Theo thông báo từ hãng, "Apple nhận thức được một báo cáo cho biết rằng vấn đề này có thể đã được tấn công."
Hai lỗi hổng được phát hiện trong iOS Kernel (CVE-2024-23225) và RTKit (CVE-2024-23296), cả hai đều cho phép kẻ tấn công có khả năng đọc và ghi bộ nhớ kernel một cách tùy ý để bypass các bảo vệ bộ nhớ kernel.
Công ty cho biết họ đã giải quyết các lỗ hổng bảo mật cho các thiết bị chạy iOS 17.4, iPadOS 17.4, iOS 16.76 và iPad 16.7.6 với việc cải thiện kiểm tra dữ liệu đầu vào.
Danh sách các thiết bị Apple bị ảnh hưởng khá nhiều, bao gồm:
- iPhone XS và các phiên bản sau, iPhone 8, iPhone 8 Plus, iPhone X, iPad thế hệ thứ 5, iPad Pro 9.7-inch và iPad Pro 12.9-inch thế hệ thứ nhất.
- iPad Pro 12.9-inch thế hệ thứ hai và các phiên bản sau, iPad Pro 10.5-inch, iPad Pro 11-inch thế hệ thứ nhất và các phiên bản sau, iPad Air thế hệ thứ 3 và các phiên bản sau, iPad thế hệ thứ 6 và các phiên bản sau, và iPad mini thế hệ thứ 5 và các phiên bản sau.
Apple không chia sẻ thông tin về ai đã tiết lộ cả hai lỗ hổng zero-day hay chúng được phát hiện bên trong công ty.
Mặc dù Apple chưa công bố thông tin về việc lợi dụng tiếp tục trong tự nhiên, các lỗ hổng zero-day trên iOS thường được sử dụng trong các cuộc tấn công gián điệp do quốc gia chống lại các cá nhân có nguy cơ cao, như nhà báo, các nhà chính trị đối lập và những người phản đối.
Mặc dù có khả năng các lỗ hổng zero-day này chỉ được sử dụng trong các cuộc tấn công có mục tiêu, việc cài đặt các bản cập nhật bảo mật ngay lập tức là điều được khuyến khích để ngăn chặn các nỗ lực tấn công tiềm ẩn.
Với hai lỗ hổng này, Apple đã sửa ba lỗ hổng zero-day cho đến nay trong năm 2024, với lỗ hổng đầu tiên vào tháng 1.
Năm ngoái, công ty đã sửa tổng cộng 20 lỗ hổng zero-day bị tấn công trong tự nhiên, bao gồm:
- Hai lỗ hổng zero-day (CVE-2023-42916 và CVE-2023-42917) vào tháng 11
- Hai lỗ hổng zero-day (CVE-2023-42824 và CVE-2023-5217) vào tháng 10
- Năm lỗ hổng zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993) vào tháng 9
- Hai lỗ hổng zero-day (CVE-2023-37450 và CVE-2023-38606) vào tháng 7
- Ba lỗ hổng zero-day (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439) vào tháng 6
- Ba lỗ hổng zero-day khác (CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373) vào tháng 5
- Hai lỗ hổng zero-day (CVE-2023-28206 và CVE-2023-28205) vào tháng 4
- Và một lỗ hổng zero-day WebKit khác (CVE-2023-23529) vào tháng 2.