Apple แก้ไขช่องโหว่ Zero-Day ที่กำลังถูกใช้ในการโจมตีเป็นครั้งแรกของปีนี้

Apple ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day รายการแรกของปี 2025 ซึ่งถูกระบุว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ผู้ใช้ iPhone

ช่องโหว่ Zero-Day รายการแรกของปี 2025 คือ CVE-2025-24085 [ iOS/iPadOS , macOS , tvOS , watchOS , visionOS ] และเป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ใน Apple's Core Media framework ซึ่งถูกนำไปใช้ในการโจมตี iOS เวอร์ชันก่อน iOS 17.2

รวมถึง Apple ได้แก้ไขช่องโหว่ CVE-2024-23222 พร้อมด้วยการปรับปรุงการจัดการหน่วยความจำใน iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 และ tvOS 18.3

รายชื่ออุปกรณ์ที่ได้รับผลกระทบจาก Zero-Day :

  • iPhone XS และใหม่กว่า
  • iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 3 ขึ้นไป, iPad Pro 11 นิ้ว รุ่นที่ 1 ขึ้นไป, iPad Air รุ่นที่ 3 ขึ้นไป, iPad รุ่นที่ 7 ขึ้นไป และ iPad mini รุ่นที่ 5 ขึ้นไป
  • macOS Sequoia
  • Apple Watch Series 6 และใหม่กว่า
  • Apple TV HD และ Apple TV 4K (ทุกรุ่น)

Apple ยังไม่ได้ระบุถึงการค้นพบช่องโหว่ด้านความปลอดภัยนี้ว่าเกิดจากนักวิจัยด้านความปลอดภัย และยังไม่ได้เผยแพร่รายละเอียดเกี่ยวกับการโจมตี แม้ว่าจะเปิดเผยว่าช่องโหว่นี้ถูกนำไปใช้ในการโจมตีแล้วก็ตาม

แม้ว่าช่องโหว่ Zero-Day นี้น่าจะถูกใช้ในการโจมตีแบบเฉพาะเจาะจงเท่านั้น แต่ขอแนะนำอย่างยิ่งให้ติดตั้งการอัปเดตความปลอดภัยในปัจจุบันโดยเร็วที่สุด เพื่อป้องกันโจมตีที่อาจเกิดขึ้นได้

ในปี 2024 Apple ได้แก้ไขช่องโหว่ Zero-Day ทั้งหมด 6 รายการ ครั้งแรกในเดือนมกราคม, สองครั้งในเดือนมีนาคม, ครั้งที่สี่ในเดือนพฤษภาคม และอีกสองครั้งในเดือนพฤศจิกายน

ส่วนในปี 2023 Apple ได้แก้ไขช่องโหว่ Zero-Day ทั้งหมด 20 รายการ ที่ถูกใช้ในการโจมตี :

  • ช่องโหว่ Zero-Day 2 รายการ (CVE-2023-42916 และ CVE-2023-42917) ในเดือนพฤศจิกายน 2023
  • ช่องโหว่ Zero-Day 2 รายการ (CVE-2023-42824 และ CVE-2023-5217) ในเดือนตุลาคม 2023
  • ช่องโหว่ Zero-Day 5 รายการ (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 และ CVE-2023-41993) ในเดือนกันยายน 2023
  • ช่องโหว่ Zero-Day 2 รายการ (CVE-2023-37450 และ CVE-2023-38606) ในเดือนกรกฎาคม 2023
  • ช่องโหว่ Zero-Day 3 รายการ (CVE-2023-32434, CVE-2023-32435 และ CVE-2023-32439) ในเดือนมิถุนายน 2023
  • ช่องโหว่ Zero-Day 3 รายการ (CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373) ในเดือนพฤษภาคม 2023
  • ช่องโหว่ Zero-Day 2 รายการ (CVE-2023-28206 และ CVE-2023-28205) ในเดือนเมษายน 2023
  • ช่องโหว่ Zero-Day 1 รายการ (CVE-2023-23529) ในเดือนกุมภาพันธ์ 2023

ที่มา : bleepingcomputer