Apple vá lỗ hổng trong trình duyệt Safari

Chụp màn hình

Tuần này, Apple đã phát hành các bản cập nhật phần mềm quan trọng cho Safari để sửa lỗi bảo mật tồn tại trong trình duyệt trên các nền tảng iPhone, iPad và Mac. Đây là những gì bạn cần biết

Theo Apple, lỗ hổng này có thể cho phép những kẻ xấu "xử lý nội dung web được tạo độc hại" có thể dẫn đến "thực thi mã tùy ý". "

Bản sửa lỗi bổ sung có trong bản cập nhật mới nhất cho macOS Monterey, 12. 5. 1, liên quan đến một lỗ hổng có thể cho phép một ứng dụng "thực thi mã tùy ý với các đặc quyền kernel. "

Nói cách khác, nó có thể cho phép tin tặc truy cập vào lớp sâu nhất của hệ điều hành và kiểm soát hoàn toàn thiết bị bị ảnh hưởng. Apple cho biết họ biết về một báo cáo rằng vấn đề này cũng có thể đã bị khai thác tích cực

Nếu bạn chưa cập nhật, điều quan trọng là phải cập nhật càng sớm càng tốt. Các cập nhật quan trọng mới nhất như sau

• iOS 15. 6. 1
• iPadOS 15. 6. 1
• macOS Monterey 12. 5. 1
• Safari 15. 6. 1 cho macOS Big Sur và macOS Catalina

Để cập nhật iPhone hoặc iPad của bạn, hãy đi tới Cài đặt -> Chung -> Cập nhật phần mềm. Để cập nhật máy Mac của bạn, hãy mở Tùy chọn hệ thống và chọn ngăn tùy chọn Cập nhật phần mềm

Apple đã nhanh chóng vá trình duyệt Safari của mình trước một lỗ hổng bảo mật nghiêm trọng đang ảnh hưởng đến một số hệ điều hành của họ

Safari 15. 6. 1 cho macOS Big Sur và Catalina hiện có sẵn để tải xuống, với bất kỳ ai đang sử dụng các phiên bản đó nên nâng cấp ngay lập tức

Bản sửa lỗi cho CVE-2022-32893 vá lỗ hổng ghi ngoài giới hạn trong WebKit, công cụ của Safari cũng được sử dụng bởi các ứng dụng khác có quyền truy cập web

Lỗi ghi ngoài giới hạn

Apple đã xác nhận rằng lỗ hổng được cho là đã bị khai thác trong thực tế và khi bị lạm dụng, lỗ hổng này cho phép các tác nhân đe dọa thực thi mã từ xa trên một thiết bị dễ bị tấn công.

"Xử lý nội dung web được tạo thủ công độc hại có thể dẫn đến việc thực thi mã tùy ý. Apple đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực," Apple cho biết trong một tư vấn bảo mật (opens in new tab) .

Lỗ hổng ghi ngoài giới hạn xảy ra khi tác nhân đe dọa buộc chương trình đầu vào ghi dữ liệu trước khi bắt đầu hoặc sau khi kết thúc bộ nhớ đệm. Điều đó làm hỏng chương trình, làm hỏng dữ liệu và cho phép các tác nhân đe dọa thực thi mã từ xa. Bản sửa lỗi cho Big Sur và Catalia cũng giống như bản sửa lỗi cho Monterey - thông qua việc kiểm tra giới hạn được cải thiện.  

Đọc thêm

> Có một bản cập nhật bảo mật lớn mới dành cho iOS và macOS, vì vậy hãy cập nhật ngay bây giờ (mở trong tab mới)

> Apple vừa vá toàn bộ lỗi bảo mật của iPad, macOS và iPhone, vì vậy hãy cập nhật ngay bây giờ (mở trong tab mới)

> Luôn cập nhật các bản sửa lỗi với các giải pháp quản lý bản vá tốt nhất hiện có (mở trong tab mới)

Cho rằng lỗ hổng đang được khai thác một cách tự nhiên, Apple sẽ giữ kín vấn đề cho đến khi hầu hết các điểm cuối được vá.  

Công ty cho biết họ đã bị một người dùng ẩn danh tiết lộ về các lỗ hổng, đồng thời nói thêm rằng họ hiện đã cải thiện giới hạn của mình bằng cách kiểm tra cả hai lỗi.

Apple đã có đầy đủ các sửa lỗi zero-day trong năm nay. Vào tháng 1 năm 2022, nó đã sửa hai lỗi như vậy, đó là CVE-2022-22578 và CVE-2022-22594, cho phép thực thi mã tùy ý với các đặc quyền của kernel.  

