Apple cho biết bản cập nhật iOS 18.1.1,áthànhbảncậpnhậtmớikhắcphụchailỗhổngbảomậtnguyhiểkết quả bóng đá cardiff iPadOS 18.1.1 và macOS Sequoia 15.1.1 giúp khắc phục hai lỗ hổng liên quan đến WebKit và JavaScriptCore, hiện đang bị khai thác tích cực trong tự nhiên.

Lỗ hổng JavaScriptCore

Lỗ hổng này liên quan đến việc xử lý nội dung web, có thể dẫn đến việc thực thi mã tùy ý. Apple nhận được báo cáo về việc lỗ hổng này có thể đã bị khai thác tích cực trên các hệ thống Mac sử dụng chip Intel.

Các thiết bị bao gồm iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12,9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên có thể bị ảnh hưởng bởi lỗ hổng JavaScriptCore.

Apple phát hành hai bản cập nhật khẩn cấp khắc phục lỗ hổng bảo mật nguy hiểm

Lỗ hổng WebKit

Lỗ hổng này liên quan đến việc xử lý nội dung web, có thể dẫn đến tấn công XSS. Các thiết bị bị ảnh hưởng bao gồm iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12,9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên.

Nếu đang sử dụng các thiết bị kể trên, người dùng nên cập nhật phiên bản iOS 18.1.1, iPadOS 18.1.1, macOS 15.1.1 bằng cách vào Settings (cài đặt) > General (cài đặt chung) > Software Update (cập nhật phần mềm) > Download and Install (tải về và cài đặt).

Lưu ý, để hạn chế tối đa các rủi ro, người dùng nên sao lưu lại toàn bộ dữ liệu trên thiết bị thông qua iTunes hoặc iCloud. Apple khuyến cáo người dùng nên cập nhật thiết bị càng sớm càng tốt. Việc chậm trễ cập nhật có thể khiến thiết bị trở thành mục tiêu tấn công của tin tặc.

Được biết, lỗ hổng bảo mật có tên “CVE-2024-44308” ảnh hưởng đến JavaScriptCore, một thành phần quan trọng trong trình duyệt Safari. Nếu người dùng vô tình truy cập vào một trang web chứa mã độc khai thác lỗ hổng này, tin tặc có thể lợi dụng để thực thi mã độc, từ đó chiếm quyền kiểm soát hoàn toàn thiết bị.

Lỗ hổng thứ hai mang tên “CVE-2024-44309” có liên quan đến WebKit. Nó cho phép tin tặc lợi dụng các trang web độc hại để chèn mã độc vào trình duyệt. Điều này có thể dẫn đến việc đánh cắp thông tin cá nhân, thay đổi nội dung trang web hoặc thậm chí điều khiển một phần hành vi của trình duyệt.

Apple xác nhận rằng chỉ các máy Mac sử dụng chip Intel mới bị tấn công. Thiết bị Apple sử dụng chip M (Apple Silicon) như MacBook M, iPhone, iPad và Vision Pro hiện chưa ghi nhận bất kỳ cuộc tấn công nào liên quan đến các lỗ hổng bảo mật vừa được vá.

Tuy nhiên, việc phần mềm được phát hành rộng rãi cho nhiều thiết bị Apple khác nhau cho thấy các lỗ hổng này có thể bị khai thác trên đa nền tảng. Vì vậy, ngay cả khi người dùng đang sử dụng iPhone, iPad hoặc Vision Pro, việc cập nhật lên iOS 17.7.2, macOS Sequoia hoặc phiên bản mới nhất cho Vision Pro vẫn cần thiết.

Bảo Linh

(责任编辑：Nhà cái uy tín)