Apple vá nhiều lỗ hổng trong các thành phần Audio

Apple mới phát hành các bản vá nhằm xử lý nhiều lỗ hổng trên những sản phẩm của mình, bao gồm 5 lỗ hổng thực thi mã từ xa trên các thành phần Audio sử dụng các hệ điều hành của hãng này.
17:07 PM 20/07/2020 In bài viết này

5 lỗ hổng được phát hiện ảnh hưởng tới macOS Catalina, trong đó 4 lỗ hổng ảnh hưởng tới iOS, iPadOS, tvOS và watchOS.

Hai lỗ hổng đầu tiên CVE-2020-9884 và CVE-2020-9889 liên quan tới việc ghi dữ liệu ngoài vùng bộ nhớ, trong khi 3 lỗ hổng còn lại là CVE-2020-9888, CVE-2020-9890 và CVE-2020-9891 là các lỗi về đọc ngoài vùng bộ nhớ. Tất cả các lỗ hổng đều có thể bị khai thác bằng cách cung cấp tệp âm thanh lừa đảo độc hại để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.

Apple vá nhiều lỗ hổng thực thi mã từ xa trong các thành phần Audio - Ảnh 1.

Tổng cộng có 19 lỗ hổng được vá trong macOS, bao gồm các lỗ hổng trong Clang, CoreAudio, CoreFoundation, Crash Reporter, Graphics Drivers, Heimdal, ImageIO, Kernel, Mail, Messages, Model I/O, Security, Vim và Wi-Fi.

Những lỗ hổng này có thể dẫn đến thực thi mã tùy ý, lộ lọt thông tin nhạy cảm, sandbox escape (một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại để chúng không thể làm hỏng hệ thống máy tính, hay cài cắm các mã độc nhằm đánh cắp thông tin cá nhân), cấy dữ liệu vào các kết nối hoạt động trong đường hầm VPN, từ chối dịch vụ, bất ngờ ngắt dịch vụ, dừng hệ thống hoặc gây lỗi cho nhân bộ nhớ.

iOS 13.6 và iPadOS 13.6 xử lý tổng cộng 29 lỗ hổng, bao gồm hầu hết các lỗ hổng được vá trong MacOS. 

Những lỗ hổng này có thể dẫn tới thực thi mã, tấn công từ chối dịch vụ, vượt qua các chính sách bảo mật (Same Origin Policy - chính sách bảo mật quan trọng nhất trên trình duyệt hiện đại), chặn thực thi chính sách bảo mật nội dung, vượt qua sự xác thực con trỏ hoặc cấy lệnh.

Bản cập nhật được triển khai cho iPhone 6s, iPad Air 2, iPad mini 4 trở lên, và iPod touch thế thế thứ 7.

TvOS 13.4.8 cũng đã được phát hành với việc vá 20 lỗ hổng trong khi watchOS 6.2.8 xử lý 19 lỗ hổng.

Safari 13.1.2 có trong macOS Mojave và macOS High Sierra và bao gồm trong macOS Catalina, mang đến các bản vá cho tổng cộng 11 lỗ hổng trong Safari Downloads, Login AutoFill, Reader, WebKit, WebKit Page Loading và WebKit Web Inspector.

Apple cũng công bố phát hành iOS 12.4.8 (cho iPhone 5s, iPhone 6 và 6 Plus, iPad Air, iPad mini 2 và 3, iPod touch thế hệ 6), watchOS 5.3.8 (cho Apple Watch Series 1, 2, 3, and 4) và Xcode 11.6 (cho MacOS Mojave 10.15.2 trở lên) nhưng không có lỗ hổng nào được công bố.

Hạnh Tâm
Xem thêm