Apple ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-day สำหรับ iOS, iPadOS, macOS และ Safari [EndUser]


เมื่อวันศุกร์ที่ผ่านมา (7 เม.ย. 2566) Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day สองรายการที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ทั้ง 2 รายการมีดังนี้

  • CVE-2023-28205 - ช่องโหว่ use after free บน WebKit ซึ่งอาจทําให้เกิดการเรียกใช้โค้ดที่เป็นอันตราย หากมีการเข้าใช้งานหน้าเว็บที่ถูกสร้างขึ้นมาโดยเฉพาะ
  • CVE-2023-28206 - ช่องโหว่ out-of-bounds write บน IOSurfaceAccelerator ที่อาจทำให้แอปพลิเคชันเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ของเคอร์เนล

ซึ่งรายละเอียดเกี่ยวกับช่องโหว่ทั้ง 2 ช่องโหว่ได้ถูกปกปิดไว้ เพื่อป้องกันไม่ให้ผู้โจมตีสามารถพัฒนาเครื่องมือเพื่อใช้สำหรับโจมตีช่องโหว่เหล่านี้

Apple ระบุว่าได้แก้ไขช่องโหว่หมายเลข CVE-2023-28205 โดยการแก้ไขการจัดการหน่วยความจำ และการตรวจสอบความถูกต้องของข้อมูลให้ดียิ่งขึ้น

โดยเวอร์ชันที่ได้รับการอัปเดตในครั้งนี้ ได้แก่ iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 และ Safari 16.4.1 โดยมีรายชื่อผลิตภัณฑ์ที่เกี่ยวข้องดังนี้

  • iPhone 8 และรุ่นที่ใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และรุ่นที่ใหม่กว่า, iPad รุ่นที่ 5 และรุ่นที่ใหม่กว่า และ iPad mini รุ่นที่ 5 และรุ่นที่ใหม่กว่า
  • Mac ที่ใช้ macOS Big Sur, Monterey และ Ventura
    โดย Apple ได้ทําการอัปเดตแพตช์ช่องโหว่ Zero-day มาแล้ว 3 ครั้ง ตั้งแต่ช่วงต้นปีที่ผ่านมา

ในเดือนกุมภาพันธ์ที่ผ่านมา Apple พึ่งออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day หมายเลข CVE-2023-23529 ใน WebKit ซึ่งอาจทําให้เกิดการเรียกใช้งานโค้ดที่เป็นอันตรายเช่นเดียวกัน เนื่องจากทีมนักวิจัยจาก Google TAG ระบุว่า แฮ็กเกอร์กำลังใช้ประโยชน์จาก Zero-day ดังกล่าว เพื่อแพร่กระจายมัลแวร์ทั้งใน Android และ iOS

 

ที่มา : thehackernews