iOS 15.3 được xem là bản cập nhật vá lỗi của Apple dành cho các người dùng iPhone. Một loạt vấn đề về bảo mật đã được khắc phục, trong đó gồm có 10 lỗ hổng đáng chú ý, từ rò rỉ dữ liệu người dùng trên trình duyệt web Safari, khả năng thực thi mã tùy ý, truy cập tệp người dùng thông qua iCloud cho đến lỗ hổng có thể cấp quyền root cho các ứng dụng độc hại.
Và đó là lý do vì sao bạn phải lên ngay iOS 15.3 nếu muốn đảm bảo vá được các lỗi bảo mật, dù cho iOS 15.3 vẫn là bản cập nhật khá thảm hại khi một số người dùng vẫn sẽ gặp tình trạng hao pin và máy nóng nhanh.
Đây là 10 lỗ hổng bảo mật đã được Apple khắc phục trên bản cập nhật iOS 15.3:
[ColorSync]- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Việc xử lý một tệp được tạo thủ công có thể dẫn đến việc thực thi mã tùy ý
- Mô tả: Sự cố hỏng bộ nhớ đã được giải quyết bằng cách cải thiện khả năng xác thực
- CVE-2022-22584: Mickey Jin (@ patch1t) của Trend Micro
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Một ứng dụng độc hại có thể có được đặc quyền root
- Mô tả: Một vấn đề logic đã được giải quyết bằng cách cải thiện khả năng xác thực
- CVE-2022-22578: Nhà nghiên cứu ẩn danh
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Ứng dụng có thể truy cập tệp của người dùng
- Mô tả: Một vấn đề tồn tại trong quá trình xác thực đường dẫn cho các liên kết tượng trưng. Vấn đề này đã được giải quyết bằng tính năng làm sạch đường dẫn.
- CVE-2022-22585: Zhipeng Huo (@ R3dF09) của Tencent Security Xuanwu Lab
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền Kernel
- Mô tả: Sự cố hỏng bộ nhớ đã được giải quyết bằng xác thực đầu vào được cải thiện
- CVE-2022-22587: Nhà nghiên cứu ẩn danh, Meysam Firouzi (@ R00tkitSMM) của MBition – Phòng thí nghiệm Sáng tạo Mercedes-Benz, Siddharth Aeri (@ b1n4r1b01)
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Một ứng dụng độc hại có thể thực thi mã tùy ý với các đặc quyền Kernel
- Mô tả: Sự cố tràn bộ nhớ đệm đã được giải quyết bằng cách cải thiện khả năng xử lý bộ nhớ
- CVE-2022-22593: Peter Nguyễn Vũ Hoàng của STAR Labs
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Việc xử lý tệp STL được tạo thủ công có thể dẫn đến việc thoát ứng dụng không mong muốn hoặc thực thi mã tùy ý
- Mô tả: Cải thiện khả năng quản lý hệ thống
- CVE-2022-22579: Mickey Jin (@ patch1t) của Trend Micro
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Việc xử lý một thông báo thư được tạo thủ công có thể dẫn đến việc chạy javascript tùy ý
- Mô tả: Vấn đề xác thực đã được giải quyết bằng cách cải thiện quá trình làm sạch đầu vào
- CVE-2022-22589: Heige của Nhóm KnowSec 404 và Bo Qu của Palo Alto Networks
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Việc xử lý nội dung web được tạo thủ công có thể dẫn đến việc thực thi mã tùy ý
- Mô tả: Việc sử dụng sau khi vấn đề miễn phí đã được giải quyết với việc quản lý bộ nhớ được cải thiện
- CVE-2022-22590: Toan Pham từ Team Orca of Sea Security
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Ảnh hưởng: Việc xử lý nội dung web độc hại có thể khiến Chính sách bảo mật nội dung không được thực thi
- Mô tả: Một vấn đề logic đã được giải quyết với việc cải thiện quản lý hệ thống
- CVE-2022-22592: Prakash (@ 1lastBr3ath)
- Phạm vi thiết bị: iPhone 6s trở lên, iPad Pro (tất cả các kiểu máy), iPad Air 2 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini 4 trở lên và iPod touch (thế hệ thứ 7)
- Tác động: Một trang web có thể theo dõi thông tin nhạy cảm của người dùng
- Mô tả: Vấn đề nguồn gốc chéo trong API IndexDB đã được giải quyết bằng xác thực đầu vào
- CVE-2022-22594: Martin Bajanik