Một tháng sau, nó sửa lỗi zero-day khác, ảnh hưởng đến iPhone, iPad và máy Mac, đồng thời cho phép các tác nhân đe dọa đánh sập hệ điều hành và chạy thực thi mã từ xa. Vào tháng 3, Apple đã vá lỗi CVE-2022-22674 và CVE-2022-

Apple đã đưa ra 5 bản sửa lỗi bảo mật bao gồm 2 lỗ hổng trong hệ điều hành iPhone, iPad và Mac đã bị khai thác

Một trong số này, được theo dõi là CVE-2022-32917, có thể được sử dụng để cho phép các ứng dụng độc hại thực thi mã tùy ý với các đặc quyền của kernel. "Apple biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực", theo một cảnh báo bảo mật được đăng vào thứ Hai

Nhà cung cấp cho biết họ đã khắc phục lỗ hổng bằng cách kiểm tra giới hạn được cải thiện và đã phát hành các bản vá cho iPhone 6 trở lên, iPad Pro (tất cả các mẫu), iPad Air 2 trở lên và các mẫu iPad 5, iPad mini 4 và iPod touch (thế hệ thứ 7). .  

Nó cũng đã vá lỗi macOS Monterey 12. 6 và macOS Big Sur 11. 7 có thể bị khai thác với cùng một CVE, vì vậy chúng tôi khuyên tất cả người dùng Mac nên dành buổi tối thứ Hai để vá lỗi.  

Có thể trong khi xem Apple TV, ứng dụng này cũng yêu cầu một số bản cập nhật để sửa các lỗi bảo mật trong tvOS 16 — nhưng nhà cung cấp chưa công bố thông tin chi tiết về bản cập nhật đó. Vì vậy, đó là quyết định của bạn liệu Ted Lasso có đáng để mạo hiểm hay không

• Apple ra mắt iPhone 14, Watch 8, những thứ lấp lánh khác
• Google, Apple dẹp lỗi trình duyệt có thể khai thác
• Apple bị các nhà lập pháp Hoa Kỳ cảnh báo về việc sử dụng chip YMTC của Trung Quốc trong iPhone mới
• Người đồng sáng lập Apple Steve Jobs được tưởng niệm bằng kho lưu trữ email trực tuyến, guff

Trong khi đó, Apple cũng phát hành các bản vá cho một lỗi khác (CVE-2022-32894) mà Apple thừa nhận "có thể đã bị khai thác tích cực" trong các máy tính chạy macOS Big Sur 11. 7.  

Điều này xảy ra chưa đầy một tháng sau khi công ty tung ra bản cập nhật bảo mật cho lỗ hổng tương tự trên iPhone và iPad cũ chạy iOS. Apple cho biết vào thời điểm đó, có khả năng những kẻ bất lương cũng đã khai thác lỗi này.

CVE-2022-32894, cũng cho phép các ứng dụng thực thi mã tùy ý với các đặc quyền kernel, là do lỗi ghi ngoài giới hạn. Nhà cung cấp cho biết họ đã sửa lỗi bằng cách kiểm tra giới hạn được cải thiện

Apple đã không tiết lộ bất kỳ chi tiết bổ sung nào về hai lỗ hổng này hoặc cách chúng bị tội phạm mạng khai thác. Cả hai đều được báo cáo bởi những người săn lỗi ẩn danh

Tổng cộng, nhà cung cấp đã phát hành năm bản cập nhật bảo mật vào thứ Hai, bao gồm 16 CVE trên trình duyệt web Safari 16 chạy macOS Big Sur và macOS Monterey, iOS 16 trong iPhone 8 trở lên, macOS Monterey 12. 6, macOS Lớn Sur 11. 7 và iOS 15. 7 và iPadOS 15. 7 trên hầu hết các mẫu sản phẩm iPhone và iPad cũng như các thiết bị cảm ứng iPad thế hệ thứ bảy

Nó cũng hứa sẽ sớm cung cấp "thông tin chi tiết" về các lỗi trong tvOS 16 và watchOS 9, vì vậy hãy tiếp tục nhấn làm mới trên trang cập nhật bảo mật

Các bản sửa lỗi được đưa ra chỉ vài ngày sau khi ra mắt sản phẩm mới nhất của Apple, có tên là "Far Out", giới thiệu iPhone 14, Apple Watch 8 và tai nghe nhét tai AirPods Pro thế hệ thứ hai của công ty. ®

Tại sao tôi nhận được cảnh báo trên Safari?

Safari có được vá lỗi không?

Safari có cảnh báo các trang web độc hại không?

Làm cách nào để sửa lỗi Safari không an toàn?