Apple เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day ที่ถูกเปิดเผยในเดือนสิงหาคม 2025 ไปยัง iPhone และ iPad รุ่นเก่า เนื่องจากพบว่าช่องโหว่ดังกล่าวได้ถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูง
ช่องโหว่ดังกล่าว เป็นช่องโหว่ที่ได้รับการการอัปเดตความปลอดภัยในอุปกรณ์ที่ใช้ iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10 และ macOS (Sequoia 15.6.1, Sonoma 14.7.8 และ Ventura 13.7.8) เมื่อวันที่ 20 สิงหาคม 2025
CVE-2025-43300 (คะแนน CVSS 8.8/10 High) เป็นช่องโหว่ Zero-Day แบบ out-of-bounds write ใน Image I/O framework ซึ่งทำให้แอปสามารถอ่าน และเขียนไฟล์ภาพได้ เมื่อ Hacker ใส่ค่า Input ที่เป็นอันตรายที่สร้างขึ้นลงในโปรแกรม ซึ่งทำให้โปรแกรมเขียนข้อมูลนอก memory buffer ที่จัดสรรไว้ ซึ่งอาจทำให้เกิด crashes, ข้อมูลเสียหาย หรือแม้กระทั่งทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้ โดยช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยด้านความปลอดภัยของ Apple
Apple ได้แก้ไขช่องโหว่ Zero-Day ดังกล่าว ใน iOS 15.8.5 / 16.7.12 และ iPadOS 15.8.5 / 16.7.12 ด้วยการปรับปรุง Bounds Check รวมถึงได้เปิดเผยการค้นพบว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูงต่อเป้าหมายเฉพาะบุคคล
รายชื่ออุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้ค่อนข้างมีจำนวนมาก โดยช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์รุ่นเก่าหลายรุ่น ได้แก่:
iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPhone 8, iPhone 8 Plus และ iPhone X,
iPad Air 2, iPad mini (รุ่นที่ 4), iPad รุ่นที่ 5, iPad Pro 9.7 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 1 และ iPod touch (รุ่นที่ 7)
ก่อนหน้านี้ในช่วงปลายเดือนสิงหาคม 2025 WhatsApp ได้แก้ไขช่องโหว่ Zero-Click (CVE-2025-55177) ใน iOS และ macOS messaging clients ซึ่งถูกเชื่อมโยงกับช่องโหว่ Zero-Day CVE-2025-43300 ของ Apple ในการโจมตีแบบเจาะจงเป้าหมายที่มีความซับซ้อนสูงเช่นเดียวกัน
แม้ว่า Apple และ WhatsApp จะยังไม่ได้เปิดเผยรายละเอียดใด ๆ เกี่ยวกับการโจมตีที่เชื่อมโยงช่องโหว่ทั้ง 2 รายการเข้าด้วยกัน แต่ Donncha Ó Cearbhaill หัวหน้าห้องปฏิบัติการด้านความปลอดภัยของ Amnesty International ระบุว่า WhatsApp ได้เตือนผู้ใช้งานบางส่วนว่าอุปกรณ์ของพวกเขาตกเป็นเป้าหมายของแคมเปญสปายแวร์
เมื่อสัปดาห์ที่แล้ว Samsung ก็ได้แก้ไขช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลที่เชื่อมโยงกับช่องโหว่ WhatsApp (CVE-2025-55177) ในการโจมตีแบบ Zero-day ที่มุ่งเป้าไปที่อุปกรณ์ Android ของ Samsung เช่นเดียวกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.