Apple mới đây đã tung bản cập nhật iOS 13.3.1, người dùng sản phẩm của nhà Táo được khuyến cáo nên cài đặt để vá nhiều lỗ hổng bảo mật quan trọng. 

Cụ thể, bản sửa lỗi bảo mật mới nhất của Apple phát hành hôm thứ ba sẽ khắc phục một loạt lỗi, bao gồm một vài bản vá cho các lỗ hổng rủi ro cao, cho phép thực thi mã từ xa (RCE). Đặc biệt người dùng iPhone 11 quan tâm đến quyền riêng tư thì iOS 13.3.1 cho phép lựa chọn tắt theo dõi thiết bị U1 Ultra-Wideband.

Các bản vá giải quyết các lỗ hổng trong Apple Code Xcode, watchOS, Safari, iTunes cho Windows, iOS, iPadOS, macOS và tvOS. Nghiêm trọng nhất gồm bốn lỗi RCE trong hệ điều hành Apple TV, tvOS – mỗi lỗi được đánh giá mức độ nghiêm trọng cao.

Được đánh dấu với mã CVE-2020-3868, một lỗi RCE tvOS có điểm nghiêm trọng CVSS là 8,8 trên 10, cao nhất trong số các lỗi được vá. Lỗi này liên quan đến nhiều vấn đề hỏng bộ nhớ trong engine trình duyệt Apple là WebKit. Mô tả lỗ hổng nói “Bằng cách thuyết phục nạn nhân truy cập vào một website cài cắm mã độc, kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã tùy ý trên thiết bị hoặc gây từ chối dịch vụ”.

Apple chính thức phát hành iOS 13.3.1 với nhiều bản vá bảo mật

Các lỗi thực thi mã tvOS khác (CVE-2020-3840, CVE-2020-3870, CVE-2020-3878) đều có xếp hạng CVSS là 7.8. Hai trong số các lỗ hổng RCE được gắn với thư viện Imageio Python tvOS, và lỗ hổng còn lại gắn liền với việc sử dụng Apple của bộ giao thức mạng bảo mật IPSec.

Công tắc theo dõi qua U1 Ultra Wideband

Tháng 12 năm ngoái, KrebsOnSecurity lần đầu tiên báo cáo một cơ chế theo dõi trong dòng điện thoại iPhone 11. Việc theo dõi diễn ra cho dù người dùng iPhone 11 có tắt dịch vụ định vị hay không. Sau một số thử thách của tác giả Brian Krebs, ông đã xác định tính năng theo dõi được gắn với việc sử dụng chip U1 của Apple Apple, được giới thiệu vào năm 2019 và sử dụng lần đầu tiên trong thế hệ iPhone 11.

Theo đó, con chip U1 sử dụng công nghệ Ultra-Wideband và nhằm cải thiện hiệu suất các dịch vụ của Apple như AirDrop. Nhưng U1 đã đi xa đến mức cung cấp vị trí chính xác và nhận thức không gian về vị trí iPhone 11 so với các thiết bị khác của Apple trong cùng một phòng. Điều này cho phép ai đó trỏ iPhone 11 của họ vào một chiếc iPhone 11 khác và thiết bị đó sẽ tự động hiển thị ở đầu danh sách AirDrop để truyền tập tin mà không cần khám phá thủ công.

Điều này dấy lên lo ngại chip mới cho phép theo dõi vị trí của người dùng iPhone 11. Để giải quyết vấn đề, Apple hiện đã thêm một công tắc để vô hiệu hóa theo dõi vị trí cho các chức năng mạng và không dây. Với việc phát hành iOS 13.3.1, giờ đây bạn có thể tắt tính năng theo dõi khi tắt dịch vụ định vị hoặc tùy chọn. Để tắt, bạn truy cập vào Cài đặt > Quyền riêng tư > Dịch vụ vị trí > Dịch vụ hệ thống (Settings > Privacy > Location Services > System Services).

Apple đang phải đối mặt với những lời chỉ trích về những gì các nhà phê bình gọi là một bản phát hành hệ điều hành từng phần. Tháng trước, Táo khuyết đã cập nhật lên iOS 13.3, đánh dấu bản cập nhật thứ ba cho iOS và iPadOS 13 kể từ khi ra mắt lần đầu vào ngày 19/9. Kể từ khi phát hành iOS 13, Apple cũng đã phải phát hành một số bản vá bảo mật, bao gồm cả các bản vá cho một lỗi bàn phím và lỗ hổng màn hình khóa.