Apple ได้ออกอัปเดตแพตซ์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-Day 2 รายการที่ถูกนำไปใช้ในการโจมตีระบบ Mac ที่ใช้ Intel-based
บริษัทระบุในคำแนะนำที่ออกเมื่อวันที่ 19 พฤศจิกายน 2024 ที่ผ่านมาว่า "Apple รับทราบถึงรายงานว่าช่องโหว่เหล่านี้อาจกำลังถูกนำไปใช้ในการโจมตี"
ช่องโหว่ทั้งสองรายการถูกพบใน JavaScriptCore (CVE-2024-44308) และ WebKit (CVE-2024-44309) components ของ macOS Sequoia
ช่องโหว่ JavaScriptCore (CVE-2024-44308) ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลผ่าน web content ที่ถูกปรับแต่งมาเป็นพิเศษ ส่วนช่องโหว่อีกรายการ (CVE-2024-44309) อาจทำให้เกิดการโจมตีแบบ Cross-Site Scripting (CSS)
Apple ระบุว่า ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้ใน macOS Sequoia 15.1.1
เนื่องจาก components ดังกล่าวมีอยู่ในระบบปฏิบัติการอื่นของ Apple จึงได้รับการแก้ไขใน iOS 17.7.2 และ iPadOS 17.7.2, iOS 18.1.1 และ iPadOS 18.1.1 รวมถึง visionOS 2.1.1 ด้วย
แม้ว่า Apple จะระบุว่า ช่องโหว่ทั้งสองรายการถูกค้นพบโดย Clément Lecigne และ Benoît Sevens จากทีม Threat Analysis Group ของ Google แต่บริษัทไม่ได้ให้รายละเอียดเพิ่มเติมว่าช่องโหว่เหล่านี้ถูกใช้ในการโจมตีอย่างไร
ในปี 2024 นี้ Apple ได้แก้ไขช่องโหว่ Zero-Day รวม 6 รายการแล้ว โดยรายการแรกถูกแก้ไขในเดือนมกราคม สองรายการในเดือนมีนาคม และอีกหนึ่งรายการในเดือนพฤษภาคม
ตัวเลขนี้นับว่าลดลงมากเมื่อเทียบกับปีที่แล้ว ซึ่ง Apple ได้แก้ไขช่องโหว่ Zero-Day ทั้งหมด 20 รายการที่ถูกใช้ในการโจมตีจริง ซึ่งรวมถึง:
- 2 ช่องโหว่ (CVE-2023-42916 และ CVE-2023-42917) ในเดือนพฤศจิกายน
- 2 ช่องโหว่ (CVE-2023-42824 และ CVE-2023-5217) ในเดือนตุลาคม
- 5 ช่องโหว่ (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992, และ CVE-2023-41993) ในเดือนกันยายน
- 2 ช่องโหว่ (CVE-2023-37450 และ CVE-2023-38606) ในเดือนกรกฎาคม
- 3 ช่องโหว่ (CVE-2023-32434, CVE-2023-32435, และ CVE-2023-32439) ในเดือนมิถุนายน
- 3 ช่องโหว่เพิ่มเติม (CVE-2023-32409, CVE-2023-28204, และ CVE-2023-32373) ในเดือนพฤษภาคม
- 2 ช่องโหว่ (CVE-2023-28206 และ CVE-2023-28205) ในเดือนเมษายน
- และอีกหนึ่งช่องโหว่ใน WebKit (CVE-2023-23529) ในเดือนกุมภาพันธ์
ที่มา : bleepingcomputer
You must be logged in to post a comment.