iOS 16.5 của Apple Sửa 3 Lỗ hổng Bảo mật Đã Bị Tận Dụng trong Các Cuộc Tấn công

Apple, Google, và Microsoft đã phát hành các bản vá lớn trong tháng này để sửa nhiều lỗ hổng bảo mật đã được sử dụng trong các cuộc tấn công. Tháng 5 cũng là một tháng quan trọng đối với phần mềm doanh nghiệp, khi GitLab, SAP và Cisco phát hành bản vá cho nhiều lỗi trong sản phẩm của họ.

Dưới đây là mọi thứ bạn cần biết về các cập nhật bảo mật được phát hành trong tháng 5.

Apple vừa phát hành bản cập nhật iOS 16.5 được chờ đợi từ lâu, giải quyết 39 vấn đề, trong đó có ba vấn đề đã bị tận dụng trong các cuộc tấn công thực tế. Bản nâng cấp iOS vá lỗ hổng trong Kernel tại trung tâm của hệ điều hành và trong WebKit, động cơ điều khiển trình duyệt Safari. Ba lỗ hổng đã bị tận dụng thuộc trong số năm lỗ hổng đã được vá trong WebKit—được theo dõi qua các mã CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373.

CVE-2023-32409 là một vấn đề có thể cho phép kẻ tấn công thoát khỏi Web Content sandbox từ xa, được báo cáo bởi Clément Lecigne của Google's Threat Analysis Group và Donncha Ó Cearbhaill của Amnesty International’s Security Lab. CVE-2023-28204 là một lỗ hổng có nguy cơ người dùng tiết lộ thông tin nhạy cảm. Cuối cùng, CVE-2023-32373 là một lỗi use-after-free có thể kích hoạt thực thi mã tùy ý.

Trong tháng này, Apple đã phát hành iOS 16.4.1 (a) và iPadOS 16.4.1 (a)—bản cập nhật đáp ứng nhanh bảo mật đầu tiên của Apple—sửa lỗi hai lỗ hổng WebKit đã bị tận dụng cũng được vá trong iOS 16.5.

Apple đã phát hành iOS và iPadOS 16.5 cùng với iOS 15.7.6 và iPadOS 15.7.6 cho các mẫu iPhone cũ, cũng như iTunes 12.12.9 cho Windows, Safari 16.5, macOS Big Sur 11.7.7, macOS Ventura 13.4, và macOS Monterey 12.6.6.

Apple cũng đã phát hành bản cập nhật bảo mật đầu tiên cho tai nghe Beats và AirPods.

Patch Tuesday giữa tháng của Microsoft sửa 40 vấn đề bảo mật, trong đó có hai lỗ hổng zero-day đã bị tận dụng trong các cuộc tấn công. Lỗ hổng zero-day đầu tiên, CVE-2023-29336, là một lỗi nâng cao đặc quyền trong trình điều khiển Win32k có thể cho phép kẻ tấn công có được đặc quyền Hệ thống.

Lỗ hổng nghiêm trọng thứ hai, CVE-2023-24932, là một vấn đề vượt qua tính năng an toàn Secure Boot có thể cho phép một kẻ tấn công có đặc quyền thực thi mã. "Một kẻ tấn công thành công có thể vượt qua Secure Boot," Microsoft nói, thêm vào đó là lỗ hổng khó khăn để khai thác: "Khai thác thành công lỗ hổng này yêu cầu một kẻ tấn công phải đánh bại chứng chỉ quản trị trên thiết bị."

Bản cập nhật bảo mật không phải là một sửa lỗi đầy đủ: Nó giải quyết vấn đề bằng cách cập nhật Windows Boot Manager, điều này có thể gây ra vấn đề, cảnh báo từ công ty. Các bước bổ sung là cần thiết vào thời điểm này để giảm thiểu lỗ hổng, Microsoft nói, chỉ ra các bước người dùng bị ảnh hưởng có thể thực hiện để giảm thiểu vấn đề.

Google đã phát hành các bản vá bảo mật Android mới nhất, sửa 40 lỗ hổng, bao gồm một lỗ hổng Kernel đã bị tận dụng. Các bản cập nhật cũng bao gồm sửa lỗi cho các vấn đề trong Android Framework, System, Kernel, MediaTek, Unisoc và các thành phần Qualcomm.

Vấn đề nghiêm trọng nhất trong số này là một lỗ hổng bảo mật cấp độ cao trong thành phần Framework có thể dẫn đến việc gia tăng đặc quyền cục bộ, Google nói, thêm vào đó là cần tương tác của người dùng để khai thác.

Trước đây đã được liên kết với các nhà cung cấp phần mềm đánh cắp thương mại, CVE-2023-0266 là một vấn đề Kernel có thể dẫn đến việc gia tăng đặc quyền cục bộ. Không cần tương tác của người dùng để khai thác.

Bản tin An ninh Android tháng 5 có sẵn cho các thiết bị bao gồm cả điện thoại thông minh và máy tính bảng Pixel của Google, cũng như một số thiết bị trong dòng Galaxy của Samsung.

