Hệ thống bảo vệ quyền riêng tư là một giải pháp an ninh quan trọng trên các thiết bị Apple, cho phép người dùng chấp nhận hoặc từ chối yêu cầu từ ứng dụng khi truy cập vào dữ liệu nhạy cảm, như vị trí GPS, danh bạ, ảnh và các thông tin khác.

Theo đó, lỗ hổng CVE-2024-44131 với điểm CVSS 5,3 đã được phát hiện trong thành phần FileProvider. Theo các chuyên gia, lỗ hổng này có thể bị khai thác bởi phần mềm độc hại được cài đặt trên hệ thống, vượt qua hệ thống bảo vệ quyền riêng tư TCC để lấy cắp dữ liệu nhạy cảm mà người dùng không hề hay biết.

Apple đã khắc phục lỗ hổng này bằng cách cải thiện cơ chế kiểm tra các liên kết tượng trưng (symlinks) trong các phiên bản iOS 18, iPadOS 18 và macOS Sequoia 15.

Ngoài CVE-2024-44131, Apple đã phát hành bản cập nhật cho toàn bộ phần mềm để xử lý nhiều lỗ hổng, bao gồm 4 lỗi trong WebKit gây hỏng bộ nhớ hoặc gián đoạn quy trình và một lỗ hổng logic trong Audio (CVE-2024-54529) cho phép ứng dụng thực thi mã tùy ý với quyền kernel.

Hãng cũng vá lỗ hổng trong Safari (CVE-2024-44246) cho phép trang web thu thập địa chỉ IP gốc khi được thêm vào Danh sách đọc (Reading List) trên thiết bị có bật Private Relay.