Apple đã phát hành một vòng vá bảo mật khác để giải quyết ba lỗ hổng zero-day bị khai thác tích cực ảnh hưởng đến iOS, iPadOS, macOS, watchOS và Safari, nâng tổng số lỗi zero-day được phát hiện trong phần mềm của mình trong năm nay lên 16.
Danh sách các lỗ hổng bảo mật như sau -
- CVE-2023-41991 - Sự cố xác thực chứng chỉ trong khung Bảo mật có thể cho phép ứng dụng độc hại bỏ qua xác thực chữ ký.
- CVE-2023-41992 - Một lỗ hổng bảo mật trong Kernel có thể cho phép kẻ tấn công cục bộ nâng cao đặc quyền của chúng.
- CVE-2023-41993 - Một lỗ hổng WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được chế tạo đặc biệt.
Apple không cung cấp thêm chi tiết cụ thể, trừ khi thừa nhận rằng "vấn đề có thể đã được khai thác tích cực đối với các phiên bản iOS trước iOS 16.7".
Các bản Cập Nhật có sẵn cho các thiết bị và hệ điều hành sau -
- iOS 16.7 và iPadOS 16.7 - iPhone 8 trở lên, iPad Pro (tất cả các kiểu máy), iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên
- iOS 17.0.1 và iPadOS 17.0.1 - iPhone XS trở lên, iPad Pro 12.9 inch thế hệ thứ 2 trở lên, iPad Pro 10.5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên, iPad mini thế hệ thứ 5 trở lên
- macOS Monterey 12.7 và macOS Ventura 13.6
- watchOS 9.6.3 và watchOS 10.0.1 - Apple Watch Series 4 trở lên
- Safari 16.6.1 - macOS Big Sur và macOS Monterey
Được ghi nhận với việc phát hiện và báo cáo những thiếu sót là Bill Marczak của Phòng thí nghiệm Công dân tại Trường Munk của Đại học Toronto và Maddie Stone của Nhóm Phân tích Mối đe dọa của Google (TAG), chỉ ra rằng họ có thể đã bị lạm dụng như một phần của phần mềm gián điệp nhắm mục tiêu cao nhằm vào các thành viên xã hội dân sự, những người có nguy cơ cao bị đe dọa mạng.
Tiết lộ được đưa ra hai tuần sau khi Apple giải quyết hai zero-day bị khai thác tích cực khác (CVE-2023-41061 và CVE-2023-41064) đã được chuỗi như một phần của chuỗi khai thác iMessage không nhấp chuột có tên BLASTPASS để triển khai một phần mềm gián điệp lính đánh thuê được gọi là Pegasus.
Tiếp theo là cả Google và Mozilla đều sửa lỗi vận chuyển để chứa lỗ hổng bảo mật (CVE-2023-4863) có thể dẫn đến việc thực thi mã tùy ý khi xử lý hình ảnh được chế tạo đặc biệt.
Có bằng chứng cho thấy cả CVE-2023-41064, lỗ hổng tràn bộ đệm trong khung phân tích cú pháp hình ảnh I / O hình ảnh của Apple và CVE-2023-4863, tràn bộ đệm đống trong thư viện hình ảnh WebP (libwebp), có thể đề cập đến cùng một lỗi, theo người sáng lập Isosceles và cựu nhà nghiên cứu Google Project Zero, Ben Hawkes.
Rezilion, trong một phân tích được công bố hôm thứ Năm, tiết lộ rằng thư viện libwebp được sử dụng trong một số hệ điều hành, gói phần mềm, ứng dụng Linux và hình ảnh vùng chứa, nhấn mạnh rằng phạm vi của lỗ hổng rộng hơn nhiều so với giả định ban đầu.
"Tin tốt là lỗi dường như được vá chính xác trong libwebp ngược dòng, và bản vá đó đang tìm đường đến mọi nơi nó nên đi", Hawkes nói. "Tin xấu là libwebp được sử dụng ở rất nhiều nơi, và có thể mất một thời gian cho đến khi bản vá đạt đến độ bão hòa."