Apple phát hành các bản vá bảo mật cho các thiết bị

Cụ thể, lỗ hổng được được phát hiện bởi các nhà nghiên cứu bảo mật tại Google’s Project Zero, có thể đã bị tin tặc “khai thác tích cực”. Lỗi được tìm thấy trong WebKit, công cụ trình duyệt hỗ trợ trình duyệt Safari trên tất cả các thiết bị của Apple.

Theo đó, lỗ hổng trong WebKit cho phép các website độc hại gửi và chèn các đoạn script nguy hiểm vào trong mã nguồn ứng dụng web. Apple đã nhận được báo cáo về lỗ hổng bị lợi dụng ngoài đời.

Bản vá được đưa ra vào thời điểm Apple đang hoàn tất các khâu cuối để phát hành iOS 14.5. iOS 14.5 là bản cập nhật lớn, bao gồm nhiều cải tiến, đáng chú ý nhất là khả năng mở khóa iPhone bằng Apple Watch khi người dùng đeo khẩu trang, giảm bất tiện với Face ID. Nó còn giới thiệu App Tracking Transparency, yêu cầu ứng dụng phải xin phép người dùng trước khi chia sẻ thông tin định danh với bên thứ ba.

Đây là lần thứ ba Apple đã tung ra bản cập nhật chỉ dành cho bảo mật trong năm nay để sửa các lỗi bị tấn công. Đầu tháng này, công ty đã phát hành các bản vá cho các lỗ hổng tương tự trên WebKit.

Trước đó, Apple đã phát hành bản vá lỗi iOS 14.4 với các bản sửa lỗi bảo mật cho ba lỗ hổng, được cho là đang bị tin tặc tấn công tích cực. Gã khổng lồ công nghệ cho biết trong các trang cập nhật bảo mật cho iOS và iPadOS 14.4 rằng ba lỗi ảnh hưởng đến iPhone và iPad “có thể đã được khai thác tích cực”.

Không biết ai đang tích cực khai thác các lỗ hổng hoặc ai có thể đã trở thành nạn nhân. Apple không cho biết liệu cuộc tấn công có nhằm vào một nhóm nhỏ người dùng hay đó là một cuộc tấn công rộng lớn hơn. Apple đã cấp quyền ẩn danh cho cá nhân đã gửi lỗi, lời khuyên cho biết.

Hai trong số các lỗi đã được tìm thấy trong WebKit, công cụ trình duyệt hỗ trợ trình duyệt Safari và Kernel, cốt lõi của hệ điều hành. Một số khai thác thành công sử dụng tập hợp các lỗ hổng được xâu chuỗi lại với nhau, thay vì một lỗ hổng duy nhất. Không có gì lạ khi những kẻ tấn công nhắm mục tiêu đầu tiên vào các lỗ hổng trong trình duyệt của thiết bị như một cách để truy cập vào hệ điều hành cơ bản.

Apple cho biết thông tin chi tiết bổ sung sẽ sớm có nhưng không cho biết khi nào. Vào năm 2019, các nhà nghiên cứu bảo mật của Google đã tìm thấy một số trang web độc hại có chứa mã đã âm thầm xâm nhập vào iPhone của nạn nhân.

Đáng chú ý, để tăng cường bảo mật, giờ đây khi người dùng nâng lên phiên bản hệ điều hành mới sẽ không thể trở lại bản cập nhật trước đây. Mặc dù Apple thường cho phép người dùng quay trở lại phiên bản trước đó trong khoảng 10 ngày sau khi họ cài đặt bản cập nhật, đề phòng trường hợp họ gặp phải một lỗi nghiêm trọng làm gián đoạn hoạt động hàng ngày.

Apple muốn tất cả người dùng của mình đang chạy phiên bản mới nhất để họ được bảo vệ khỏi sự cố và vì bản cập nhật vá một lỗ hổng nghiêm trọng như vậy, nên có nghĩa là công ty đã ngăn người dùng hạ cấp xuống phiên bản cũ hơn.