Apple phát hành bản vá khẩn cấp cho lỗ hổng zero-day
Cụ thể, lỗ hổng định danh CVE-2021-30807 làm hỏng bộ nhớ trong thành phần IOMobileFrameBuffer - một phần mở rộng nhân để quản lý bộ đệm hình ảnh, có thể bị lạm dụng để thực thi mã tùy ý với các đặc quyền của hạt nhân.
Apple đã khắc phục bằng việc cải thiện cách bộ nhớ xử lý dữ liệu bộ đệm hình ảnh và xác nhận lỗ hổng đang bị khai thác tích cực. Chi tiết kỹ thuật về lỗ hổng đã không được tiết lộ. Apple đã ghi nhận một nhà nghiên cứu ẩn danh vì đã phát hiện và báo cáo lỗ hổng bảo mật.
Thời điểm phát hành bản vá đã đặt ra câu hỏi về việc liệu lỗ hổng zero-day này có liên quan đến việc xâm nhập iPhone bằng phần mềm Pegasus của NSO Group không. Pegasus vốn đã trở thành tâm điểm của một loạt các báo cáo điều tra. Phần mềm cho phép xâm nhập các thiết bị iPhone không yêu cầu tương tác của người dùng, nhắm mục tiêu đến các nhà báo, nhà hoạt đông nhân quyền để cấp quyền truy cập vào thiết bị cũng như đánh cắp các dữ liệu nhạy cảm.
M.H