Apple sử dụng bản iOS 14.7 giải quyết lỗ hổng zero-day
Tuần trước, iOS 14.7 đã xuất hiện, bổ sung các tính năng bao gồm hỗ trợ các gói pin từ tính của Apple. Thật không may, bản cập nhật cũng làm gián đoạn tính năng “Mở khóa bằng iPhone” mà người đeo Apple Watch sử dụng để dễ dàng truy cập vào thiết bị đeo của họ. Bây giờ một bản cập nhật khác đang đến để khắc phục điều đó. Tuy nhiên, ngay cả khi bạn không có Apple Watch, bạn vẫn nên cài đặt iOS 14.7.1 (và đối với chủ sở hữu máy Mac, macOS 11.5.1) ngay khi có thể, vì lưu ý bảo mật từ Apple đã tiết lộ rằng hai bản cập nhật mà họ đã đẩy ngày nay đã sửa các lỗi lỗ hổng đã được khai thác trong tự nhiên.
Các vấn đề hỏng bộ nhớ trong hệ điều hành máy tính để bàn và di động của Apple đã được gán cùng một ID lỗ hổng bảo mật và được quy cho một nhà nghiên cứu ẩn danh.
Mục lục
Apple giải quyết lỗ hổng zero-day
Apple đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day. Được khai thác trong thực tế và ảnh hưởng đến iPhone, iPad và Mac. Theo BleepingComputer, lỗ hổng được theo dõi CVE-2021-30807. Là một vấn đề hỏng bộ nhớ trong phần mở rộng kernel IOMobileFramebuffer. Do một nhà nghiên cứu ẩn danh báo cáo. Apple đã sửa lỗ hổng cho phép các ứng dụng thực thi mã tùy ý với đặc quyền kernel. Bằng cách cải thiện khả năng xử lý bộ nhớ trong iOS 14.7.1, iPadOS 14.7.1 và macOS Big Sur 11.5.1.
Danh sách các thiết bị bị ảnh hưởng bao gồm máy Mac, iPhone 6s trở lên; iPad Pro (tất cả các dòng máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên,;iPad mini 4 trở lên và iPod touch (thế hệ thứ 7). Từ đầu năm 2021, Apple đã phát hành các bản cập nhật bảo mật để giải quyết những lỗ hổng zero-day. Tháng trước Amnesty International và Forbidden Stories tiết lộ họ đã tìm thấy phần mềm gián điệp. Do nhà cung cấp giám sát của Israel NSO Group triển khai trên iPhone chạy phiên bản iOS mới nhất. Có khả năng tấn công bằng cách sử dụng khai thác iMessage zero-click.
Danh sách dài không có ngày được vá trong năm nay
Kể từ đầu năm 2021, Apple đã phát hành các bản cập nhật bảo mật để giải quyết;những gì trông giống như một làn sóng vô tận các lỗ hổng zero-day. Nhiều lỗ hổng trong số đó được công ty gắn thẻ là khai thác trong tự nhiên:
- ba iOS zero-days (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) vào tháng Hai, được khai thác trong tự nhiên và được báo cáo bởi các nhà nghiên cứu ẩn danh
- iOS zero-day (CVE-2021-1879) vào tháng 3 có thể cũng đã được khai thác tích cực
- một zero-day trong iOS (CVE-2021-30661) và một trong macOS (CVE-2021-30657) vào tháng 4. Bị phần mềm độc hại Shlayer khai thác.
- ba phiên bản iOS zero-days khác (CVE-2021-30663, CVE-2021-30665 và CVE-2021-30666) vào tháng 5. Lỗi cho phép thực thi mã từ xa tùy ý (RCE) trên các thiết bị dễ bị tấn công chỉ bằng cách truy cập các trang net độc hại.
- macOS zero-day (CVE-2021-30713) vào tháng 5, một lỗ hổng bị phần mềm độc hại XCSSET lạm dụng. Để vượt qua các biện pháp bảo vệ TCC của Apple được thiết kế. Để bảo vệ quyền riêng tư của người dùng.
- hai lỗi iOS zero-day (CVE-2021-30761 và CVE-2021-30762) vào tháng 6 “có thể đã bị khai thác tích cực” để xâm nhập vào các thiết bị iPhone, iPad và iPod cũ hơn.
Tháng trước, Tổ chức Ân xá Quốc tế và Forbidden Tales cũng tiết lộ rằng. Họ đã tìm thấy phần mềm gián điệp do nhà cung cấp giám sát của Israel NSO Group triển khai trên iPhone. Chạy phiên bản iOS mới nhất, có khả năng bị tấn công. Bằng cách sử dụng khai thác iMessage zero-click.