Bản cập nhật iOS 12.2 mới nhất vá một số lỗ hổng bảo mật nghiêm trọng
Apple hôm thứ Hai đã phát hành iOS 12.2 để vá tổng cộng 51 lỗ hổng bảo mật trong hệ điều hành di động của nó ảnh hưởng đến iPhone 5s trở lên, iPad Air trở về sau, và iPod touch thế hệ thứ 6.
Bản cập nhật iOS 12.2 mới nhất vá một số lỗ hổng bảo mật nghiêm trọng - CyberSec365.org |
Phần lớn các lỗ hổng mà Apple đã vá trong tháng này nằm trong bộ công cụ WebKit, bộ công cụ được sử dụng bởi nhiều ứng dụng và trình duyệt web chạy trên hệ điều hành của Apple.
Theo đó, người dùng chỉ cần mở một trang web chứa mã độc bằng bất kỳ ứng dụng nào sử dụng WebKit đều có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý, tiết lộ thông tin nhạy cảm của người dùng, bỏ qua các hạn chế của sandbox hoặc khởi chạy các cuộc tấn công cross-site scripting phổ biến trên thiết bị.
Theo đó, người dùng chỉ cần mở một trang web chứa mã độc bằng bất kỳ ứng dụng nào sử dụng WebKit đều có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý, tiết lộ thông tin nhạy cảm của người dùng, bỏ qua các hạn chế của sandbox hoặc khởi chạy các cuộc tấn công cross-site scripting phổ biến trên thiết bị.
Trong số các lỗ hổng WebKit có vấn đề về tính nhất quán (CVE-2019-6222) cho phép các trang web độc hại có khả năng truy cập micrô của thiết bị iOS mà không hiển thị thông báo "microphone-in-use".
Một lỗ hổng bảo mật tương tự (CVE-2019-8566) đã được vá trong API ReplayKit của Apple có thể cho phép một ứng dụng độc hại truy cập vào micrô của thiết bị iOS mà không cần báo cáo cho người dùng.
"An API issue existed in the handling of microphone data. This issue was addressed with improved validation," Apple says in its advisory briefing the ReplayKit bug.Apple cũng đã vá một lỗi logic nghiêm trọng (CVE-2019-8503) trong WebKit cho phép các trang web chứa mã độc thực thi các lệnh tuỳ ý, cho phép chúng đánh cắp thông tin của người dùng được lưu trữ trên các trang web khác hoặc khởi chạy một cuộc tấn công trực tuyến.
Bên cạnh các vấn đề về WebKit, bản cập nhật này cũng tiết lộ sự tồn tại của một lỗ hổng nghiêm trọng trong các phiên bản iOS trước đó có thể dẫn đến việc thực thi mã tùy ý chỉ bằng cách thuyết phục nạn nhân nhấp vào liên kết SMS độc hại.
Lỗ hổng SMS, được xác định là CVE-2019-8553, ảnh hưởng các thiết bị từ iPhone 5s trở lên, iPad Air trở lên và iPod touch các thiết bị thế hệ thứ 6.
Bản cập nhật iOS 12.2 mới nhất vá một số lỗ hổng bảo mật nghiêm trọng - CyberSec365.org |
Để kiểm tra bản cập nhật trên iPhone hoặc iPad, hãy đi tới Settings→ General → Software Update và nhấp vào nút 'Download and Install'.
Nguồn: The Hacker News
Không có nhận xét nào