Nâng cấp ngay iOS 18.1.1 để bảo vệ iPhone của bạn!

Cập nhật ngày 21 tháng 11 năm 2024: Câu chuyện này, được xuất bản lần đầu vào ngày 20 tháng 11, hiện bao gồm thông tin chi tiết về cảnh báo CISA mới cũng như lời khuyên của chuyên gia khác về các bản sửa lỗi được đưa ra trong iOS 18.1.1 và iOS 17.7.2.

Apple phát hành iOS 18.1.1, tình trạng khẩn cấp cập nhật iPhone mà bạn nên nộp đơn ngay bây giờ. Đó là vì iOS 18.1.1 sửa hai lỗi nghiêm trọng lỗ hổng bảo mậtcả hai đều đã được sử dụng trong các cuộc tấn công ngoài đời thực.

Apple không cung cấp nhiều thông tin về những gì đã được sửa trong iOS 18.1.1, để mọi người có nhiều thời gian cập nhật nhất có thể trước khi có thêm nhiều kẻ tấn công nắm được thông tin chi tiết. Nhưng nhà sản xuất iPhone cho biết bản cập nhật iOS 18.1.1 “cung cấp các bản sửa lỗi bảo mật quan trọng và được khuyến nghị cho tất cả người dùng”.

Được theo dõi dưới dạng CVE-2024-44308vấn đề đầu tiên được vá trong iOS 18.1.1 là một lỗ hổng trong khung JavaScriptCore có thể dẫn đến việc thực thi mã nếu người dùng tương tác với nội dung web được tạo độc hại. “Apple đã biết về một báo cáo cho rằng vấn đề này có thể đã bị khai thác tích cực trên các hệ thống Mac chạy Intel”, nhà sản xuất iPhone cho biết trên trang web của mình. trang hỗ trợ.

Vấn đề thứ hai được vá trong iOS 18.1.1, được theo dõi là CVE-2024-44309, là một lỗ hổng trong WebKit, công cụ hỗ trợ trình duyệt Safari của Apple. Nếu bị khai thác, người dùng có thể trở thành nạn nhân của một cuộc tấn công tập lệnh chéo trang, trong đó kẻ tấn công tiêm mã độc vào một trang web hoặc ứng dụng đáng tin cậy.

Một lần nữa, Apple cho biết họ đã biết về một báo cáo cho biết vấn đề này “có thể đã bị khai thác tích cực trên các hệ thống Mac chạy Intel”.

Bên cạnh iOS 18.1.1, Apple cũng đã phát hành iOS 17.7.2dành cho những người có thiết bị cũ hơn hoặc những người không muốn nâng cấp lên iOS 18 chưa, sửa hai lỗ hổng tương tự.

Apple cũng đã phát hành macOS Sequoia 15.1.1 và VisionOS 2.1.1 để sửa các lỗi đã bị khai thác.

Cảnh báo CISA mới—Cập nhật lên iOS 18.1.1 Hoặc iOS 17.7.2

Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cũng đã đưa ra cảnh báo, yêu cầu các doanh nghiệp và người dùng cập nhật lên iOS 18.1.1 hoặc iOS 17.7.2, macOS Sequoia 15.1.1, VisionOS 2.2.2 và Safari 18.1.1 ngay khi khả thi. “Apple đã phát hành các bản cập nhật bảo mật để giải quyết các lỗ hổng trong nhiều sản phẩm của Apple,” Cảnh báo CISA nói.

CISA cho biết các bản cập nhật của Apple rất quan trọng vì “tác nhân đe dọa mạng có thể khai thác một số lỗ hổng này để chiếm quyền kiểm soát hệ thống bị ảnh hưởng”.

Với suy nghĩ này, cơ quan này cho biết họ khuyến khích người dùng và quản trị viên xem lại các lời khuyên và “áp dụng các bản cập nhật cần thiết”.

