Chủ sở hữu iPhone, iPad và Mac nên cập nhật hệ điều hành của họ càng sớm càng tốt. Mới nhất vá chứa bản cập nhật bảo mật quan trọng cho hai lỗ hổng mà tin tặc hiện đang khai thác. Cả hai vấn đề đều liên quan đến cách WebKit đọc bộ nhớ. WebKit là công cụ trình duyệt làm nền tảng cho Safari và các ứng dụng thiết yếu khác của Apple.
Lỗ hổng đầu tiên (CVE-2023-42916) là lỗ hổng đọc ngoài giới hạn cho phép đọc thông tin từ RAM vượt quá giới hạn của một mảng. Lỗ hổng có thể khiến WebKit tiết lộ dữ liệu nhạy cảm trong khi xử lý nội dung web. Vấn đề thứ hai (CVE-2023-42917) là lỗ hổng hỏng bộ nhớ mà Apple đã giải quyết bằng tính năng khóa được cải tiến. Lỗ hổng bảo mật có thể cho phép thực thi mã tùy ý khi đọc nội dung web.
Mặc dù các kỹ sư của Apple đã đưa bản vá này vào iOS 17.1.2, iPadOS 17.1.2 và macOS Sonoma 14.1.2 nhưng Apple vẫn nhận được báo cáo rằng tin tặc đã khai thác các lỗ hổng tương tự trong các phiên bản trước 16.7.1. Google và Apple vẫn chưa xác định được các tác nhân độc hại.
Hơn nữa, trong khi bản cập nhật macOS nhắm đến Sonoma, người dùng Monterey và Ventura nên cài đặt bản cập nhật cho Safari để giải quyết các vấn đề. Các bản cập nhật dành cho thiết bị di động ảnh hưởng đến iPhone từ XS, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, tất cả iPad Pro 10,5 inch và 11 inch, iPad Air thế hệ thứ 3 trở lên, iPad mini thế hệ thứ 5 và thứ 6, và tất cả iPad kể từ thế hệ thứ 6.
Nhóm phân tích mối đe dọa của Google gần đây khá bận rộn vì đây là nhóm lỗ hổng nghiêm trọng thứ hai mà nhóm này phát hiện trong tuần này. Công ty gần đây đã phát hành bản cập nhật cho Chrome nhằm giải quyết một số lỗi bảo mật.
Một trong những lỗ hổng của Chrome (CVE-2023-6350) là sự cố đọc ngoài giới hạn tương tự như lỗi ảnh hưởng đến hệ thống của Apple, ảnh hưởng đến quá trình xử lý tệp avif. Các vấn đề khác mà bản cập nhật đã giải quyết bao gồm các lỗ hổng hỏng bộ nhớ use-after-free trong nhiều phần của Chrome, vấn đề nhầm lẫn về loại kiểm tra chính tả và tràn số nguyên. Người dùng Chrome chưa cập nhật lên phiên bản 119.0.6045.200 nên cập nhật càng sớm càng tốt.
Đầu tháng này, Google cũng mô tả nó đã phát hiện ra một lỗ hổng zero-day đã ảnh hưởng đến máy chủ email Zimbra Collaboration, ảnh hưởng đến nhiều tổ chức chính phủ quốc tế. Các rủi ro bao gồm đánh cắp email, thông tin xác thực và mã thông báo xác thực.