Apple đã lặng lẽ tung ra nhiều bản cập nhật hơn cho iOS để khắc phục lỗ hổng bảo mật zero-day được khai thác tích cực mà hãng đã vá vào đầu tháng này trên các thiết bị mới hơn. Lỗ hổng được tìm thấy trong WebKit, có thể cho phép kẻ tấn công tạo nội dung Web độc hại cho phép thực thi mã từ xa (RCE) trên thiết bị của người dùng.
Một bản cập nhật được phát hành hôm thứ Tư, iOS 12.5.6, áp dụng cho các kiểu máy sau: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 và iPod touch thế hệ thứ 6.
Lỗ hổng trong câu hỏi (CVE-2022-32893) được Apple mô tả là sự cố ghi ngoài giới hạn trong WebKit. Nó đã được giải quyết trong bản vá với việc kiểm tra giới hạn được cải thiện. Apple thừa nhận rằng lỗi này đang được khai thác tích cực và họ kêu gọi người dùng các thiết bị bị ảnh hưởng cập nhật ngay lập tức.
Apple đã vá lỗ hổng cho một số thiết bị - cùng với một lỗ hổng nhân được theo dõi là CVE-2022-32894 - đầu tháng XNUMX trong iOS 15.6.1. Đó là một bản cập nhật bao gồm iPhone 6S trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7).
Nhà truyền giáo bảo mật Paul Ducklin cho biết, đợt vá lỗi mới nhất dường như là Apple bao phủ tất cả các cơ sở của mình bằng cách bổ sung bảo vệ cho iPhone chạy các phiên bản iOS cũ hơn.
“Chúng tôi đoán rằng Apple chắc hẳn đã gặp phải ít nhất một số người dùng điện thoại cũ (hoặc có nguy cơ cao hoặc cả hai) bị xâm phạm theo cách này và quyết định triển khai biện pháp bảo vệ cho mọi người như một biện pháp phòng ngừa đặc biệt, " anh đã viết trong một bài đăng trên blog Sophos Naked Security.
Ducklin giải thích, việc Apple áp dụng biện pháp kép để sửa lỗi trong cả hai phiên bản iOS là do sự thay đổi trong các phiên bản nền tảng chạy trên iPhone, Ducklin giải thích.
Trước khi Apple phát hành iOS 13.1 và iPadOS 13.1, iPhone và iPad đã sử dụng cùng một hệ điều hành, được gọi là iOS cho cả hai thiết bị, ông nói. Hiện tại, iOS 12.x bao gồm các thiết bị iPhone 6 trở về trước, trong khi iOS 13.1 trở lên chạy trên iPhone 6s và các thiết bị được phát hành sau đó.
Lỗ hổng zero-day khác mà Apple đã vá hồi đầu tháng này, CVE-2022-32894, là lỗ hổng kernel có thể cho phép chiếm quyền kiểm soát toàn bộ thiết bị. Nhưng mặc dù iOS 13 bị ảnh hưởng bởi lỗ hổng đó - và do đó đã có bản vá cho nó trong bản cập nhật trước đó - nhưng nó không ảnh hưởng đến iOS 12, Ducklin nhận xét, "điều này gần như chắc chắn tránh được nguy cơ bị xâm phạm hoàn toàn của chính hệ điều hành" trên các phiên bản cũ hơn. thiết bị.
WebKit: Bề mặt tấn công mạng rộng rãi
WebKit là công cụ trình duyệt hỗ trợ Safari và tất cả các trình duyệt bên thứ ba khác hoạt động trên iOS. Bằng cách khai thác CVE-2022-32893, kẻ đe dọa có thể xây dựng nội dung độc hại vào một trang web. Sau đó, nếu ai đó truy cập trang web từ iPhone bị ảnh hưởng, diễn viên có thể thực thi phần mềm độc hại từ xa trên thiết bị của họ.
WebKit nói chung đã là một cái gai dai dẳng đối với Apple khi khiến người dùng gặp phải các lỗ hổng vì nó lây lan ra ngoài iPhone và các thiết bị Apple khác sang các trình duyệt khác sử dụng nó - bao gồm Firefox, Edge và Chrome - khiến hàng triệu người dùng có thể gặp rủi ro từ một lỗi nhất định.
Ducklin nhận xét: “Hãy nhớ rằng lỗi WebKit tồn tại, nói một cách lỏng lẻo, ở lớp phần mềm bên dưới Safari, vì vậy trình duyệt Safari của Apple không phải là ứng dụng duy nhất gặp rủi ro từ lỗ hổng này”.
Ngoài ra, bất kỳ ứng dụng nào hiển thị nội dung web trên iOS cho các mục đích khác ngoài trình duyệt thông thường — chẳng hạn như trong các trang trợ giúp, "Trong khoảng" màn hình hoặc thậm chí trong một “trình duyệt nhỏ” tích hợp sẵn - sử dụng WebKit dưới mui xe, ông nói thêm.
“Nói cách khác, chỉ ‘tránh Safari’ và sử dụng trình duyệt của bên thứ ba không phải là giải pháp phù hợp [đối với lỗi WebKit],” Ducklin viết.
Apple đang bị tấn công
Các chuyên gia cho biết, trong khi người dùng cũng như các chuyên gia thường coi nền tảng Mac và iOS của Apple là an toàn hơn Microsoft Windows - và điều này nhìn chung đúng vì một số lý do - thì tình thế đang bắt đầu thay đổi.
Thật vậy, một cảnh quan mối đe dọa đang nổi lên cho thấy sự quan tâm nhiều hơn đến việc nhắm mục tiêu vào các công nghệ Web phổ biến hơn chứ không phải bản thân hệ điều hành đã mở rộng mục tiêu trên lưng Apple, theo một báo cáo về mối đe dọa được phát hành vào tháng 1 và chiến lược vá lỗi phòng thủ của công ty phản ánh điều này.
Apple đã vá ít nhất bốn lỗ hổng zero-day trong năm nay, với hai bản vá cho các lỗ hổng iOS và macOS trước đó Tháng một và một trong Tháng Hai - phần sau đã khắc phục một sự cố khác được khai thác tích cực trong WebKit.
Hơn nữa, năm ngoái 12 trong số 57 mối đe dọa zero-day mà các nhà nghiên cứu từ Project Zero của Google theo dõi có liên quan đến Apple (tức là hơn 20%), với các vấn đề ảnh hưởng đến macOS, iOS, iPadOS và WebKit.
