Theo nhà nghiên cứu bảo mật Natalie Silvanovich của Project Zero, lỗ hổng thứ nhất có định danh CVE-2019-8646, nằm trong thành phần Siri và Core Data của iOS. Lỗ hổng này có thể cho phép tin tặc truy cập từ xa nội dung của các tệp được lưu trữ trên thiết bị iOS mà không cần sự tương tác của người dùng.
Lỗ hổng thứ 2 có định danh CVE-2019-8660. Đây là lỗ hổng bộ nhớ cũng nằm trong thành phần Siri và Core Data của iOS. Nếu được khai thác thành công sẽ cho phép tin tặc tấn công từ xa, gây ra ngừng ứng dụng đột ngột hoặc thực thi mã tùy ý. Lỗ hổng phát sinh khi giải mã một đối tượng của lớp NSKnownKeyDipedia1.
Hai lỗ hổng tiếp theo có định danh CVE-2019-8647 và CVE-2019-8662, đều là lỗ hổng use-after-free cho phép tin tặc thực thi mã tùy ý từ xa mà không cần sự tương tác của người dùng.
Cụ thể, lỗ hổng CVE-2019-8647 là lỗ hổng use-after-free, cho phép tấn công từ xa thông qua ứng dụng iMessage, nằm trong Core Data của iOS. Lỗ hổng tồn tại trong quá trình giải tuần tự hóa (deserialization) khi sử dụng initArithCoder của NSArray. Lỗ hổng CVE-2019-8662 cũng tương tự như CVE-2019-8647, cho phép khai thác từ xa thông qua iMessage. Tuy nhiên, lỗ hổng này tồn tại trong thành phần QuickLook của iOS.
Lỗ hổng thứ 5 được định danh CVE-2019-8641, cho phép tin tặc tấn công từ xa, gây ra ngừng ứng dụng đột ngột hoặc thực thi mã tùy ý.
Trong số các lỗ hổng được phát hiện, có 04 lỗ hổng đã được giải quyết với phiên bản iOS 12.4 được phát hành vào ngày 22/7. Tuy nhiên, tính đến thời điểm hiện tại lỗ hổng CVE-2019-8641 vẫn chưa có bản vá khắc phục.
Ngoài 5 lỗ hổng trên, một lỗ hổng khác cũng vừa được các nhà nghiên cứu của Google phát hiện và đã được giải quyết có định danh CVE-2019-8624, tác động đến hệ điều hành watchOS của Apple. Lỗ hổng này nằm trong thành phần Digital Touch của watchOS, ảnh hưởng đến Apple Watch Series 1 trở lên. Bản vá lỗ hổng được cung cấp trong watchOS 5.3.
Toàn Thắng
Theo SecurityWeek
09:00 | 13/06/2019
08:00 | 30/01/2019
09:16 | 14/04/2017
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024
