Người dùng iPhone khẩn cấp cập nhật lên bản vá 2 Zero-Days

Apple đang kêu gọi người dùng macOS, iPhone và iPad ngay lập tức cài đặt các bản cập nhật tương ứng trong tuần này, bao gồm các bản sửa lỗi trong hai XNUMX ngày khi bị tấn công tích cực. Các bản vá dành cho các lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý và cuối cùng là chiếm đoạt các thiết bị.

Các bản vá có sẵn cho các thiết bị có hiệu lực đang chạy iOS 15.6.1 và macOS Monterey 12.5.1. Các bản vá giải quyết hai lỗ hổng, về cơ bản ảnh hưởng đến bất kỳ thiết bị Apple nào có thể chạy iOS 15 hoặc phiên bản Monterey của hệ điều hành máy tính để bàn của nó, theo các bản cập nhật bảo mật do Apple phát hành hôm thứ Tư.

Một trong những sai sót là lỗi hạt nhân (CVE-2022-32894), hiện có cả trong iOS và macOS. Theo Apple, đó là “vấn đề viết ngoài giới hạn [đã được giải quyết bằng việc kiểm tra giới hạn được cải thiện”.

Theo Apple, lỗ hổng bảo mật cho phép một ứng dụng thực thi mã tùy ý với các đặc quyền hạt nhân, theo cách hiểu mơ hồ thông thường, có một báo cáo cho rằng nó “có thể đã bị khai thác tích cực”.

Lỗ hổng thứ hai được xác định là lỗi WebKit (được theo dõi là CVE-2022-32893), đây là một vấn đề ghi ngoài giới hạn mà Apple đã giải quyết bằng việc kiểm tra giới hạn được cải thiện. Lỗ hổng này cho phép xử lý nội dung web được chế tạo độc hại có thể dẫn đến thực thi mã và cũng đã được báo cáo là đang bị khai thác tích cực, theo Apple. WebKit là công cụ trình duyệt hỗ trợ Safari và tất cả các trình duyệt bên thứ ba khác hoạt động trên iOS.

Kịch bản giống Pegasus

Việc phát hiện ra cả hai sai sót, về những sai sót mà Apple tiết lộ ít được biết đến, được ghi nhận cho một nhà nghiên cứu ẩn danh.

Một chuyên gia bày tỏ lo lắng rằng những sai sót mới nhất của Apple "có thể cung cấp cho những kẻ tấn công quyền truy cập đầy đủ vào thiết bị một cách hiệu quả", họ có thể tạo ra một Giống Pegasus kịch bản tương tự như kịch bản mà APTs quốc gia-nhà nước ngăn chặn các mục tiêu với phần mềm gián điệp do Tập đoàn NSO của Israel thực hiện bằng cách khai thác lỗ hổng trên iPhone.

“Đối với hầu hết mọi người: cập nhật phần mềm vào cuối ngày,” tweeted Rachel Tobac, Giám đốc điều hành của SocialProof Security, nói về zero-days. “Nếu mô hình mối đe dọa được nâng cao (nhà báo, nhà hoạt động, mục tiêu của các quốc gia, v.v.): hãy cập nhật ngay bây giờ,” Tobac cảnh báo.

Không có ngày nhiều

Các lỗ hổng đã được tiết lộ cùng với các tin tức khác từ Google trong tuần này rằng nó đang vá ngày thứ năm của nó cho đến nay trong năm nay cho trình duyệt Chrome của nó, một lỗi thực thi mã tùy ý đang bị tấn công tích cực.

Theo Andrew Whaley, giám đốc kỹ thuật cấp cao tại Promon, một công ty bảo mật ứng dụng của Na Uy.

Các lỗ hổng trong iOS đặc biệt đáng lo ngại, do sự phổ biến của iPhone và sự phụ thuộc hoàn toàn của người dùng vào thiết bị di động cho cuộc sống hàng ngày của họ, ông nói. Tuy nhiên, nhiệm vụ không chỉ nằm ở các nhà cung cấp để bảo vệ các thiết bị này mà còn để người dùng nhận thức rõ hơn về các mối đe dọa hiện có, Whaley nhận xét.

“Mặc dù tất cả chúng ta đều dựa vào các thiết bị di động của mình, nhưng chúng không phải là bất khả xâm phạm và với tư cách là người dùng, chúng ta cần duy trì cảnh giác giống như chúng ta làm trên hệ điều hành máy tính để bàn,” ông nói trong một email tới Threatpost.

Đồng thời, các nhà phát triển ứng dụng cho iPhone và các thiết bị di động khác cũng nên thêm một lớp kiểm soát bảo mật bổ sung trong công nghệ của họ để họ bớt phụ thuộc vào bảo mật hệ điều hành để bảo vệ, do các lỗ hổng thường xuyên xuất hiện, Whaley nhận xét.

“Kinh nghiệm của chúng tôi cho thấy điều này xảy ra chưa đủ, có khả năng khiến ngân hàng và các khách hàng khác dễ bị tổn thương,” ông nói.