Ngày 26/3, Apple đã phát hành bản cập nhật iOS/iPadOS 14.4.2, iOS 12.5.2 và watchOS 7.3.3 cho iPhone, iPad và Apple Watch.
Theo 9to5mac, phiên bản này được vá lỗi bảo mật liên quan đến bộ dựng WebKit, cho phép kẻ xấu khai thác trình duyệt để tấn công thiết bị bằng website độc hại, còn được gọi là UXSS (Universal Cross-Site Scripting).
Apple vừa vá lỗ hổng nghiêm trọng trên iPhone, iPad. Ảnh: The Verge. |
Do tính chất nghiêm trọng của lỗ hổng, Apple cũng phát hành bản cập nhật iOS 12.5.2 để vá lỗi cho những thiết bị không hỗ trợ iOS 14, bao gồm iPhone 5s, iPhone 6, iPad mini thế hệ 3, iPad Air đời đầu và iPod touch thế hệ 6.
Theo Gizmodo, lỗ hổng USXX của WebKit được phát hiện bởi nhà nghiên cứu Clement Lecigne và Billy Leonard từ đội ngũ phân tích mối đe dọa của Google. Apple cho biết lỗi này đã được khai thác trong thực tế, nhưng không nêu rõ lượng máy bị tấn công.
Người dùng được yêu cầu cập nhật iOS 14.4.2 để tránh lỗ hổng bảo mật. Ảnh: 9to5mac. |
Người dùng iPhone, iPad có thể vào Cài đặt > Cài đặt chung > Cập nhật phần mềm để kiểm tra và cập nhật thiết bị trong thời gian sớm nhất.
Đây không phải lần đầu các chuyên gia bảo mật phát hiện lỗ hổng trên iPhone. Tháng 12/2020, nhà nghiên cứu bảo mật Ian Beer thuộc nhóm Project Zero của Google đã phát hiện lỗ hổng xuất hiện trong giao thức mạng độc quyền Apple Wireless Direct Link (AWDL), dùng cho tính năng AirDrop và Sidecar trên iPhone, iPad.
Theo Beer, lỗi bảo mật này cho phép kẻ tấn công truy cập từ xa vào dữ liệu cá nhân của người dùng bao gồm email, ảnh, tin nhắn, mật khẩu được mã hóa...
Trước đó, nhóm chuyên gia tại Project Zero cũng đã phát hiện lỗ hổng “zero-click” trên iOS, tạo điều kiện cho kẻ xấu chiếm quyền điều khiển máy bằng hình ảnh chứa mã độc. Những lỗ hổng này đã được khắc phục trên các bản iOS gần đây.
Sau iOS 14.4.2, Apple đang phát triển iOS 14.5, bản cập nhật lớn cho iPhone, iPad. Một trong những tính năng đáng chú ý là mở khóa iPhone bằng Apple Watch khi đeo khẩu trang, hộp thoại xin quyền theo dõi người dùng (App Tracking Transparency) và khả năng chọn ứng dụng phát nhạc mặc định cho Siri. Bản cập nhật dự kiến được phát hành trong tháng 4-5.