Cập nhật iOS 14.8 ngay để tránh lỗi bảo mật

Apple vừa cho ra mắt một bộ các bản cập nhật mới cho iOS, macOS và watchOS đã sửa lỗi bảo mật mà các nhà nghiên cứu tại Citizen Lab cho là rất có thể bị lợi dụng để cho phép các cơ quan chính phủ cài phần mềm gián điệp vào điện thoại của nhà báo, luật sư và nhà hoạt động. Các nhà nghiên cứu nói rằng lổ hỏng này cho phép cài đặt “zero-click” (nghĩa là mục tiêu không cần phải làm gì mới bị nhiễm) của phần mềm gián điệp Pegasus. Phần mềm này được báo cáo rằng đã đánh cắp dữ liệu, mật khẩu và khởi chạy micrô hoặc máy ảnh của điện thoại.

Với mức độ nghiêm trọng của việc khai thác, bạn nên cập nhật lên iOS 14.8, macOS Big Sur 11.6 và watchOS 7.6.2 ngay khi có thể.

Việc khai thác này đã diễn ra vào tháng 8, khi Citizen Lab báo cáo rằng nó đã được sử dụng thành công trên điện thoại chạy iOS 14.6 (phát hành vào tháng 5). Citizen Lab cũng cho biết lỗ hổng có tên mã là “ForcedEntry” này dường như khớp với hành vi của một kẻ khai thác mà Tổ chức Ân xá Quốc tế đã viết vào tháng Bảy. Vào thời điểm đó, các nhà nghiên cứu bảo mật đã viết rằng điều này có thể xảy ra do một lỗi trong hệ thống CoreGraphics của Apple và đã xảy ra khi điện thoại cố gắng sử dụng một chức năng liên quan đến GIF, sau khi nó nhận được một tin nhắn văn bản có chứa một tệp độc hại.

Tuy nhiên, ngay cả với thông tin đó, có thể khó xác định chính xác những gì đang xảy ra nếu không có quyền truy cập vào các tệp bị nhiễm. Theo Citizen Lab, họ đã phát hiện ra các tệp trong khi phân tích lại bản sao lưu từ điện thoại bị tấn công của một nhà hoạt động. Các tệp có vẻ là GIF được gửi dưới dạng tệp đính kèm SMS, nhưng thực tế là PSD và PDF. 

*Ghi chú cập nhật của Apple nói rằng sự cố xảy ra khi xử lý một tệp PDF được tạo thủ công độc hại.

Citizen Lab nghi ngờ rằng họ có thể có liên quan đến Pegasus, vì vậy họ đã gửi hồ sơ cho Apple vào ngày 7 tháng 9. Apple đã nhanh chóng phát hành bản cập nhật phần mềm vá lỗi này vào ngày 13 tháng 9 và gửi lời cảm ơn đến Citizen Lab trong một tuyên bố vì đã “hoàn thành công việc rất khó khăn trong việc lấy mẫu khai thác này”.

Một số bản cập nhật hôm thứ Hai cũng khắc phục sự cố bảo mật khác với WebKit cho iOS và macOS Big Sur (nó không được đề cập trong ghi chú phát hành cho Catalina). Mặc dù không rõ liệu nó có liên quan đến việc khai thác của NSO hay không – phát hiện của nó được cho là do “một nhà nghiên cứu ẩn danh” thay vì Citizen Lab và nó nằm trong một phần khác của hệ thống – Apple vẫn nói rằng nó “có thể đã bị khai thác tích cực”.

Việc kết xuất PDF của CoreGraphics gần đây có vẻ có vấn đề khi nói đến bảo mật. iOS 14.7 cũng bao gồm một bản sửa lỗi cho một vấn đề dường như riêng biệt với hệ thống, điều này cũng có thể dẫn đến việc thực thi mã tùy ý. WebKit gần đây cũng đã có một vài bản cập nhật để khắc phục các vấn đề bảo mật mà Apple cho biết “có thể đã bị khai thác tích cực”. Khi tin tức về việc khai thác CoreGraphics được đưa ra vào tháng 8, Apple đã nói với TechCrunch rằng họ đang làm việc để cải thiện bảo mật cho iOS 15.

Tất cả những điều này như một lời nhắc nhở về tầm quan trọng của việc cập nhật tất cả các thiết bị của bạn. Mặc dù bạn hy vọng không bao giờ thấy mình đứng về phía xấu của chính phủ bằng cách sử dụng phần mềm gián điệp tiên tiến, nhưng bạn vẫn nên đảm bảo rằng thiết bị của mình không dễ bị tấn công bởi các hành vi khai thác bảo mật được báo cáo rộng rãi. Rất may, Apple đang có kế hoạch cho phép người dùng cài đặt bản cập nhật bảo mật cho iOS 14 mà không cần phải nâng cấp lên iOS 15, điều này có thể hữu ích cho bất kỳ bản sửa lỗi nào trong tương lai. Tuy nhiên, hiện tại, hãy cập nhật tất cả các thiết bị của bạn càng sớm càng tốt.

Hiện Vina Aspire đã trở thành đối tác triển khai các dự án của Apple cho Doanh nghiệp chính thức ở Việt Nam giúp Doanh nghiệp bảo mật & an toàn hơn.

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT và An ninh mạng, bảo mật, an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu mua các sản phẩm chính hãng của Apple tại Việt Nam liên hệ Công ty TNHH Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Thegioibantin.com | VinaAspire News