Vào thứ Tư, Apple đã chuyển các bản vá lỗi cho một lỗ hổng bảo mật trong iOS, iPadOS và macOS Sonoma sang các phiên bản cũ hơn sau khi phát hiện lỗ hổng này được sử dụng như một phần của bộ công cụ exploit Coruna.
Lỗ hổng, được theo dõi là CVE-2023-43010, liên quan đến một lỗ hổng không xác định trong WebKit có thể dẫn đến hỏng bộ nhớ khi xử lý nội dung web được tạo ra một cách độc hại. Nhà sản xuất iPhone cho biết vấn đề đã được khắc phục bằng cách xử lý được cải thiện.
"Bản sửa lỗi liên quan đến exploit Coruna này đã được phát hành trong iOS 17.2 vào ngày 11 tháng 12 năm 2023," Apple cho biết trong một bản tư vấn. "Bản cập nhật này mang bản sửa lỗi đó đến các thiết bị không thể cập nhật lên phiên bản iOS mới nhất."
Các bản sửa lỗi cho CVE-2023-43010 ban đầu được Apple phát hành trong các phiên bản sau:
Đợt sửa lỗi mới nhất mang bản vá đến các phiên bản iOS và iPadOS cũ hơn:
- iOS 15.8.7 và iPadOS 15.8.7 - iPhone 6s (tất cả các mẫu), iPhone 7 (tất cả các mẫu), iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ 4) và iPod touch (thế hệ 7)
- iOS 16.7.15 và iPadOS 16.7.15 - iPhone 8, iPhone 8 Plus, iPhone X, iPad thế hệ 5, iPad Pro 9.7 inch và iPad Pro 12.9 inch thế hệ 1
Hơn nữa, iOS 15.8.7 và iPadOS 15.8.7 còn tích hợp các bản vá cho ba lỗ hổng khác liên quan đến exploit Coruna:
- CVE-2023-43000 (Ban đầu được sửa trong iOS 16.6, phát hành ngày 24 tháng 7 năm 2023) - Một vấn đề use-after-free trong WebKit có thể dẫn đến hỏng bộ nhớ khi xử lý nội dung web được tạo ra một cách độc hại.
- CVE-2023-41974 (Ban đầu được sửa trong iOS 17, phát hành ngày 18 tháng 9 năm 2023) - Một vấn đề use-after-free trong kernel có thể cho phép một ứng dụng thực thi arbitrary code với đặc quyền kernel.
- CVE-2024-23222 (Ban đầu được sửa trong iOS 17.3, phát hành ngày 22 tháng 1 năm 2024) - Một vấn đề type confusion trong WebKit có thể dẫn đến arbitrary code execution khi xử lý nội dung web được tạo ra một cách độc hại.
Chi tiết về Coruna đã xuất hiện vào đầu tháng này sau khi Google cho biết bộ công cụ exploit này có 23 exploit qua năm chuỗi được thiết kế để nhắm mục tiêu vào các mẫu iPhone chạy phiên bản iOS từ 13.0 đến 17.2.1. iVerify, đơn vị đang theo dõi framework mã độc sử dụng bộ công cụ exploit này dưới tên CryptoWaters, cho biết nó có những điểm tương đồng với các framework trước đây được phát triển bởi các tác nhân đe dọa liên kết với chính phủ Hoa Kỳ.
Sự phát triển này diễn ra trong bối cảnh có báo cáo rằng Coruna có thể được thiết kế bởi nhà thầu quân sự L3Harris của Hoa Kỳ và có thể đã được chuyển giao cho Operation Zero, một nhà môi giới exploit của Nga, bởi Peter Williams, cựu tổng giám đốc của công ty này, người đã bị kết án hơn bảy năm tù vì bán một số exploit để đổi lấy tiền.
Một khía cạnh thú vị của Coruna là việc sử dụng hai exploit (CVE-2023-32434 và CVE-2023-38606) đã được vũ khí hóa thành các zero-day trong một chiến dịch mang tên Operation Triangulation nhắm vào người dùng ở Nga vào năm 2023. Kaspersky nói với The Hacker News rằng bất kỳ đội ngũ đủ kỹ năng nào cũng có thể tự phát triển exploit của riêng họ, vì cả hai lỗ hổng đều có các triển khai có sẵn công khai.
"Bất chấp nghiên cứu sâu rộng của chúng tôi, chúng tôi không thể gán Operation Triangulation cho bất kỳ nhóm APT hoặc công ty phát triển exploit nào đã biết," Boris Larin, nhà nghiên cứu bảo mật chính tại Kaspersky GReAT, nói với The Hacker News trong một email.
"Nói chính xác: cả Google và iVerify trong nghiên cứu đã công bố của họ đều không tuyên bố rằng Coruna tái sử dụng mã của Triangulation. Điều họ xác định là hai exploit trong Coruna — Photon và Gallium — nhắm vào cùng một lỗ hổng. Đó là một sự phân biệt quan trọng. Theo ý kiến của chúng tôi, việc gán không thể chỉ dựa trên thực tế khai thác các lỗ hổng này."
