Apple vá các lỗ hổng thực thi mã trên iOS và iPadOS

iOS 14.3 và iPadOS 14.3 là bản vá cho 11 lỗ hổng bảo mật đã được xác nhận. Một số lỗ hổng có mức nghiêm trọng khiến các iPhone và iPad bị tấn công thực thi mã.

Các lỗ hổng nghiêm trọng nhất có thể cho phép những tin tặc khởi chạy mã độc hại trên iPhone và iPad thông qua tệp tin có font chữ chứa các mã độc. Apple đã vá 2 lỗ hổng về lỗi bộ nhớ khác nhau trong cách kiểm duyệt đầu vào của những tệp tin có font chữ nhất định và cảnh báo rằng việc khai thác thành công có thể dẫn đến thực thi mã tùy ý.

Hai lỗ hổng phân tích cú pháp font chữ là CVE-2020-27943 và CVE-2020-27944 được Mateusz Jurczyk của Google Project Zero phát hiện và báo cáo.

Apple cũng ghi nhận ba lỗ hổng bảo mật riêng biệt trong ImageIO, khung giao diện lập trình cho phép các ứng dụng đọc và ghi hầu hết các định dạng tệp hình ảnh. Apple cho biết, họ đã cải thiện xác thực đầu vào để xử lý những lỗ hổng trên ImageIO. Những lỗ hổng này cho phép thực thi mã thông qua những hình ảnh "gài bẫy".

Các bản vá cho iOS và iPadOS còn vá lỗ hổng về logic trong App Store. Lỗ hổng này có thể khiến cho lời nhắc cài đặt ứng dụng doanh nghiệp hiển thị sai tên miền. Một bản vá cho Core Audio cũng được đưa ra. Lỗ hổng trên Core Audio này có thể dẫn đến thực thi mã thông qua các tệp âm thanh lừa đảo có chứa mã độc.