Tại sao bạn nên cập nhật lên iOS 18.1.1 ngay bây giờ

Sean Wright, người đứng đầu bộ phận bảo mật ứng dụng tại Featurespace, cho biết mặc dù chỉ có hai lỗ hổng được sửa trong iOS 18.1.1 nhưng chúng rất “nghiêm trọng”. Ông nói: “Lỗ hổng JavaScriptCore có thể cho phép kẻ tấn công nhắm mục tiêu từ xa vào nạn nhân để thực thi mã trên thiết bị của họ”. “Mã này hy vọng sẽ bị giới hạn ở các biện pháp bảo vệ hộp cát hiện có, nhưng nó có thể cho phép kẻ tấn công thực hiện những việc như chuyển hướng người dùng đến các trang web độc hại và có khả năng đánh cắp mã thông báo phiên.”

ForbesiOS 18.1—Apple bí mật bổ sung tính năng bảo mật iPhone mới thú vịQua Kate O’Flaherty

Wright cho biết lỗ hổng khác trong WebKit có thể có tác động tương tự như lỗ hổng JavaScriptCore. Ông nói, do cách Apple thực thi các trình duyệt trên hệ sinh thái của mình, điều này có thể sẽ ảnh hưởng đến tất cả các trình duyệt trong hệ sinh thái của gã khổng lồ công nghệ bao gồm iPhone, iPad và Mac.

Michael Covington, Phó Giám đốc Chiến lược tại Jamf, cho biết iOS 18.1.1 và iPadOS 18.1.1 của Apple bao gồm hai bản sửa lỗi bảo mật quan trọng đối với các lỗi có thể cho phép kẻ tấn công xâm phạm từ xa thiết bị của người dùng.

Mặc dù Apple đã cảnh báo rằng các lỗ hổng, cũng có trong macOS, có thể bị khai thác tích cực trên các hệ thống dựa trên Intel, nhưng ông vẫn khuyến nghị “cập nhật bất kỳ thiết bị nào có nguy cơ”.

Covington cho biết CVE-2024-44308 cho phép kẻ tấn công xâm nhập thiết bị khi mã độc được đưa vào nội dung web.

Covington giải thích: CVE-2024-44309, lỗ hổng trong WebKit, cho phép tấn công tập lệnh chéo trang bằng cách khai thác cách quản lý cookie. “Các lỗ hổng trong WebKit rất quan trọng để vá nhanh chóng vì đây là nền tảng hỗ trợ Safari và cũng cung cấp các nội dung dựa trên web khác cho người dùng.”

Cho rằng hai lỗ hổng được vá trong iOS 18.1.1 đang được sử dụng trong các cuộc tấn công, Wright khuyên “hãy cập nhật ngay khi có thể”.

Ngoài ra, hãy hết sức thận trọng với các trang web bạn duyệt và bất kỳ liên kết nào bạn nhấp vào, ông nói.

Covington cho biết thêm, các bản sửa lỗi do Apple cung cấp giới thiệu các biện pháp kiểm tra mạnh mẽ hơn để phát hiện và ngăn chặn hoạt động độc hại, cũng như cải thiện cách thiết bị quản lý và theo dõi dữ liệu trong quá trình duyệt web.

Với những kẻ tấn công có khả năng khai thác cả hai lỗ hổng, ông nói rằng “điều quan trọng là người dùng và các tổ chức ưu tiên thiết bị di động phải áp dụng các bản vá mới nhất ngay khi có thể”.

iOS 18.1.1 của Apple có sẵn cho Phone XS trở lên, iPad Pro 13 inch, iPad Pro 12,9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên.

Đừng nhầm lẫn, các lỗ hổng đã được vá trong iOS 18.1.1 và iOS 17.7. 2 đều nghiêm trọng, do đó Apple cần phát hành bản cập nhật này như một bản cập nhật khẩn cấp, chỉ dành cho bảo mật cho iPhone. Bạn biết phải làm gì, hãy đi tới Cài đặt > Chung > Cập nhật phần mềm rồi tải xuống và cài đặt iOS 18.1.1 hoặc 17.7.2 ngay bây giờ.