dụng, Apple nói trên trang hỗ trợ của mình. Apple đã phát hành iOS 17.5 cùng với cảnh báo để cập nhật ngay cho tất cả người dùng iPhone. Apple iPhone cập nhật 05/14 dưới đây.
Một vấn đề đáng chú ý khác được vá trong iOS 17.5 là một lỗ hổng trong Voice Control có thể cho phép kẻ tấn công tăng đặc quyền. Trong khi đó, CVE-2024-27834 là một lỗ hổng trong WebKit, engine chính của trình duyệt Safari, có thể cho phép kẻ tấn công bypass Pointer Authentication. Một vấn đề trong MarketplaceKit được theo dõi theo mã CVE-2024-27852 và được báo cáo bởi các nhà nghiên cứu tại công ty bảo mật Mysk có thể thấy một trang web được tạo ra độc hại có thể phân phối một script theo dõi người dùng trên các trang web khác. Sean Wright, trưởng bộ phận bảo mật ứng dụng tại Featurespace, gọi các sửa lỗi được phát hành trong iOS 17.5 là “một hỗn hợp.” Tệ nhất là lỗ hổng kernel, anh ấy nói. “Điều này có thể kết hợp với một số lỗ hổng khác để cho phép kẻ tấn công truy cập đầy đủ vào thiết bị.”
POC cho Lỗ hổng Kernel iOS 17.5 Sẽ Sớm Sẵn Sàng Một ngày sau khi iOS 17.5 được phát hành, mọi thứ được tiết lộ hơn về các sửa lỗi bảo mật. Đáng chú ý, một nhà nghiên cứu bảo mật Meysam, người tuyên bố đã báo cáo lỗ hổng kernel, đã mô tả trong một bài đăng trên X, trước đây là Twitter, cách anh ấy đã báo cáo lỗi trong iOS 17.4.1 – phiên bản trước đó của iOS 17. Anh ấy dự định công bố một bằng chứng mẫu để thể hiện cách nó hoạt động “sớm.” Trong khi anh ấy muốn chỉ ra rằng đây không phải là một kỹ thuật khai thác – tức là một phương pháp trực tiếp để khai thác vấn đề này – điều này làm cho việc cập nhật lên iOS 17.5 đặc biệt quan trọng. Càng nhiều kẻ tấn công biết về lỗ hổng, càng có khả năng họ có thể sử dụng nó trong các cuộc tấn công.
Kiểm tra Ngay iPhone Của Bạn – Những Mẫu Này Sẽ Không Nhận Cập Nhật Không cần thiết từ Kate O’Flaherty Apple Phát Hành iOS 16.7.8 Để Sửa Lỗi Đã Bị Khai Thác Cùng iOS 17.5, Apple đã phát hành iOS 16.7.8, sửa hai vấn đề, trong đó có một vấn đề đã bị khai thác trong thực tế. Được theo dõi dưới dạng CVE-2024-23296, lỗ hổng trong RTKit có thể cho phép kẻ tấn công với khả năng đọc và ghi kernel tùy ý để bypass kernel memory protections. “Apple nhận thức về thông tin lỗ hổng này có thể đã bị khai thác,” Apple viết trên trang hỗ trợ của mình. iOS 16.7.8 có sẵn cho iPhone 8, iPhone 8 Plus, iPhone X, iPad thế hệ thứ 5, iPad Pro 9.7-inch và iPad Pro 12.9-inch thế hệ thứ 1.
