Apple vá nhiều lỗ hổng trong các thành phần Audio

5 lỗ hổng được phát hiện ảnh hưởng tới macOS Catalina, trong đó 4 lỗ hổng ảnh hưởng tới iOS, iPadOS, tvOS và watchOS.

Hai lỗ hổng đầu tiên CVE-2020-9884 và CVE-2020-9889 liên quan tới việc ghi dữ liệu ngoài vùng bộ nhớ, trong khi 3 lỗ hổng còn lại là CVE-2020-9888, CVE-2020-9890 và CVE-2020-9891 là các lỗi về đọc ngoài vùng bộ nhớ. Tất cả các lỗ hổng đều có thể bị khai thác bằng cách cung cấp tệp âm thanh lừa đảo độc hại để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.

Tổng cộng có 19 lỗ hổng được vá trong macOS, bao gồm các lỗ hổng trong Clang, CoreAudio, CoreFoundation, Crash Reporter, Graphics Drivers, Heimdal, ImageIO, Kernel, Mail, Messages, Model I/O, Security, Vim và Wi-Fi.

Những lỗ hổng này có thể dẫn đến thực thi mã tùy ý, lộ lọt thông tin nhạy cảm, sandbox escape (một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại để chúng không thể làm hỏng hệ thống máy tính, hay cài cắm các mã độc nhằm đánh cắp thông tin cá nhân), cấy dữ liệu vào các kết nối hoạt động trong đường hầm VPN, từ chối dịch vụ, bất ngờ ngắt dịch vụ, dừng hệ thống hoặc gây lỗi cho nhân bộ nhớ.

iOS 13.6 và iPadOS 13.6 xử lý tổng cộng 29 lỗ hổng, bao gồm hầu hết các lỗ hổng được vá trong MacOS. 

Những lỗ hổng này có thể dẫn tới thực thi mã, tấn công từ chối dịch vụ, vượt qua các chính sách bảo mật (Same Origin Policy - chính sách bảo mật quan trọng nhất trên trình duyệt hiện đại), chặn thực thi chính sách bảo mật nội dung, vượt qua sự xác thực con trỏ hoặc cấy lệnh.

Bản cập nhật được triển khai cho iPhone 6s, iPad Air 2, iPad mini 4 trở lên, và iPod touch thế thế thứ 7.

TvOS 13.4.8 cũng đã được phát hành với việc vá 20 lỗ hổng trong khi watchOS 6.2.8 xử lý 19 lỗ hổng.

Safari 13.1.2 có trong macOS Mojave và macOS High Sierra và bao gồm trong macOS Catalina, mang đến các bản vá cho tổng cộng 11 lỗ hổng trong Safari Downloads, Login AutoFill, Reader, WebKit, WebKit Page Loading và WebKit Web Inspector.

Apple cũng công bố phát hành iOS 12.4.8 (cho iPhone 5s, iPhone 6 và 6 Plus, iPad Air, iPad mini 2 và 3, iPod touch thế hệ 6), watchOS 5.3.8 (cho Apple Watch Series 1, 2, 3, and 4) và Xcode 11.6 (cho MacOS Mojave 10.15.2 trở lên) nhưng không có lỗ hổng nào được công bố.