เมื่อวันศุกร์ที่ผ่านมา (7 เม.ย. 2566) Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day สองรายการที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน
ช่องโหว่ทั้ง 2 รายการมีดังนี้
- CVE-2023-28205 - ช่องโหว่ use after free บน WebKit ซึ่งอาจทําให้เกิดการเรียกใช้โค้ดที่เป็นอันตราย หากมีการเข้าใช้งานหน้าเว็บที่ถูกสร้างขึ้นมาโดยเฉพาะ
- CVE-2023-28206 - ช่องโหว่ out-of-bounds write บน IOSurfaceAccelerator ที่อาจทำให้แอปพลิเคชันเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ของเคอร์เนล
ซึ่งรายละเอียดเกี่ยวกับช่องโหว่ทั้ง 2 ช่องโหว่ได้ถูกปกปิดไว้ เพื่อป้องกันไม่ให้ผู้โจมตีสามารถพัฒนาเครื่องมือเพื่อใช้สำหรับโจมตีช่องโหว่เหล่านี้
Apple ระบุว่าได้แก้ไขช่องโหว่หมายเลข CVE-2023-28205 โดยการแก้ไขการจัดการหน่วยความจำ และการตรวจสอบความถูกต้องของข้อมูลให้ดียิ่งขึ้น
โดยเวอร์ชันที่ได้รับการอัปเดตในครั้งนี้ ได้แก่ iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 และ Safari 16.4.1 โดยมีรายชื่อผลิตภัณฑ์ที่เกี่ยวข้องดังนี้
- iPhone 8 และรุ่นที่ใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และรุ่นที่ใหม่กว่า, iPad รุ่นที่ 5 และรุ่นที่ใหม่กว่า และ iPad mini รุ่นที่ 5 และรุ่นที่ใหม่กว่า
- Mac ที่ใช้ macOS Big Sur, Monterey และ Ventura
โดย Apple ได้ทําการอัปเดตแพตช์ช่องโหว่ Zero-day มาแล้ว 3 ครั้ง ตั้งแต่ช่วงต้นปีที่ผ่านมา
ในเดือนกุมภาพันธ์ที่ผ่านมา Apple พึ่งออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day หมายเลข CVE-2023-23529 ใน WebKit ซึ่งอาจทําให้เกิดการเรียกใช้งานโค้ดที่เป็นอันตรายเช่นเดียวกัน เนื่องจากทีมนักวิจัยจาก Google TAG ระบุว่า แฮ็กเกอร์กำลังใช้ประโยชน์จาก Zero-day ดังกล่าว เพื่อแพร่กระจายมัลแวร์ทั้งใน Android และ iOS
ที่มา : thehackernews
You must be logged in to post a comment.