Mới nhất
Tiêu điểm
Bình luận
Share
Email
Cơ quan liên bang của Hoa Kỳ ban hành cảnh báo lỗ hổng bảo mật cho các thiết bị Apple
Một cơ quan liên bang đã gửi một cảnh báo trong tuần này về một lỗ hổng ảnh hưởng đến iPhone và các sản phẩm tương tự. Theo đó, các cơ quan có ba tuần để khắc phục.
Tuần trước (29/01-04/02), một cơ quan liên bang của Hoa Kỳ đã gửi cảnh báo về một lỗ hổng ảnh hưởng đến iPhone, iPad, Macbook, và các thiết bị khác của Apple, nói rằng lỗ hổng này có thể dẫn đến các vi phạm an ninh nghiêm trọng.
Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), một cơ quan trực thuộc Bộ An ninh Nội địa Hoa Kỳ, cho biết hôm 30/01 rằng lỗi này, được đặt tên là CVE-2022-48618, có thể vượt qua được “xác thực con trỏ.” Họ nói rằng việc không sửa lỗi có thể gây ra rủi ro “đáng kể” cho “doanh nghiệp liên bang” của Hoa Kỳ.
Bản tin cũng cho biết CISA đã ban hành một “chỉ thị hoạt động ràng buộc” để đề ra các bản cập nhật nhằm khắc phục lỗ hổng, yêu cầu các cơ quan dân sự liên bang “khắc phục các lỗ hổng đã được xác định trước ngày đến hạn để bảo vệ” “mạng lưới của họ trước các mối đe dọa đang hoạt động.”
Theo CISA, các cơ quan có khoảng ba tuần để khắc phục lỗ hổng này. Thời hạn được ấn định là ngày 21/02/2024.
Nhưng CISA cũng đã cảnh báo rằng cơ quan này “mạnh mẽ kêu gọi tất cả các tổ chức”, chẳng hạn như các công ty, ứng phó với lỗi này.
Trên một trang web khác, các quan chức cho biết lỗ hổng đã được khắc phục trong macOS Ventura 13.1, watchOS 9.2, iOS 16.2, iPadOS 16.2, và tvOS 16.2. Bản tin cho biết, “Một kẻ tấn công với khả năng đọc và viết tùy ý có thể vượt qua Xác thực Con trỏ. Apple đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác trên các phiên bản iOS được phát hành trước iOS 15.7.1.”
Trong một thông báo khác hồi tháng trước (01/2024), CISA đã gửi lời khuyên cho người dùng iPhone và những người dùng iOS khác cập nhật thiết bị của họ để giải quyết một vấn đề bảo mật khác.
“Apple đã phát hành bản cập nhật bảo mật cho iOS và iPadOS, macOS, Safari, watchOS, và tvOS. Một tác nhân tấn công mạng có thể khai thác một vài trong số những lỗ hổng này để chiếm quyền kiểm soát hệ thống bị ảnh hưởng,” CISA cho biết hôm 23/01. Sau đó, cơ quan này khuyến nghị người dùng nên cập nhật phần mềm của họ.
Như thường lệ, Apple đã cung cấp một số chi tiết về các nội dung sửa lỗi trong bản cập nhật mới nhất, áp dụng cho iPhone và iPad. Nhưng một trong những lỗi đã được khắc phục, được biết đến với tên gọi là CVE-2024-23222, là một lỗ hổng trong WebKit, chạy trình duyệt Safari, có thể cho phép một tác nhân thực thi mã trên một thiết bị.
“Việc chạy nội dung web được tạo ra một cách độc hại có thể dẫn đến việc thực thi mã tùy ý. Apple đã biết về một báo cáo rằng lỗ hổng này có thể đã bị khai thác,” đại công ty công nghệ có trụ sở tại Cupertino này cho biết hôm 22/01.
Theo trang trợ giúp của Apple, một số lỗi khác ảnh hưởng đến WebKit, Safari, đến việc cài đặt lại các dịch vụ, thư điện tử, kernel (lỗi của hệ điều hành), v.v., đã được sửa trong bản cập nhật nêu trên.
Hai vấn đề về WebKit cũng có thể dẫn đến việc thực thi mã từ xa, trong khi vấn đề về kernel có thể cho phép kẻ tấn công thực thi mã thông qua một ứng dụng.
Công ty này cho biết, “Để bảo vệ khách hàng của chúng tôi, Apple không tiết lộ, thảo luận, hoặc xác nhận các vấn đề bảo mật cho đến khi một cuộc điều tra đã diễn ra và có sẵn bản vá hoặc bản sửa lỗi. Các bản phát hành gần đây được liệt kê trên trang phát hành bảo mật của Apple.”
Hồi tháng Chín, cơ quan an ninh mạng liên bang đã chỉ thị các cơ quan khác khắc phục một lỗ hổng có thể lây nhiễm vào iPhone thông qua phần mềm gián điệp (spyware) gây tranh cãi mang tên Pegasus của NSO Group, được cho là được sử dụng để giám sát các cá nhân ở các quốc gia khác cũng như iPhone của các cá nhân tại một tổ chức xã hội dân sự có trụ sở tại Hoa Thịnh Đốn.
Đây là cách cập nhật
Bản cập nhật sẽ là tự động đối với nhiều người dùng iPhone, nhưng còn tùy thuộc vào cài đặt điện thoại của họ.
Người dùng có thể truy cập mục Cài đặt của iPhone trước khi nhấn vào mục Cài đặt chung, sau đó nhấn vào Cập nhật Phần mềm để tải xuống và cài đặt iOS 17.3 (hoặc iOS 16.7.5 hoặc iOS 15.8.1 cho các mẫu cũ hơn), cũng như các bản sửa lỗi bảo mật nói trên. Bản tải xuống đó có thể được truy cập bất kể người dùng bật hay tắt cập nhật tự động.
Nhật Thăng biên dịch
Quý vị tham khảo bản gốc từ The Epoch Times
