Tóm tắt lại: Một bản tin bảo mật được phát hành trong tuần này kêu gọi người dùng Apple cài đặt các bản cập nhật iOS có sẵn ngay lập tức. Khuyến nghị được đưa ra sau khi các nhà nghiên cứu xác định được ba lỗ hổng zero-day, tất cả đều đang được tích cực khai thác trên các thiết bị chưa được vá lỗi, theo các báo cáo. Bản cập nhật cũng vá hơn 30 lỗ hổng khác được tìm thấy trong bản phát hành iOS 16.4 gần đây.
Apple kêu gọi người dùng iPhone và iPad cập nhật lên iOS 16.5 và iPadOS 16.5 ngay lập tức để giảm thiểu ba lần khai thác zero-day. Các lỗ hổng trực tiếp có liên quan vào công cụ trình duyệt WebKit và bao gồm những điều sau đây:
- CVE-2023-32409 – kẻ tấn công từ xa có thể thoát ra khỏi hộp cát bảo mật Nội dung web
- CVE-2023-28204 – xử lý nội dung web có thể tiết lộ thông tin nhạy cảm
- CVE-2023-32373 – xử lý nội dung web thủ công độc hại có thể dẫn đến thực thi mã tùy ý
Apple vá 3 lỗ hổng Zero-Day của WebKit bị khai thác: CVE-2023-28204, CVE-2023-32409 và CVE-2023-32373https://t.co/DIUrjX0X9C
– Tuần bảo mật (@SecurityWeek) 20 Tháng Năm, 2023
Các lỗ hổng được xác định làm tăng nguy cơ dữ liệu và thông tin cá nhân của người dùng bị các bên thứ ba trái phép truy cập. Các lỗ hổng bảo mật cũng có thể cho phép những kẻ xấu khởi chạy các cuộc tấn công thực thi mã tùy ý để chạy bất kỳ lệnh hoặc mã nào trên máy hoặc quy trình mục tiêu.
Đầu năm nay, Apple đã báo cáo vượt qua mốc hai tỷ thiết bị đang hoạt động, một cột mốc chứng minh mức độ phổ biến của vấn đề mà Apple phải đối mặt. Do tính chất của các lỗ hổng, việc khai thác công cụ trình duyệt WebKit có thể ảnh hưởng đến một phần lớn của hai tỷ thiết bị này. Các thiết bị bị ảnh hưởng bởi các khai thác được xác định bao gồm:
- Tất cả các mẫu iPad Pro
- iPad Air (thế hệ thứ 3 trở lên)
- iPad thứ 5 (thế hệ trở lên)
- iPad Mini (thế hệ thứ 5 trở lên)
- iPhone 6s trở lên
- Máy trạm Mac và máy tính xách tay chạy macOS, Big Sur, Monterey và Ventura
- Apple Watch (sê-ri 4 trở lên)
- Apple TV 4K và HD
Nhiều người dùng đã nhận được các bản cập nhật iOS tự động thông qua hệ thống Phản hồi bảo mật nhanh của Apple. Thường được triển khai theo khu vực địa lý và bị ảnh hưởng bởi khả năng kết nối, điện thoại và máy tính bảng của một số người dùng có thể vẫn đang chờ cập nhật tự động. Những người dùng đó được khuyến khích cập nhật thủ công điện thoại của họ lên phiên bản 16.5. Để thực hiện việc này, hãy mở ứng dụng Cài đặt và điều hướng đến Cài đặt chung > Cập nhật phần mềm. Nhấn vào tải xuống và cài đặt, sau đó cho điện thoại của bạn vài phút để thực hiện công việc của nó.
Việc đảm bảo rằng tất cả các thiết bị Apple khác của bạn đều được cập nhật cũng là một cách vệ sinh tốt. Việc cập nhật thật dễ dàng vì tùy chọn tải xuống các bản cập nhật theo cách thủ công nằm ở cùng một nơi trên tất cả các thiết bị – trong Cài đặt > Cài đặt chung > Cập nhật phần mềm.