Một bản cập nhật khác của Apple? Đây là lý do tại sao điều này thực sự quan trọng

Bài học chính

• Apple đã tung ra các bản vá bảo mật cho các lỗ hổng JavaScriptCore và WebKit trên nhiều hệ điều hành của mình.
• Những hoạt động khai thác bảo mật zero-day này lần đầu tiên được xác định bởi Nhóm phân tích mối đe dọa (TAG) của Google.
• Hiện đã có các bản vá bảo mật không dây và bạn nên tải xuống và cài đặt các bản cập nhật này.

Chữa lành vết thương trong cả tuần thông báo phần cứng Mac mớiApple đã chuyển sang nỗ lực khắc phục một lỗ hổng bảo mật lớn được tìm thấy trên các hệ điều hành của mình. Theo công ty, những lỗ hổng này có liên quan đến công nghệ công cụ web JavaScriptCore và WebKit, vốn làm nền tảng cho chức năng truy cập internet.

Những bản vá này có dạng macOS Sequoia 15.1.1, iOS 18.1.1, iPadOS 18.1.1, VisionOS 2.1.1. và Safari 18.1.1. Apple cũng đã đi trước và tung ra các bản cập nhật cho các hệ thống cũ chạy macOS Sequoia 15.x, iOS 17.x và iPadOS 17.x.

Liên quan đến lỗ hổng JavaScriptCore, Apple cho biết “việc xử lý nội dung web được tạo độc hại có thể dẫn đến việc thực thi mã tùy ý”. Đối với lỗ hổng bảo mật WebKit, công ty cho biết “việc xử lý nội dung web được tạo độc hại có thể dẫn đến một cuộc tấn công bằng tập lệnh chéo trang”.

Trong cả hai trường hợp, công ty đã giải quyết các hành vi khai thác thông qua “kiểm tra được cải thiện” và “quản lý nhà nước được cải thiện”. Các bản vá bảo mật xx1 này hiện được cung cấp rộng rãi cho tất cả người dùng thông qua các bản cập nhật qua mạng (OTA).

Những lỗ hổng bảo mật này nghiêm trọng đến mức nào?

Không rõ liệu có thiết bị nào trong thế giới thực bị xâm phạm hay không

Theo Apple, họ biết rằng vấn đề này “có thể đã bị khai thác tích cực trên Máy Mac dựa trên Intel system.” Không có thông tin nào về việc liệu có bất kỳ máy Mac dựa trên Apple Silicon hay bất kỳ thiết bị di động nào của công ty bị khai thác tích cực hay không, vẫn còn nhiều điều chưa rõ ràng. Bản chất của các hoạt động khai thác “zero day” như thế này cũng vậy, trong đó Lỗ hổng ban đầu không được công ty phần mềm biết đến, thông tin vẫn còn thưa thớt trong khi các cuộc điều tra diễn ra.

Điều thú vị là có vẻ như chính Google là người đầu tiên vạch trần những điểm yếu về bảo mật này.

Điều thú vị là, có vẻ như ban đầu Google đã làm sáng tỏ những điểm yếu về bảo mật này – Nhóm phân tích mối đe dọa (TAG) của công ty, chuyên chống lại các cuộc tấn công do chính phủ hậu thuẫn, đã xác định các mối đe dọa và báo cáo chúng cho Apple. Đây có thể là dấu hiệu cho thấy những hành vi khai thác này có thể đã được sử dụng bởi những kẻ xấu tinh vi, chẳng hạn như các cơ quan chính phủ đối nghịch.

Phản ứng nhanh chóng của Apple đối với các lỗ hổng bảo mật này là điều đáng chú ý – đặc biệt là cam kết vá các lỗ hổng trên các thiết bị cũ không chạy phiên bản macOS, iOS và iPadOS mới nhất. Trong mọi trường hợp, tất cả người dùng Apple nên tải xuống và cài đặt các bản vá bảo mật mới nhất này để được bảo vệ và không gặp rủi ro nhất có thể.

Pocket-lint đã liên hệ với Apple để yêu cầu bình luận và sẽ cập nhật câu chuyện này kèm theo phản hồi nếu chúng tôi nhận được.