Apple đã phát hành các bản cập nhật hệ điều hành iOS vào ngày 7/9 để vá hai lỗ hổng zero-day có thể cho phép theo dõi iPhone.
Theo các nhà nghiên cứu bảo mật tại Citizen Lab thuộc Đại học Toronto, tất cả người dùng Apple nên cập nhật hệ điều hành ngay lập tức để vá lỗ hổng.
Tuần trước, khi kiểm tra thiết bị của một cá nhân làm việc tại tổ chức xã hội Washington, Citizen Lab phát hiện một lỗ hổng zero-click đã được khai thác ngoài thực tế, được dùng để cung cấp phần mềm gián điệp Pegasus của NSO Group.
Lỗ hổng có thể xâm phạm iPhone chạy hệ điều hành mới nhất (iOS 16.6) mà không cần tương tác gì từ nạn nhân. CVE-2023-41064, một trong hai lỗ hổng, khiến iPhone, iPad, Mac và Apple Watch dễ bị tấn công hơn khi xử lý “một hình ảnh được tạo ra một cách độc hại”.
CVE-2023-41061 nằm trong chức năng Wallet, phát sinh vấn đề bảo mật nếu thiết bị nhận được “tệp đính kèm được tạo ra một cách độc hại”.
Trong cả hai trường hợp, Apple cho biết đã nhận được báo cáo rằng lỗ hổng có thể đã được khai thác. Citizen Lab thông báo phát hiện cho Apple và hỗ trợ công ty điều tra.
Cập nhật phần mềm mới áp dụng cho macOS Ventura, iOS, iPadOS và watchOS. Các bản vá có mặt trong cập nhật thường xuyên của các sản phẩm, không được dán nhãn là phản ứng an ninh khẩn cấp. Tính đến thời điểm này, công ty đã vá 13 lỗ hổng zero-day trong năm 2023.
Từ khi được phát triển năm 2011, Pegasus được sử dụng trên toàn cầu để theo dõi các đối tượng. Những năm gần đây, nhà chức trách thế giới cố ngăn chặn phần mềm này.
Nghị viện châu Âu kêu gọi các nước thành viên EU ban lệnh cấm. Tổng thống Mỹ Joe Biden đầu năm nay ký sắc lệnh hành pháp cấm chính phủ sử dụng.
Trên iPhone và iPad, người dùng cập nhật hệ điều hành mới qua hình thức OTA bằng cách truy cập Settings > General > Software Update. watchOS 9.6.2 có thể tải về miễn phí qua ứng dụng Apple Watch trên iPhone. Trong khi đó, vào System Settings > Software Update để tải macOS Ventura 13.5.2.
(Theo The Record)