Hôm thứ Năm, Apple đã phát hành nhiều bản cập nhật bảo mật để vá ba lỗ hổng zero-day được tiết lộ là đang bị khai thác tích cực.
Được tung ra như một phần của các bản cập nhật iOS, iPadOS, macOS và watchOS, các lỗi nằm trong thành phần FontParser và hạt nhân, cho phép kẻ thù thực thi từ xa mã tùy ý và chạy các chương trình độc hại với đặc quyền cấp hạt nhân.
Zero-days đã được phát hiện và báo cáo cho Apple bởi nhóm bảo mật Project Zero của Google.
Nhà sản xuất iPhone cho biết trong ba ngày không có bất kỳ thông tin bổ sung nào để cho phép đại đa số người dùng cài đặt các bản cập nhật: “Apple đã biết về các báo cáo cho thấy có sự khai thác cho vấn đề này.
Danh sách của thiết bị bị ảnh hưởng bao gồm iPhone 6s trở lên, iPod touch thế hệ thứ 7, iPad Air 2 trở lên, iPad mini 4 trở lên và Apple Watch Series 1 trở lên.
Các bản sửa lỗi có sẵn trong các phiên bản iOS 12.4.9 và 14.2, iPadOS 14.2, watchOS 5.3.9, 6.2.9 và 7.1 và là bản cập nhật bổ sung cho macOS Catalina 10.15.7.
Theo Apple bản tin an ninh, các sai sót là:
- CVE-2020-27930: Sự cố hỏng bộ nhớ trong thư viện FontParser cho phép thực thi mã từ xa khi xử lý một phông chữ được chế tạo độc hại.
- CVE-2020-27932: Sự cố khởi tạo bộ nhớ cho phép ứng dụng độc hại thực thi mã tùy ý với đặc quyền hạt nhân.
- CVE-2020-27950: Một vấn đề nhầm lẫn kiểu khiến ứng dụng độc hại có thể tiết lộ bộ nhớ nhân.
“Khai thác có mục tiêu trong tự nhiên tương tự như 0 ngày khác được báo cáo gần đây” nói Shane Huntley, Giám đốc Nhóm Phân tích Đe doạ của Google. “Không liên quan đến bất kỳ nhắm mục tiêu bầu cử nào.”
Tiết lộ là thông tin mới nhất trong chuỗi zero-days Project Zero đã được báo cáo kể từ ngày 20 tháng 10. Lần đầu tiên đến với Chrome zero-day trong thư viện kết xuất phông chữ Freetype (CVE-2020-15999), sau đó là Windows zero-day (CVE-2020-17087), tiếp theo là hai phiên bản khác trong Chrome và biến thể Android của nó (CVE-2020-16009 và CVE-2020-16010).
Bản vá cho Windows zero-day dự kiến sẽ được phát hành vào ngày 10 tháng 11 như một phần của Bản vá thứ Ba của tháng này.
Trong khi chờ đợi thêm thông tin chi tiết về việc liệu zero-days có bị lạm dụng bởi cùng một tác nhân đe dọa hay không, người dùng nên cập nhật thiết bị của họ lên phiên bản mới nhất để giảm thiểu rủi ro liên quan đến lỗi.
