Apple đã xác nhận vào thứ Hai rằng các thiết bị của họ đã bị lộ ra lỗ hổng cho phép thực thi mã độc từ xa thông qua JavaScript dựa trên web, mở ra một vector tấn công có thể khiến những nạn nhân không ngờ bị mất tiền mã hóa của họ.
Theo một bản công bố bảo mật gần đây của Apple, người dùng phải sử dụng các phiên bản mới nhất của phần mềm JavaScriptCore và WebKit của họ để vá lỗ hổng này.
Lỗ hổng này, được các nhà nghiên cứu của nhóm phân tích mối đe dọa của Google phát hiện, cho phép "xử lý nội dung web được tạo cố ý", có thể dẫn đến "tấn công script giao diện người dùng chéo".
Đáng lo ngại hơn, Apple cũng thừa nhận rằng "họ biết về một báo cáo cho rằng vấn đề này có thể đã được khai thác tích cực trên các hệ thống Mac dựa trên Intel".
Apple cũng đã phát hành bản công bố bảo mật tương tự cho người dùng iPhone và iPad. Ở đây, họ nói rằng lỗ hổng JavaScriptCore cho phép "xử lý nội dung web được tạo cố ý có thể dẫn đến thực thi mã tùy ý".
Nói cách khác, Apple đã nhận thức được một lỗ hổng bảo mật có thể cho phép tin tặc kiểm soát iPhone hoặc iPad của người dùng nếu họ truy cập vào một trang web độc hại. Một bản cập nhật sẽ giải quyết vấn đề này, Apple cho biết.
Jeremiah O'Connor, Giám đốc Công nghệ và đồng sáng lập của công ty an ninh mạng tiền mã hóa Trugard, cho biết với Decrypt rằng "những kẻ tấn công có thể truy cập vào dữ liệu nhạy cảm như khóa riêng tư hoặc mật khẩu" được lưu trữ trong trình duyệt của họ, cho phép đánh cắp tiền mã hóa nếu thiết bị của người dùng chưa được vá.
Những tiết lộ về lỗ hổng trong cộng đồng tiền mã hóa bắt đầu lan truyền trên mạng xã hội vào thứ Tư, với Giám đốc điều hành cũ của Binance Changpeng Zhao đưa ra cảnh báo trong một tweet khuyên người dùng Macbook có bộ vi xử lý Intel nên cập nhật càng sớm càng tốt.
Sự phát triển này đi theo các báo cáo vào tháng Ba cho biết các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong các chip thế hệ trước của Apple - dòng M1, M2 và M3 - có thể cho phép tin tặc đánh cắp các khóa mật mã.
Lỗ hổng này, mặc dù không phải là mới, lợi dụng "prefetching", một quy trình được sử dụng bởi chính các chip dòng M của Apple để tăng tốc tương tác với các thiết bị của công ty. Prefetching có thể bị khai thác để lưu trữ dữ liệu nhạy cảm trong bộ nhớ cache của bộ vi xử lý và sau đó truy cập nó để tái tạo một khóa mật mã mà được cho là không thể truy cập được.
Đáng tiếc, ArsTechnica báo cáo rằng đây là một vấn đề đáng kể đối với người dùng Apple vì lỗ hổng cấp độ chip không thể được giải quyết thông qua một bản cập nhật phần mềm.
Một giải pháp tạm thời có thể giảm nhẹ vấn đề này, nhưng những giải pháp đó sẽ đánh đổi hiệu suất để đổi lấy bảo mật.
Được chỉnh sửa bởi Stacy Elliott và Sebastian Sinclair
