Apple เผยแพร่การอัปเดตความปลอดภัยสำหรับ iPhone และ iPad รุ่นเก่า ในช่วงต้นเดือนตุลาคม 2023 ที่ผ่านมา โดยระบุว่าเป็นช่องโหว่ Zero-day 2 รายการ ที่ถูกใช้ในการโจมตี iOS เวอร์ชันก่อน iOS 16.6
CVE-2023-42824 (คะแนน CVSS 7.8/10 ความรุนแรงระดับสูง) เป็นช่องโหว่การยกระดับสิทธิ์ที่เกิดจากช่องโหว่ใน XNU kernel ที่ทำให้สามารถยกระดับสิทธิ์บน iPhone และ iPad ที่มีช่องโหว่ได้
**
CVE-2023-5217 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) เป็นช่องโหว่ heap buffer overflow ในการเข้ารหัส VP8 ของ libvpx video codec library แบบ open-source ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดตามที่ต้องการได้
โดยปัจจุบัน Apple ออกแพตซ์แก้ไขช่องโหว่ใน iOS 16.7.1 และ iPadOS 16.7.1 แล้ว แต่ยังไม่มีการเปิดเผยว่าใครเป็นผู้ค้นพบ และรายงานช่องโหว่ดังกล่าว
แม้ว่า Apple จะยังไม่ยืนยันการพบการโจมตีจากช่องโหว่ดังกล่าว แต่ก่อนหน้านี้ Google ได้แก้ไขช่องโหว่ libvpx ซึ่งเป็นช่องโหว่ Zero-day ใน Chrome web browser เช่นเดียวกับทาง Microsoft ที่ได้แก้ไขในผลิตภัณฑ์ Edge, Teams และ Skype
Google ถือว่าการค้นพบช่องโหว่ CVE-2023-5217 เป็นของนักวิจัยด้านความปลอดภัย Clément Lecigne ซึ่งเป็นสมาชิกของ Threat Analysis Group (TAG) ของ Google ซึ่งเป็นทีมผู้เชี่ยวชาญด้านความปลอดภัย ซึ่งเป็นที่รู้จักจากการค้นพบช่องโหว่แบบ Zero-Days ที่ถูกใช้ในการโจมตีด้วยสปายแวร์แบบกำหนดเป้าหมาย ที่คาดว่าได้รับการสนับสนุนจากรัฐบาล ซึ่งมีจุดมุ่งหมายไปยังบุคคลระดับสูง และบุคคลที่มีความสำคัญ
รายการอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ Zero-day ประกอบด้วย:
- iPhone 8 และใหม่กว่า
- iPad Pro (ทุกรุ่น)
- iPad Air รุ่นที่ 3 และใหม่กว่า
- iPad รุ่นที่ 5 และใหม่กว่า
- iPad mini รุ่นที่ 5 และใหม่กว่า
นอกจากนี้ทาง CISA ยังได้เพิ่มช่องโหว่ทั้งสองรายการลงในแค็ตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) แล้ว พร้อมสั่งให้หน่วยงานรัฐบาลกลางทำการอัปเดตอุปกรณ์ทันทีเพื่อความปลอดภัยจากการถูกโจมตี
ที่มา : bleepingcomputer
You must be logged in to post a comment.