Bản cập nhật mới của iOS và iPadOS vá ba lỗ hổng bảo mật có thể bị những kẻ tấn công khai thác tích cực và hiện chưa được biết đến. Bản tin bảo mật của Apple cho biết các bản cập nhật đã khắc phục một lỗ hổng trong nhân, được chỉ định là CVE-2021-1782 và hai lỗ hổng trong công cụ kết xuất trình duyệt WebKit làm nền tảng cho Safari, CVE-2021-1870 và CVE-2021-1871.
Trong trường hợp đầu tiên, Apple cho biết họ ghi nhận một báo cáo rằng vấn đề này có thể đã được khai thác tích cực và ghi nhận việc phát hiện ra lỗ hổng từ một nhà nghiên cứu ẩn danh. Lỗ hổng trong nhân sẽ cho phép một lệnh độc hại có thể đánh bại một lệnh được ủy quyền để đến bước tiếp theo trong một quy trình tấn công, từ đó cho phép nâng cao đặc quyền cho ứng dụng so với chỉ định của hệ điều hành đó.
Các lỗ hổng trong công cụ kết xuất trình duyệt WebKit là kết quả của “một vấn đề logic”, cho phép thực hiện hầu hết mọi thứ và thực thi mã tùy ý, chạy phần mềm độc hại bởi kẻ tấn công từ xa qua internet.
Ngoài những thông tin nói trên, đến thời điểm hiện tại không rõ cụ thể liên quan đến các lỗ hổng. Không rõ những người đã phát hiện ra các lỗ hổng cũng như liệu kẻ gian có thể khai thác và tấn công người dùng hay không. Apple hứa hẹn sẽ sớm có thông tin chi tiết bổ sung.
Được biết, hầu hết các lỗi bảo mật nhắm vào iOS được tiết lộ đã bị khai thác trong tự nhiên, nhưng chúng chỉ được sử dụng trong các cuộc tấn công có chủ đích chống lại những người hoặc nhóm cụ thể. Nhưng điều đó không có nghĩa là người dùng lơ là trước lỗ hổng, vì vậy việc cập nhật lên iOS 14.4 và iPadOS 14.4 là cần thiết. Để cập nhật, người dùng có thể vào Cài đặt > Cài đặt chung > Cập nhật phần mềm./.