Hôm nay Apple vừa đưa ra 10 phiên bản cập nhập về vấn đề bảo mật dành cho iPhone, trong đó có 7 liên quan đến trình duyệt MobileSafari. Đối với các iPhone dùng SIM của các hãng khác ngoài AT&T, rất nhiều máy bị báo lỗi "SIM có vấn đề" khi nâng cấp bản firmware 1.1.1 này.

Việc cập nhập lần này chỉ thực hiện trên các trang cho download của iTunes và không có tác dụng với các trang của Apple. Người dùng nên xem phiên bản của iPhone sau khi chấp nhận việc nâng cấp lên 1.1.1 (3A109a). Apple cũng dự định sẽ từ chối việc thảo luận các vấn đề bảo mật nghiêm trọng sắp xảy ra mà không được đưa ra lần này "Chúng tôi không phơi bày, thảo luận hay thừa nhận các vấn đề bảo mật cho đến khi toàn bộ cuộc điều tra xảy ra và bất cứ bản vá cần thiết đưa ra để bảo vệ khách hành của chúng tôi."

Bluetooth

Bản vá này có tác dụng với tất cả khách hành của Apple iPhone và có mã cập nhập là CVE-2007-3753 khắc phục lỗi: Bằng cách gửi các gói có mã độc hại bằng giao thức SDP tới iPhone thông qua Bluetooth, hacker trong phạm vi cho phép có thể chiếm quyền điều khiển bằng các ứng dụng không mong đợi hay các đoạn code thực thi. Chính vì vậy Apple nhờ Kevin Mahaffey và John Hering của nhóm bảo mật Flexilis Mobile Security khắc phục lỗi này.

Cuộc tấn công man-in-the-middle vào Mail

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3783 khắc phục lỗi: Khi Mail được thiết lập cấu hình SSL trong việc thực hiên hay nhận kết nối, nó không cảnh báo người dùng khi nhận ra mail server đã bị thay đổi hoặc không an toàn và có thể dính vào cuộc tấn công man-in-the-middle.

Mail telephone link

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3755 khắc phục lỗi : Bằng cách lôi kéo người dùng với các đường link điện thoại đi kèm trong tin nhắn, hacker có thể chuyển hướng iPhone tới một cuộc gọi khác mà không cần người dùng thực hiện. Và Apple đã nhờ Andi Baritchi của hãng bảo mật McAfee xử lý lỗi này

Safari1

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3756 khắc phục lỗi : Hiện tại mẫu thiết kế trong trình duyệt Safari cho phép trang Web đọc các URL chung một cửa sổ , bằng cách lôi kéo người sử dụng ghé qua các trang Web có mã độc hại, hacker có thể ăn cắp các URL của các trang không liên quan. Vì vậy Apple đã ủy nhiệm cho Michal Zalewski của Google và nhóm bảo mật Secunia Research sữa lỗi này.

Safari2

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3757 khắc phục lỗi Safari hỗ trợ cho các điện thoại và điện thoại quay số. Khi một cuộc gọi được thực hiện, Safari sẽ cho đó là số điện thoại quay số. Lỗi này có thể do một số đoạn mã độc hại của số điện thọa gây ra làm hiển thị số khác trong khi nhận cuộc gọi. Apple cũng đã nhờ Billy Hoffman và Bryan Sullivan của HP Security Labs và Eduardo Tang phụ trách lỗi này.

Safari 3

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3758 khắc phục lỗi : Một số đoạn script độc hại của các trang khi lướt qua còn tồn tại trong Safari cho phép các Web sites chèn đoạn JavaScript trong thuộc tính của window. Kết quả là cửa sổ window bị thiết lập và phục vụ cho các trang khác. Và Michal Zalewski của Google tiếp tục sữa lỗi này.

Safari 4

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3759 khắc phục lỗi : Safari có thể được thiết lập việc cho phép hay không cho phép các đoạn mã JavaScript. Tuy nhiên thiết lập này không có tác dụng cho lần Safari được khởi động lại. Điều này thườn xuyên xảy ra khi iPhone bị khởi động lại trong khi người dùng vẫn nghĩ JavaScript đã được khóa.

Safari 5

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3760 khắc phục lỗi : Lỗi này cũng gần giống Safari 3 nhưng lần này đoạn JavaScript được thực thi chuyển nội dung sang các site khác. Và Apple cũng nhờ Michal Zalewskhi của Google và Secunia Research xử lý lỗi này.

Safari 6

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-3761. Vể cơ bản lỗi này cũng gân giống với Safari 3 và Safari 5, hacker có thể thực thi các đoạn JavaScript ở nội dung các site khác.

Safari 7

Bản vá này có tác dụng với tất cả khách hàng của Apple iPhone và có mã cập nhập là CVE-2007-4671 với lỗi : Trong trình duyệt Safari cho phép nội dung phục vụ trên HTTP được chỉnh sửa và truy xuất nội dung trên HTTPS trong cùng một miền. Chính vì vậy hacker lợi dụng điều này để lôi kéo người sử dụng và thực thi các đoạn mã JavaScript trong nội dung của các trang Web HTTPS ngay trên miền đó. Apple cũng đã nhờ Keigo Yamazaki của tập đoàn Little Earth sữa lỗi này.

Số phận các iPhone đã mở khóa

Hiện tại các iPhone dùng SIM của các hãng khác ngoài AT&T đều không thể hoạt động. Phần mềm mở khóa iPhoneSIMfree hoạt động không chính xác, anySIM còn tệ hơn khi máy bị khóa ngay lúc bật với thông báo "SIM không chính xác."

Phong Lê (theo news.com)