Tại sao Bạn Nên Cập Nhật Ngay Bây Giờ Đến iOS 17.5 Hoặc iOS 16.7.8 Đã rất lâu kể từ lần cập nhật bảo mật trước của Apple, iOS 17.4.1 – phát hành vào tháng 3 – đã sửa nhiều lỗ hổng bảo mật nghiêm trọng. Cập nhật trước đó, iOS 17.4, là một bản vá khẩn cấp cho các vấn đề đang được khai thác trong cuộc tấn công thực tiễn. Cập nhật iOS 16.7.8 cũng tương tự vì nó cũng vá các vấn đề bảo mật đã bị khai thác trước đó. Nếu bạn có thiết bị cũ hơn, việc cập nhật lên iOS 16.7.8 là sự lựa chọn không thể nào quên, khi lỗ hổng này đang bị khai thác trong các cuộc tấn công. Trong khi iOS 17.5 không bao gồm bất kỳ lỗ hổng đã bị khai thác trước đó – ít nhất là chúng ta biết – một số vấn đề rất nghiêm trọng, làm cho việc cập nhật iPhone của bạn ngay lập tức là rất quan trọng. Đồng thời, bản cập nhật iOS 17.5 chứa các tính năng mới thú vị, bao gồm bảo vệ khỏi theo dõi không mong muốn, cũng như sửa lỗi. Bản cập nhật iOS 17.5 có sẵn cho iPhone XS và mới hơn, iPad Pro 12.9-inch thế hệ thứ 2 và mới hơn, iPad Pro 10.5-inch, iPad Pro 11-inch thế hệ thứ 1 và mới hơn, iPad Air thế hệ thứ 3 và mới hơn, iPad thế hệ thứ 6 và mới hơn và iPad mini thế hệ thứ 5 và mới hơn. Nếu bạn quan tâm đến bảo mật của mình, bạn sẽ cần áp dụng iOS 17.5 hoặc iOS 16.7.8 một cách thủ công, vì các cập nhật tự động của Apple có thể mất một thời gian để đến tay các iPhone. Là lúc thiết bị của bạn vẫn mở để tấn công. Wright nói rằng không cần phải hoảng loạn, nhưng đảm bảo bạn cập nhật “càng sớm càng tốt.” Vậy bạn còn chần chừ gì nữa? Đến Cài đặt của iPhone của bạn > Chung > Cập nhật phần mềm và tải về và cài đặt iOS 17.5 hoặc iOS 16.7.8 ngay bây giờ.
Apple Gửi Cảnh Báo Tấn công Spyware Đến Người Dùng iPhone Ở 92 Quốc Gia 05/14 cập nhật: Bên cạnh các fix lỗi bảo mật quan trọng, bản cập nhật iOS 17.5 chứa một tính năng giúp ngăn chặn việc theo dõi không mong muốn trên các nền tảng. Dựa trên tính năng của iPhone của Apple để phát hiện AirTags có thể đã được để trong một túi hoặc đặt trong một phương tiện di chuyển, công cụ ngăn theo dõi không mong muốn trong iOS 17.5 là kết quả của một liên minh giữa Apple và đối thủ của mình Google. Sau khi phát hành iOS 17.5, Apple đã phát đi một thông cáo báo chí để xác nhận các tính năng ngăn theo dõi không mong muốn đã hoạt động. Nó mô tả cách Apple và Google đã cùng nhau tạo ra một quy chuẩn ngành – Phát hiện Các Thiết Bị Theo Dõi Không Mong Muốn – cho các thiết bị theo dõi Bluetooth. “Điều này sẽ giúp giảm thiểu việc sử dụng sai mục đích của các thiết bị được thiết kế để giữ lấy đồ của mình,” tuyên bố đọc, thêm rằng Apple đang triển khai khả năng này trong iOS 17.5 và Google trong các thiết bị Android 6.0+ của mình. Tính năng của iOS 17.5 có nghĩa là người dùng sẽ nhận được cảnh báo “(Vật) Đã Tìm Thấy Đi Cùng Bạn” nếu phát hiện một thiết bị theo dõi Bluetooth không rõ. Nó hoạt động trên các nền tảng, với các nhà sản xuất thẻ Bluetooth bao gồm Chipolo, eufy, Jio, Motorola và Pebblebee cho biết các thẻ tương lai sẽ tương thích. Trong số các lợi ích, nó cung cấp chỉ dẫn và các quy tắc hay nhất cho các nhà sản xuất, “nếu họ chọn xây dựng khả năng cảnh báo theo dõi không mong muốn vào sản phẩm của họ,” theo Apple và Google. Tiêu chuẩn đang tiếp tục: Apple và Google đang làm việc với Internet Engineering Task Force thông qua nhóm công việc Phát Hiện Các Thiết Bị Theo Dõi Không Mong Muốn để phát triển tiêu chuẩn chính thức. #iOS175 #CậpNhậtBảoMật #AppleEvent #NgườiDùngiPhone
Apple has issued iOS 17.5 along with a warning to update your iPhone as soon as possible. That’s because iOS 17.5 fixes 15 security vulnerabilities, some of which are serious.
Apple remains tight-lipped about exactly what is fixed in iOS 17.5, to ensure as many people as possible are able to upgrade their iPhones before attackers can get hold of the details.
Among the important flaws patched in iOS 17.5 are an issue in the Kernel at the heart of the iPhone operating system tracked as CVE-2024-27818, which could allow an attacker to execute code. Another issue fixed in iOS 17.5, in AppleAVD, could see an adversary able to execute arbitrary code with Kernel privileges if a user downloads an app, Apple said on its support page.