Google đã phát hành Chrome 113, bao gồm 15 bản vá cho trình duyệt phổ biến của mình. Một trong những lỗ hổng được vá là CVE-2023-2459, một lỗi triển khai không phù hợp trong Prompts được đánh giá có mức độ nghiêm trọng vừa.

CVE-2023-2461 là một vấn đề use-after-free có mức độ nghiêm trọng vừa trong OS Inputs, và CVE-2023-2462, CVE-2023-2463, CVE-2023-2464, và CVE-2023-2465 là những lỗ hổng triển khai không phù hợp có mức độ nghiêm trọng vừa.

Google cũng vá một số lỗ hổng triển khai không phù hợp trong Chrome được đánh giá là có độ nghiêm trọng thấp.

Trong khi đó, Google thông báo rằng họ đang triển khai một hệ thống đánh giá chất lượng mới cho các báo cáo lỗ hổng bảo mật. Hệ thống sẽ đánh giá báo cáo là chất lượng Cao, Trung bình, hoặc Thấp dựa trên mức độ chi tiết được cung cấp. “Chúng tôi tin rằng hệ thống mới này sẽ khuyến khích các nhà nghiên cứu cung cấp các báo cáo chi tiết hơn, điều này sẽ giúp chúng tôi giải quyết các vấn đề được báo cáo nhanh chóng hơn và giúp nhà nghiên cứu nhận được phần thưởng tiền thưởng cao hơn,” Google nói thêm, và cho biết các lỗ hổng chất lượng cao nhất và quan trọng nhất hiện có khả năng nhận phần thưởng lên đến 15.000 đô la.

Nền tảng GitLab, một nền tảng DevOps mã nguồn mở, đã phát hành một bản cập nhật bảo mật để sửa một lỗ hổng lớn. Được theo dõi với tên là CVE-2023-2825, lỗ hổng đánh lạc hướng đường dẫn có thể cho phép một người dùng độc hại không xác thực đọc các tệp tin tùy ý trên máy chủ. Không cần phải nói, vấn đề này là nghiêm trọng—nó đã được đánh giá bằng điểm CVSS là 10.

Bản cập nhật, phiên bản 16.0.1 cho GitLab Community Edition (CE) và Enterprise Edition (EE), chỉ cần thiết cho các cài đặt đang chạy 16.0.0 và không ảnh hưởng đến các phiên bản trước đó. Đây là một vấn đề nghiêm trọng, GitLab nói trong một hướng dẫn. “Chúng tôi mạnh mẽ khuyến nghị rằng tất cả các cài đặt đang chạy một phiên bản bị ảnh hưởng bởi các vấn đề mà chúng tôi mô tả nên được nâng cấp lên phiên bản mới nhất càng sớm càng tốt.”

Cisco, ông trùm phần mềm doanh nghiệp, đã khắc phục nhiều lỗ hổng trong giao diện người dùng dựa trên web của một số Switch Dòng Small Business của Cisco có thể cho phép một kẻ tấn công từ xa chưa được xác thực gây ra tình trạng từ chối dịch vụ (DoS) hoặc thực thi mã tùy ý với đặc quyền root.

Với điểm cơ bản CVSS là 9.8, CVE-2023-20159 là một lỗ hổng tràn bộ đệm ngăn xếp có thể bị khai thác bằng cách gửi một yêu cầu được tạo thông qua giao diện người dùng dựa trên web, theo Cisco cho biết.

Cũng với điểm cơ bản CVSS là 9.8, CVE-2023-20160, CVE-2023-20161 và CVE-2023-20189 là các lỗ hổng tràn bộ đệm ngăn xếp chưa được xác thực. Trong khi đó, CVE-2023-20024, CVE-2023-20156 và CVE-2023-20157 là các vấn đề tràn bộ đệm heap chưa được xác thực trong giao diện người dùng dựa trên web của các Switch Dòng Small Business của Cisco có thể cho phép một kẻ tấn công từ xa chưa được xác thực gây ra tình trạng từ chối dịch vụ (DoS).

Nhà sản xuất phần mềm SAP đã phát hành 25 ghi chú bảo mật mới và cập nhật trong Ngày Bảo mật tháng 5 năm 2023 của mình, bao gồm một bản vá cho một lỗ hổng với điểm CVSS là 9.8. CVE-2021-44152 là một vấn đề trong Reprise RLM 14.2 có thể cho phép một kẻ tấn công chưa được xác thực thay đổi mật khẩu của bất kỳ người dùng hiện tại nào.

Trong khi đó, CVE-2023-28762 bao gồm các lỗ hổng tiết lộ thông tin trong Nền tảng Trí tuệ SAP BusinessObjects. Lỗ hổng mới nhất và quan trọng nhất “cho phép một kẻ tấn công được xác thực có đặc quyền quản trị lấy token đăng nhập của bất kỳ người dùng hoặc máy chủ BI đã đăng nhập nào qua mạng mà không cần bất kỳ tương tác nào từ người dùng,” công ty bảo mật Onapsis nói.