Công nghệ

iOS 17.4 sửa hai lỗ hổng bảo mật lớn của iPhone



Vào thứ Ba, Apple đã phát hành iOS 17.4 và iPadOS 17.4 cho iPhone và iPad tương thích. Đây là một bản cập nhật quan trọng—ít nhất là nếu bạn sống ở EU, nơi nó giới thiệu các cửa hàng ứng dụng của bên thứ ba và hỗ trợ trình duyệt web không phải WebKit—nhưng phần còn lại của thế giới cũng nhận được một số tính năng mới thú vị, từ bản ghi tự động trong Apple Podcasts tới 118 biểu tượng cảm xúc mới.

Tuy nhiên, các tính năng mới không phải là lý do duy nhất bạn nên ưu tiên bản cập nhật này cho iPhone hoặc iPad của mình. Trên thực tế, bạn nên cập nhật các thiết bị Apple của mình càng sớm càng tốt, vì iOS và iPadOS 17.4 cũng vá hai lỗ hổng bảo mật zero-day lớn.

Cập nhật bảo mật trong iOS và iPadOS 17.4

Mặc dù các bản cập nhật phần mềm mới của Apple thường đi kèm với ghi chú phát hành—danh sách các tính năng, thay đổi và sửa lỗi trong bản cập nhật—công ty thường phát hành ghi chú bảo mật của bản cập nhật chậm hơn. Vài giờ sau khi phát hành bản 17.4, Apple cuối cùng đã ban hành các ghi chú bảo mật, nêu chi tiết bốn bản vá bảo mật mà hãng đưa ra cho iPhone hoặc iPad của bạn.

Hai trong số các bản vá này không quá nghiêm trọng: Một là bản sửa lỗi Trợ năng có thể cho phép ứng dụng đọc thông tin vị trí nhạy cảm, trong khi bản còn lại là bản sửa lỗi Duyệt web riêng tư trên Safari có thể tiết lộ các tab bị khóa của bạn khi chuyển đổi nhóm tab trong trình duyệt riêng tư.

Tuy nhiên, hai lỗ hổng còn lại quan trọng hơn nhiều cần giải quyết. Cả hai bản sửa lỗi, một cho lỗ hổng Kernel (cốt lõi của iOS và iPadOS) và một cho lỗ hổng RTKit (nền tảng kiểm soát chức năng thời gian của iOS và iPadOS), cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ bộ nhớ kernel, điều này sẽ cho phép chúng chiếm lấy trên bộ nhớ được phân bổ cho các chức năng hệ điều hành cơ bản nhất của iPhone hoặc iPad.

Ngoài việc là một mối đe dọa đáng sợ, hai lỗ hổng này còn đặc biệt nghiêm trọng vì Apple đã xác nhận rằng đã có những cách khai thác lỗ hổng này trong tự nhiên. Điều đó có nghĩa là ai đó, ở đâu đó không chỉ biết về hai khuyết điểm này mà còn lợi dụng chúng. Điều đó buộc tất cả chúng ta sở hữu một trong những thiết bị Apple này phải cập nhật càng sớm càng tốt.

Đặc biệt, lỗ hổng Kernel nghiêm trọng đến mức Apple còn phát hành bản cập nhật iOS và iPadOS 16.7.6 cho iPhone 8 trở lên. Họ cũng đã cài đặt iOS và iPadOS 15.8.2 cho iPhone 6S trở lên nhưng không đưa ra ghi chú bảo mật, vì vậy chúng tôi không thể nói chính xác những bản vá cập nhật đó là gì.

Bạn có thể đọc ghi chú bảo mật đầy đủ cho iOS và iPadOS 17.4 bên dưới:

iOS 17.4 và iPadOS 17.4

Phát hành ngày 5 tháng 3 năm 2024

Các mục CVE bổ sung sắp ra mắt.

Khả năng tiếp cận

Có sẵn cho: iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini Thế hệ thứ 5 trở đi

Tác động: Một ứng dụng có thể đọc được thông tin vị trí nhạy cảm

Mô tả: Vấn đề về quyền riêng tư đã được giải quyết nhờ tính năng biên tập dữ liệu riêng tư được cải thiện cho các mục nhật ký.

CVE-2024-23243: Cristian Dinca của Trường Trung học Khoa học Máy tính Quốc gia “Tudor Vianu”, Romania

hạt nhân

Có sẵn cho: iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini Thế hệ thứ 5 trở đi

Tác động: Kẻ tấn công có khả năng đọc và ghi kernel tùy ý có thể vượt qua các biện pháp bảo vệ bộ nhớ kernel. Apple đã biết về một báo cáo cho rằng vấn đề này có thể đã bị khai thác.

Mô tả: Sự cố hỏng bộ nhớ đã được giải quyết bằng tính năng xác thực được cải thiện.

CVE-2024-23225

RTKit

Có sẵn cho: iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini Thế hệ thứ 5 trở đi

Tác động: Kẻ tấn công có khả năng đọc và ghi kernel tùy ý có thể vượt qua các biện pháp bảo vệ bộ nhớ kernel. Apple đã biết về một báo cáo cho rằng vấn đề này có thể đã bị khai thác.

Mô tả: Sự cố hỏng bộ nhớ đã được giải quyết bằng tính năng xác thực được cải thiện.

CVE-2024-23296

Duyệt web riêng tư trên Safari

Có sẵn cho: iPhone XS trở lên, iPad Pro 12,9 inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini Thế hệ thứ 5 trở đi

Tác động: Các tab bị khóa của người dùng có thể hiển thị nhanh trong khi chuyển đổi nhóm tab khi tính năng Duyệt web riêng tư bị khóa được bật

Mô tả: Một vấn đề logic đã được giải quyết bằng cách cải thiện khả năng quản lý trạng thái.

CVE-2024-23256: Om Kothawade

Cách cập nhật iPhone hoặc iPad để bảo vệ thiết bị của bạn

Cho dù bạn đang chạy iOS 17, iOS 16 hay iOS 15, bạn nên cập nhật iPhone hoặc iPad ngay lập tức. Để làm như vậy, hãy đi tới Cài đặt > Cài đặt chung > Cập nhật phần mềm. Cho phép thiết bị của bạn tìm kiếm bản cập nhật mới, sau đó, khi có sẵn, hãy làm theo các hướng dẫn trên màn hình để tải xuống và cài đặt phiên bản mới nhất. Nếu bạn có Cập nhật tự động được bật, thiết bị của bạn có thể tự cập nhật khi được kết nối với nguồn điện và wifi, nhưng quá trình này có thể mất một chút thời gian. Cách nhanh nhất để cập nhật là thực hiện thủ công.



Mẹo vặt hay | Mẹo vặt cuộc sống | Kiến thức hằng ngày

Tin cùng loại

Chip M4 mới của Apple dự kiến ​​sẽ tập trung vào AI

Mẹo Vặt

Những cách tốt nhất để giải phóng dung lượng trên iCloud Power của bạn

Mẹo Vặt

Thực vật có cảm xúc không? Người giải thích khoa học

Mẹo Vặt