Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ที่พบการโจมตีครั้งแรกในปี 2024

Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day แรกของปี 2024 หลังจากที่พบว่ากำลังถูกใช้ในการโจมตี ซึ่งอาจส่งผลกระทบต่อ iPhone, Mac และ Apple TV

CVE -2024-23222 เป็นช่องโหว่ที่อยู่ใน WebKit ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์เป้าหมายได้ เช่น iOS, macOS และ tvOS หลังจากที่เป้าหมายเปิดหน้าเว็บที่เป็นอันตราย

ทั้งนี้ Apple ยังไม่ได้ออกมาเผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีช่องโหว่ดังกล่าว โดยแจ้งให้ผู้ใช้งานทำการอัปเดตเป็นเวอร์ชันดังนี้

  • iOS 16.7.5 และใหม่กว่า
  • 16.7.5 และใหม่กว่า
  • macOS Monterey 12.7.3 และใหม่กว่า
  • tvOS 17.3 และใหม่กว่า

โดยอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ Zero-Day ใน WebKit กระจายเป็นวงกว้าง และส่งผลทั้งรุ่นเก่า และใหม่ เช่น

  • iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch, and iPad Pro 12.9-inch 1st generation
  • iPhone XS และใหม่กว่า, iPad Pro 12.9-inch 2nd generation และใหม่กว่า, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation และใหม่กว่า, iPad Air 3rd generation and latและใหม่กว่า, iPad 6th generation และใหม่กว่า, and iPad mini 5th generation และใหม่กว่า
  • Macs running macOS Monterey และใหม่กว่า
  • Apple TV HD and Apple TV 4K ทุกรุ่น

ถึงแม้ว่าช่องโหว่นี้จะเป็นการโจมตีโดยกำหนดเป้าหมายเฉพาะ แต่ Apple ก็ได้แนะนำให้ผู้ใช้งานทำการอัปเดตความปลอดภัยโดยด่วน เพื่อป้องกันช่องโหว่ อีกทั้งยังได้ออกอัปเดตช่องโหว่สำหรับ iPhone และ iPad รุ่นเก่าสำหรับ WebKit Zero-Day อีกสองรายการ (CVE-2023-42916 และ CVE-2023-42917)

การออกอัปเดต Zero-Day ในปี 2023

โดยในปี 2023 ทาง Apple ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ทั้งหมด 20 รายการ ที่ถูกใช้ในการโจมตีดังนี้ :

  • Zero-Day 2 รายการ (CVE-2023-42916 และ CVE-2023-42917) ในเดือนพฤศจิกายน
  • Zero-Day 2 รายการ (CVE-2023-42824 และ CVE-2023-5217) ในเดือนตุลาคม
  • Zero-Day 5 รายการ (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 และ CVE-2023-41993) ในเดือนกันยายน
  • Zero-Day 2 รายการ (CVE-2023-37450 และ CVE-2023-38606) ในเดือนกรกฎาคม
  • Zero-Day 3 รายการ (CVE-2023-32434, CVE-2023-32435 และ CVE-2023-32439) ในเดือนมิถุนายน
  • Zero-Day 3 รายการ (CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373) ในเดือนพฤษภาคม
  • Zero-Day 2 รายการ (CVE-2023-28206 และ CVE-2023-28205) ในเดือนเมษายน
  • Zero-Day 1 รายการ ของ WebKit อีกหนึ่งรายการ (CVE-2023-23529) ในเดือนกุมภาพันธ์

ที่มา : bleepingcomputer