Apple đã xác nhận rằng các thiết bị của họ dễ bị tấn công khai thác cho phép thực thi mã độc hại từ xa thông qua JavaScript dựa trên web, tạo ra một vectơ tấn công có thể khiến các nạn nhân mất tiền điện tử.
Lỗi này, được các nhà nghiên cứu tại nhóm phân tích mối đe dọa của Google phát hiện, cho phép “xử lý nội dung web được chế tạo độc hại”, có thể dẫn đến “tấn công kịch bản chéo trang”.
Apple cũng thừa nhận rằng họ “đã biết về một báo cáo rằng sự cố này có thể đã bị khai thác tích cực trên các hệ thống Mac dựa trên Intel”.
Theo tiết lộ bảo mật gần đây của Apple, người dùng phải sử dụng các phiên bản mới nhất của phần mềm JavaScriptCore và WebKit để vá lỗ hổng.
Ngoài ra, Apple cho biết lỗ hổng trong JavaScriptCore có thể cho phép “xử lý nội dung web được chế tạo độc hại dẫn đến việc thực thi mã tùy ý”. Nói cách khác, tin tặc có thể kiểm soát iPhone hoặc iPad của người dùng nếu họ truy cập một trang web độc hại.
CZ Binance lên tiếng cảnh báo
Cựu giám đốc điều hành Binance, Changpeng Zhao (CZ), đã nhanh chóng chia sẻ thông tin về lỗ hổng này trên X, kêu gọi người dùng Apple cập nhật thiết bị của họ lên phiên bản mới nhất để vá lỗi.
If you use a Macbook with Intel based chip, update asap!
Stay SAFU!https://t.co/mk2Jsicnte
— CZ 🔶 BNB (@cz_binance) November 20, 2024
Các chip M1, M2 và M3 của Apple cũng có thể bị tấn công
Vào tháng 3, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong các chip thế hệ trước của Apple — dòng M1, M2 và M3 có thể cho phép tin tặc đánh cắp các khóa mật mã.
Kỹ thuật khai thác này tận dụng “tải trước”, một quy trình được sử dụng bởi các chip dòng M của chính Apple để tăng tốc tương tác với các thiết bị của công ty. Tải trước có thể bị khai thác để lưu trữ dữ liệu hợp lý trong bộ đệm ẩn của bộ xử lý và sau đó truy cập vào đó để tái tạo khóa mật mã được cho là không thể truy cập.
Thật không may, ArsTechnica báo cáo rằng đây là một vấn đề nghiêm trọng đối với người dùng Apple vì lỗ hổng cấp chip không thể được giải quyết thông qua cập nhật phần mềm. Một cách giải quyết tiềm năng có thể làm giảm bớt vấn đề, nhưng những cách đó đánh đổi hiệu suất để lấy bảo mật.
Lời khuyên cho người dùng Apple
Để bảo vệ tài sản tiền điện tử của mình, người dùng Apple nên:
- Cập nhật ngay lập tức tất cả các thiết bị của mình lên phiên bản phần mềm mới nhất.
- Thận trọng khi truy cập các trang web và không nhấp vào các liên kết đáng ngờ.
- Sử dụng các biện pháp bảo mật bổ sung như xác thực hai yếu tố (2FA) và ví cứng.
- Theo dõi các thông báo và cảnh báo bảo mật từ Apple và các chuyên gia uy tín.
Lỗ hổng zero-day trong Chrome bị tin tặc Triều Tiên khai thác, ae lưu ý sử dụng cẩn thận!
