Apple bỏ lỡ việc sửa các lỗ hổng Zero-Day trong macOS Big Sur và Catalina

123

Apple cho biết đã khiến 35–40% tất cả các máy Mac được hỗ trợ dễ bị tấn công do sơ suất.

Apple bỏ qua macOS Big Sur và macOS Catalina khi sửa hai lỗ hổng zero-day

Apple dường như đã bỏ qua macOS Big Sur và macOS Catalina trong khi sửa hai lỗ hổng zero-day mà họ đã vá trong macOS Monterey 12.3.1 vào tuần trước. Các vấn đề được tìm thấy trong khung giải mã âm thanh và video AppleAVD của Apple và trình điều khiển đồ họa Intel. Riêng, Apple đã phát hành bản beta công khai đầu tiên của macOS Monterey 12.4 chỉ một ngày sau khi cung cấp bản cập nhật cho các nhà phát triển. Tuy nhiên, chi tiết chính xác về thời điểm phát hành macOS mới sẽ được cung cấp công khai cho người dùng vẫn chưa được tiết lộ.

Nhà sản xuất phần mềm bảo mật Intego đã ước tính trong một bài đăng trên blog rằng bằng cách không sửa hai lỗ hổng zero-day đã biết, Apple đã chọn làm cho 35–40% tất cả các máy Mac được hỗ trợ dễ bị tấn công. Các lỗ hổng được ghi nhận là CVE-2022-22675 và CVE-2022-22674 đã được sửa cho người dùng trên macOS Monterey thông qua bản cập nhật mới nhất được phát hành vào tuần trước.

CVE-2022-22675 có liên quan đến một lỗi ảnh hưởng đến khung AppleAVD có thể giúp những kẻ tấn công giành được đặc quyền hạt nhân bằng cách sử dụng một ứng dụng để thực thi mã tùy ý, trong khi CVE-2022-22674 là lỗi tồn tại trong trình điều khiển Đồ họa Intel. Sau này có thể cho phép các ứng dụng đọc bộ nhớ hạt nhân.

Vào thời điểm ghi lại các bản sửa lỗi bảo mật vào tuần trước, Apple đã viết trên trang hỗ trợ của mình rằng họ đã biết các báo cáo rằng các vấn đề có thể “đã bị khai thác tích cực bởi những kẻ tấn công”.

Tuy nhiên, gã khổng lồ xứ Cupertino vẫn chưa tung ra các bản sửa lỗi tương tự cho người dùng của mình trên các phiên bản macOS cũ.

Intego cho biết đây là lần đầu tiên kể từ khi phát hành macOS Monterey, Apple bỏ qua việc vá các lỗ hổng được khai thác tích cực cho người dùng macOS Big Sur và macOS Catalina.

Lỗ hổng CVE-2022-22675 cũng tồn tại trong iOS 14 và iPadOS 14, Intego dẫn lời nhà phân tích bảo mật Mickey Jin cho biết. Tuy nhiên, Apple đã ngừng hỗ trợ cả hai phiên bản phần mềm vào tháng Giêng, vì vậy một số lượng lớn người dùng dường như đã chuyển sang iOS 15 hoặc iPadOS 15 – tùy thuộc vào thiết bị mà họ có.

Tuy nhiên, các hệ thống trên macOS Big Sur và Catalina vẫn đủ điều kiện để nhận các bản cập nhật bảo mật. Do đó, không rõ tại sao Apple không phát hành các bản vá cho các hệ thống đó lần này.

Gadgets 360 đã liên hệ với Apple để nhận xét về vấn đề này và sẽ cập nhật bài viết này khi công ty phản hồi.

Intego nói rằng Apple đã không phản hồi yêu cầu cập nhật các phiên bản macOS cũ hơn của họ.

Trong khi các máy chạy macOS Big Sur và Catalina vẫn chưa nhận được bản vá bảo mật mới nhất, Apple đã phát hành bản beta công khai đầu tiên của macOS Monterey 12.4 để thử nghiệm phiên bản hệ điều hành mới. Bản cập nhật đến chỉ một ngày sau khi bản beta được cung cấp cho các nhà phát triển.

Thông tin chi tiết về những tính năng mà macOS Monterey 12.4 public beta mang lại cho người dùng vẫn chưa được tiết lộ. Tuy nhiên, ghi chú phát hành nói rằng Universal Control trong bản cập nhật iPadOS 15.5 và macOS Monterey 12.4 mới không tương thích với các máy chạy macOS 12.3 hoặc iPadOS 15.4, theo báo cáo của MacRumors.

Điều này có nghĩa là người dùng cập nhật máy Mac của họ lên bản phát hành beta mới nhất cần cài đặt bản phát hành beta đầu tiên của iPadOS 15.5 trên iPad của họ để sử dụng tính năng Universal Control.

Bản phát hành beta dành cho nhà phát triển đầu tiên của iPadOS 15.5 có sẵn cùng với iOS 15.5 beta 1.
Người dùng đã đăng ký thử nghiệm beta công khai có thể tìm kiếm bản phát hành macOS Monterey 12.4 bằng cách đi tới Tùy chọn hệ thống> Cập nhật phần mềm sau khi nhấp vào biểu tượng menu Apple. Người dùng mới có thể đăng ký Chương trình Phần mềm Apple Beta từ trang web của Apple. Điều quan trọng là chỉ ra rằng các bản phát hành beta dành riêng cho mục đích thử nghiệm và có khả năng phát sinh lỗi.

 

Comments are closed here.