Apple has issued iOS 17.5 along with a warning to update your iPhone as soon as possible.
Apple iPhone05/14 update below. This article was first published on 05/13.
Another significant bug squashed in iOS 17.5 is a vulnerability in Voice Control that could allow an attacker to elevate privileges. Meanwhile, CVE-2024-27834 is a flaw in WebKit, the engine that underpins the Safari browser, which could allow an attacker to bypass Pointer Authentication.
An issue in MarketplaceKit tracked as CVE-2024-27852 and reported by researchers at security outfit Mysk could see a maliciously crafted webpage able to distribute a script that tracks users on other webpages.
Sean Wright, head of application security at Featurespace, calls the fixes issued in iOS 17.5 “a mixed bag.”
The worst is the kernel flaw, he says. “This could be chained with some of the other vulnerabilities to allow an attacker to gain full access to the device.”
POC for iOS 17.5 Kernel Flaw Will Soon Be Ready
One day after iOS 17.5 was issued, more is being unveiled about the security fixes. Notably, a security researcher Meysam who claims to have reported the kernel vulnerability has described in a post on X, formally Twitter, how he reported the flaw in iOS 17.4.1—the previous version of iOS 17. He plans to publish a proof of concept to demonstrate how it works “soon.”
While he is keen to point out that this is not an exploit—ie a direct method of exploiting the issue—it does make updating to iOS 17.5 especially crucial. The more attackers know about the flaw, the more likely it is they can use it in attacks.
Apple Issues iOS 16.7.8 To Fix Already-Exploited Issue
Alongside iOS 17.5, Apple has issued iOS 16.7.8, fixing two issues, one of which is already being used in real-life attacks. Tracked as CVE-2024-23296, the flaw in RTKit could enable an attacker with arbitrary kernel read and write capability to bypass kernel memory protections. “Apple is aware of a report that this issue may have been exploited,” Apple wrote on its support page.
The iOS 16.7.8 is available for iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch, and iPad Pro 12.9-inch 1st generation.
Why You Should Update Now To iOS 17.5 Or iOS 16.7.8
It’s been a while since Apple’s last security update, iOS 17.4.1—released in March—which fixed multiple serious security flaws. The update before that, iOS 17.4, was an emergency patch for issues being used in real life attacks.
The iOS 16.7.8 update is similar as it also patches already-exploited security issues. If you have an older device, updating to iOS 16.7.8 is a no-brainer, given that the flaw is being used in attacks.
While iOS 17.5 doesn’t cover any already-exploited flaws—at least that we know about—some of the issues are serious making it important you update your iPhone as soon as you can.
At the same time, the iOS 17.5 update contains cool new features, including unwanted tracker protection, as well as bug fixes.
The iOS 17.5 update is available for the iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later and iPad mini 5th generation and later.
If you care about your security, you will need to apply iOS 17.5 or iOS 16.7.8 manually, because Apple’s automatic updates can take a while to reach iPhones. It’s during this time that your device remains open to attack.
Wright says there is no need to panic, but ensure that you update “as soon as you can.”
So what are you waiting for? Go to your iPhone’s Settings > General > Software Update and download and install iOS 17.5 or iOS 16.7.8 now.
05/14 update: As well as important security fixes, the iOS 17.5 update contains a feature that helps stop unwanted tracking across platforms. Building on Apple’s iPhone feature to detect AirTags that might have been slipped into a bag or placed in a vehicle, the unwanted tracking tool in iOS 17.5 is a result of a partnership between Apple and its rival Google.
After releasing iOS 17.5, Apple has issued a press release to confirm the anti-tracking features are live. It describes how Apple and Google worked together to create an industry specification—Detecting Unwanted Location Trackers—for Bluetooth tracking devices. “This will help mitigate the misuse of devices designed to help keep track of belongings,” the statement reads, adding that Apple is implementing this capability in iOS 17.5, and Google in its Android 6.0+ devices.
The iOS 17.5 feature means users will get an “(Item) Found Moving With You” alert if an unknown Bluetooth tracking device is detected.
It works across platforms, with Bluetooth tag manufacturers including Chipolo, eufy, Jio, Motorola and Pebblebee saying future tags will be compatible.
Among the benefits, it offers instructions and best practices for manufacturers, “should they choose to build unwanted tracking alert capabilities into their products,” according to Apple and Google.
The standard is ongoing: Apple and Google are working with the Internet Engineering Task Force via the Detecting Unwanted Location Trackers working group to develop the official standard.
