Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, visionOS và trình duyệt web Safari để giải quyết hai lỗ hổng zero-day đã bị khai thác tích cực trong tự nhiên.
Các lỗ hổng được liệt kê dưới đây -
- CVE-2024-44308 - Một lỗ hổng trong JavaScriptCore có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại
- CVE-2024-44309 - Lỗ hổng quản lý cookie trong WebKit có thể dẫn đến tấn công cross-site scripting (XSS) khi xử lý nội dung web độc hại
Nhà sản xuất iPhone cho biết họ đã giải quyết CVE-2024-44308 và CVE-2024-44309 với việc kiểm tra được cải thiện và quản lý trạng thái được cải thiện, tương ứng.
Không có nhiều thông tin về bản chất chính xác của việc khai thác, nhưng Apple đã thừa nhận rằng cặp lỗ hổng "có thể đã được khai thác tích cực trên các hệ thống Mac dựa trên Intel".
Clément Lecigne và Benoît Sevens thuộc Nhóm phân tích mối đe dọa của Google (TAG) đã được ghi nhận với việc phát hiện và báo cáo hai lỗ hổng, cho thấy rằng chúng có khả năng được sử dụng như một phần của các cuộc tấn công phần mềm gián điệp được chính phủ hậu thuẫn hoặc lính đánh thuê nhắm mục tiêu cao.
Các bản Cập Nhật có sẵn cho các thiết bị và hệ điều hành sau -
- iOS 18.1.1 và iPadOS 18.1.1 - iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên
- iOS 17.7.2 và iPadOS 17.7.2 - iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12.9 inch thế hệ thứ 2 trở lên, iPad Pro 10.5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini mini thế hệ thứ 5 trở lên
- macOS Sequoia 15.1.1 - Máy Mac chạy macOS Sequoia
- visionOS 2.1.1 - Apple Vision Pro
- Safari 18.1.1 - Máy Mac chạy macOS Ventura và macOS Sonoma