Apple vá một phần lỗ hổng zero-day mới của macOS

Một lỗ hổng mới phát hiện ảnh hưởng lên nhiều phiên bản macOS vừa được Apple tiến hành vá lỗi một phần.

Phát hiện lỗ hổng zero-day mới trên các phiên bản macOS /// AppleInsider

Phát hiện lỗ hổng zero-day mới trên các phiên bản macOS – AppleInsider

Theo AppleInsider, lỗ hổng zero-day mới được tìm thấy trong tất cả phiên bản macOS, bao gồm cả macOS Big Sur mới nhất. Lỗ hổng cho phép kẻ tấn công thực thi mã tùy chọn từ xa với sự trợ giúp của các tệp được nhúng trong email.

Lỗ hổng được phát hiện bởi nhà nghiên cứu độc lập Park Minchan và được báo cáo với SSD Secure Disclosure, phương thức hoạt động của nó cho phép các tệp có phần mở rộng .inetloc thực thi các lệnh tùy ý mà không cảnh báo với người dùng. Những kẻ tấn công có thể đính kèm các tệp định dạng .inetloc trong email, nếu được nhấp vào, chúng sẽ thực thi mã nhúng cục bộ. Không rõ lỗ hổng này từng được khai thác hay chưa, nhưng những kẻ xấu có thể lợi dụng để mang đến nhiều tác động độc hại cho người dùng Mac.

Các tệp có phần mở rộng .inetloc có thể được coi là dấu trang cho các tài nguyên trực tuyến, chẳng hạn như nguồn cấp dữ liệu RSS hoặc vị trí Telnet. Chúng cũng có thể được sử dụng để tương tác với các tệp cục bộ thông qua giao thức lệnh file://.

Theo báo cáo, Apple đã chặn file:// nhưng với các thay đổi tiền tố như File:// hoặc fIle:// thì chưa thể thực hiện vá lỗi, và điều này cũng cho phép những kẻ tấn công sẽ dễ dàng vượt qua các biện pháp bảo vệ tích hợp sẵn.

Apple trước đó đã phát hành phiên bản beta thứ 7 của macOS Monterey thế hệ tiếp theo để thử nghiệm cho nhà phát triển trước khi ra mắt công chúng dự kiến vào mùa thu năm nay.

Phong Đỗ
(theo báo Thanh Niên)

Tổ Chức Giáo Dục FPTfpt.edu.vn

Hệ Thống Đào Tạo An Ninh Mạng Quốc Tế FPT Jetkingjetking.fpt.edu.vn

FPT Jetking là một trong số ít cơ sở hàng đầu đào tạo ngành an ninh mạng tại Việt Nam. FPT Jetking thuộc Viện Đào tạo quốc tế FPT, là đơn vị liên kết giữa tổ chức giáo dục FPT với Jetking Ấn Độ. FPT Jetking đào tạo chuyên sâu về quản trị hạ tầng an ninh mạng. Sinh viên tại đây có khả năng làm việc ngay sau khi tốt nghiệp trong những lĩnh vực đang là xu hướng mới, có nhu cầu nhân lực lớn trong ngành CNTT toàn cầu như an ninh mạng, quản trị mạng, quản trị hệ thống, điện toán đám mây…