Apple vừa vá 37 lỗi bảo mật trên iPhone — Cập nhật iOS

Tháng bảy đã được một tháng cập nhật quan trọng, bao gồm các bản vá cho các lỗ hổng đã được khai thác trong các sản phẩm của Microsoft và Google. Tháng này cũng chứng kiến ​​bản cập nhật iOS đầu tiên của Apple sau tám tuần, sửa hàng chục lỗi bảo mật trên iPhone và iPad.

Các lỗ hổng bảo mật cũng tiếp tục tấn công các sản phẩm doanh nghiệp, với các bản vá lỗi vào tháng 7 được phát hành cho phần mềm SAP, Cisco và Oracle. Dưới đây là những gì bạn cần biết về các lỗ hổng bảo mật đã được khắc phục vào tháng Bảy.

Apple iOS 15.6

Apple đã phát hành iOS và iPadOS 15.6 để sửa chữa 37 lỗi bảo mật, bao gồm một vấn đề trong Hệ thống tệp của Apple (APFS) được theo dõi là CVE-2022-32832. Theo trang hỗ trợ của Apple, nếu bị khai thác, lỗ hổng này có thể cho phép một ứng dụng thực thi mã với các đặc quyền hạt nhân, cấp cho nó quyền truy cập sâu vào thiết bị của bạn.

Các bản vá lỗi iOS 15.6 khác khắc phục các lỗ hổng trong nhân và công cụ trình duyệt WebKit, cũng như các lỗ hổng trong IOMobileFrameBuffer, Audio, iCloud Photo Library, ImageIO, Apple Neural Engine và GPU Drivers.

Apple không biết về bất kỳ lỗ hổng đã vá nào được sử dụng trong các cuộc tấn công, nhưng một số lỗ hổng khá nghiêm trọng – đặc biệt là những lỗ hổng ảnh hưởng đến nhân ở trung tâm của hệ điều hành. Cũng có thể các lỗ hổng được xâu chuỗi với nhau trong các cuộc tấn công, vì vậy hãy đảm bảo bạn cập nhật càng sớm càng tốt.

Các bản vá lỗi iOS 15.6 đã được phát hành cùng với watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Big Sur 11.6.8 và macOS Catalina 10.15.7 2022-005.

Google Chrome

Google đã phát hành một bản vá khẩn cấp cho trình duyệt Chrome của mình vào tháng 7, khắc phục bốn sự cố, bao gồm cả lỗ hổng zero-day đã được khai thác. Theo dõi là CVE-2022-2294 và được các nhà nghiên cứu Avast Threat Intelligence báo cáo, lỗ hổng bảo mật bộ nhớ trong WebRTC đã bị lạm dụng để thực thi shellcode trong quy trình kết xuất của Chrome.

Lỗ hổng này đã được sử dụng trong các cuộc tấn công có chủ đích nhằm vào người dùng Avast ở Trung Đông, bao gồm cả các nhà báo ở Lebanon, để cung cấp phần mềm gián điệp có tên là DevilsTongue.

Dựa trên phần mềm độc hại và các chiến thuật được sử dụng để thực hiện cuộc tấn công, Avast quy việc sử dụng Chrome zero-day cho Candiru, một công ty có trụ sở tại Israel chuyên bán phần mềm gián điệp cho các chính phủ.

Bản vá thứ ba của Microsoft

Bản vá thứ ba tháng 7 của Microsoft là một bản vá lớn, sửa chữa 84 vấn đề bảo mật bao gồm một lỗ hổng đã được sử dụng trong các cuộc tấn công trong thế giới thực. Lỗ hổng, CVE-2022-22047, là một lỗ hổng báo cáo đặc quyền cục bộ trong máy chủ Windows Client / Server Runtime Subsystem (CSRSS) và các nền tảng Windows máy khách, bao gồm các bản phát hành Windows 11 và Windows Server 2022 mới nhất. Theo Microsoft, kẻ tấn công có thể khai thác thành công lỗ hổng bảo mật có thể có được các đặc quyền của Hệ thống.

Trong số 84 vấn đề được vá trong Bản vá thứ Ba tháng 7 của Microsoft, 52 lỗi là lỗi leo thang đặc quyền, 4 lỗi là lỗ hổng bỏ qua tính năng bảo mật và 12 lỗi thực thi mã từ xa.

Các bản vá bảo mật của Microsoft đôi khi gây ra các vấn đề khác và bản cập nhật tháng 7 cũng không khác gì: Sau bản phát hành, một số người dùng nhận thấy các ứng dụng thời gian chạy MS Access không mở. Rất may, công ty đang tung ra một bản sửa lỗi.

Bản tin bảo mật tháng 7 của Android

Google đã phát hành bản cập nhật tháng 7 cho hệ điều hành Android của mình, bao gồm bản sửa lỗi cho lỗ hổng bảo mật nghiêm trọng trong thành phần Hệ thống có thể dẫn đến thực thi mã từ xa mà không cần thêm đặc quyền.

Google cũng đã khắc phục các sự cố nghiêm trọng trong nhân – có thể dẫn đến tiết lộ thông tin — và khuôn khổ, có thể dẫn đến leo thang đặc quyền cục bộ. Trong khi đó, các bản vá lỗi dành riêng cho nhà cung cấp từ MediaTek, Qualcomm và Unisoc có sẵn nếu thiết bị của bạn đang sử dụng các chip đó. Các thiết bị của Samsung đang bắt đầu nhận được bản vá lỗi vào tháng 7 và Google cũng đã phát hành các bản cập nhật cho dòng sản phẩm Pixel của mình.

nhựa cây

Nhà sản xuất phần mềm SAP đã ban hành 27 ghi chú bảo mật mới và cập nhật trong khuôn khổ Ngày bản vá bảo mật tháng 7, sửa nhiều lỗ hổng bảo mật mức độ nghiêm trọng cao. Được theo dõi là CVE-2022-35228, vấn đề nghiêm trọng nhất là lỗi tiết lộ thông tin trong bảng điều khiển quản lý trung tâm của nền tảng Đối tượng kinh doanh của nhà cung cấp.

Theo công ty bảo mật Onapsis, lỗ hổng này cho phép kẻ tấn công không được xác thực lấy thông tin mã thông báo qua mạng. “May mắn thay, một cuộc tấn công như thế này sẽ yêu cầu một người dùng hợp pháp truy cập vào ứng dụng,” công ty cho biết thêm. Tuy nhiên, điều quan trọng vẫn là vá lỗi càng sớm càng tốt.

Oracle

Oracle đã phát hành 349 bản vá trong Bản cập nhật Bản vá Quan trọng vào tháng 7 năm 2022, bao gồm các bản sửa lỗi cho 230 lỗ hổng có thể được khai thác từ xa.

Bản cập nhật bản vá tháng 4 của Oracle bao gồm 520 bản sửa lỗi bảo mật, một số trong số đó giải quyết được CVE-2022-22965, hay còn gọi là Spring4Shell, một lỗ hổng thực thi mã từ xa trong khung mùa xuân. Bản cập nhật tháng 7 của Oracle tiếp tục giải quyết vấn đề này.