Thư iOS có lỗi bảo mật ‘nghiêm trọng’

0
12
Thư iOS có lỗi bảo mật ‘nghiêm trọng’

Cơ quan an ninh mạng liên bang Đức đã đưa ra cảnh báo kêu gọi tất cả người dùng iOS cài đặt các bản cập nhật bảo mật mới nhất của Apple để vá lỗi hai lỗ hổng bảo mật nhấp chuột không tác động đến ứng dụng email mặc định của công ty.

Các lỗ hổng được phát hiện đầu tiên bởi công ty bảo mật có trụ sở tại Hoa Kỳ Zec trong đó phát hiện ra rằng họ đang bị khai thác tích cực trong các cuộc tấn công nhắm vào người dùng iOS kể từ ít nhất là tháng 1 năm 2018. Apple đã thừa nhận các lỗi bảo mật mặc dù công ty cho biết họ đã không tìm thấy bằng chứng nào đối với khách hàng.

Trong nó cảnh báo, BSI (Bundesamt für Sicherheit in der Informationstechnik) nhấn mạnh tầm quan trọng của việc cài đặt các bản cập nhật ngay lập tức, cho biết:

Sau đó, Apple Apple đã phát hành bản cập nhật bảo mật với iOS 12.4.7, iOS 13,5 và iPadOS 13,5 để khắc phục các lỗ hổng cho tất cả các phiên bản iOS bị ảnh hưởng. Do mức độ nghiêm trọng của các lỗ hổng, BSI khuyến nghị rằng bản cập nhật bảo mật tương ứng phải được cài đặt trên tất cả các hệ thống bị ảnh hưởng ngay lập tức.

Lỗ hổng không nhấp chuột

Cả hai lỗi bảo mật ảnh hưởng đến ứng dụng Mail của Apple đều là các lỗ hổng không nhấp chuột do vấn đề tiêu thụ bộ nhớ và chúng có thể được kích hoạt sau khi ứng dụng xử lý một tin nhắn độc hại. Lỗ hổng đầu tiên, được theo dõi là CVE-2020-9819, có thể dẫn đến tham nhũng trong khi lỗ hổng thứ hai, được theo dõi là CVE-2020-9818, có thể dẫn đến sửa đổi bộ nhớ hoặc chấm dứt ứng dụng bất ngờ.

May mắn thay, Apple đã giải quyết các lỗ hổng với việc phát hành iOS 13,5 và iPadOS 13,5, giúp cải thiện khả năng xử lý bộ nhớ và kiểm tra giới hạn. Các lỗ hổng ảnh hưởng đến iPhone 6S trở lên, iPad Air 2 trở lên, iPad mini 4 trở lên và iPod touch thế hệ thứ 7, theo iOS 13,5 ghi chú phát hành bảo mật.

Trong một bài viết trên blog, ZecOps giải thích cách một nhà điều hành mối đe dọa nhà nước quốc gia tận dụng các lỗ hổng để tấn công các mục tiêu cao cấp, nói:

Chúng tôi tin rằng các cuộc tấn công này có mối tương quan với ít nhất một nhà điều hành mối đe dọa quốc gia hoặc quốc gia đã mua khai thác từ một nhà nghiên cứu bên thứ ba trong lớp Proof of Concept (POC) và sử dụng ‘như hiện trạng’ hoặc với sửa đổi nhỏ (do đó chuỗi 4141..41). Mặc dù ZecOps không quy kết các cuộc tấn công này cho một tác nhân đe dọa cụ thể, chúng tôi biết rằng ít nhất một tổ chức tin tặc cho thuê tin tặc đang bán khai thác sử dụng các lỗ hổng tận dụng địa chỉ email làm định danh chính.

Mặc dù các mục tiêu cấu hình cao có nguy cơ cao nhất, nhưng chúng tôi vẫn khuyến nghị tất cả người dùng iOS cài đặt các bản cập nhật bảo mật mới nhất của Apple để tránh trở thành nạn nhân của bất kỳ cuộc tấn công tiềm năng nào khai thác hai lỗ hổng.

Thông qua Máy tính



Nguồn TechRadar

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây