Apple แก้ไขช่องโหว่ Zero-day 2 รายการที่กำลังถูกใช้ในการโจมตี

Apple ได้ปล่อยแพตซ์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day จำนวน 2 รายการ ที่กำลังถูกนำไปใช้ในการโจมตีโดยมีเป้าหมายเจาะจงไปที่บุคคลบางกลุ่ม

ช่องโหว่ Zero-day เหล่านี้มีหมายเลข CVE-2025-43529 และ CVE-2025-14174 ซึ่งการอัปเดตแพตซ์แก้ไขทั้งสองรายการนี้ออกมาเพื่อตอบสนองต่อรายงานการถูกโจมตีระบบในเหตุการณ์เดียวกัน

Apple ระบุว่า "Apple รับทราบถึงการรายงานเกี่ยวกับช่องโหว่ดังกล่าวที่อาจกำลังถูกนำไปใช้ในการโจมตี เพื่อมุ่งเป้าเล่นงานบุคคลเฉพาะกลุ่ม บน iOS ที่ใช้เวอร์ชันต่ำกว่า iOS 26"

CVE-2025-43529 เป็นช่องโหว่ประเภท Use-after-free ใน WebKit ที่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้ เพียงแค่เหยื่อเปิดดูหน้าเว็บที่มีการฝังโค้ดอันตรายเอาไว้ ซึ่งทาง Apple ระบุว่าช่องโหว่ดังกล่าวถูกค้นพบโดย Google’s Threat Analysis Group

CVE-2025-14174 เป็นช่องโหว่ประเภท memory corruption ใน WebKit โดยทาง Apple ระบุว่าช่องโหว่ดังกล่าวถูกค้นพบโดยทีมงานของ Apple ร่วมกับ Google’s Threat Analysis Group

อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ทั้ง 2 รายการนี้ ได้แก่ :

  • iPhone 11 และรุ่นใหม่กว่า
  • iPad Pro 12.9 นิ้ว (รุ่นที่ 3 และรุ่นใหม่กว่า)
  • iPad Pro 11 นิ้ว (รุ่นที่ 1 และรุ่นใหม่กว่า)
  • iPad Air (รุ่นที่ 3 และรุ่นใหม่กว่า)
  • iPad (รุ่นที่ 8 และรุ่นใหม่กว่า)
  • iPad mini (รุ่นที่ 5 และรุ่นใหม่กว่า)

Apple ได้แก้ไขช่องโหว่ดังกล่าวแล้วในระบบปฏิบัติการเวอร์ชันต่าง ๆ ดังนี้ : iOS 26.2 และ iPadOS 26.2, iOS 18.7.3 และ iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2, และ Safari 26.2

Apple ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับการโจมตี นอกเหนือไปจากการระบุว่าเป้าหมายคือบุคคลที่ใช้งาน iOS ที่มีเวอร์ชันต่ำกว่า iOS 26

เนื่องจากช่องโหว่ทั้ง 2 รายการจะส่งผลกระทบต่อ WebKit (ซึ่ง Google Chrome บน iOS ก็มีการใช้งานด้วย) รูปแบบนี้จึงสอดคล้องกับลักษณะการโจมตีด้วย spyware แบบเจาะจงที่มีเป้าหมายระดับสูง

แม้ว่าช่องโหว่เหล่านี้จะถูกใช้ในการโจมตีแบบเจาะจงเป้าหมายเท่านั้น แต่ขอแนะนำให้ผู้ใช้งานรีบติดตั้งอัปเดตแพตซ์ความปลอดภัยล่าสุดทันที เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

จากการแก้ไขครั้งนี้ ทำให้ยอดรวมช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีจริงในปี 2025 ซึ่ง Apple ได้ทำการแก้ไขแล้วมีจำนวนทั้งสิ้น 7 รายการ เริ่มตั้งแต่ CVE-2025-24085 ในเดือนมกราคม, CVE-2025-24200 ในเดือนกุมภาพันธ์, CVE-2025-24201 ในเดือนมีนาคม และอีก 2 รายการในเดือนเมษายน (CVE-2025-31200 และ CVE-2025-31201)

นอกจากนี้ ในเดือนกันยายน Apple ยังได้นำการแก้ไข (Backport) สำหรับช่องโหว่ Zero-day หมายเลข CVE-2025-43300 ไปอัปเดตย้อนหลังให้กับอุปกรณ์รุ่นเก่าที่ใช้งาน iOS 15.8.5 / 16.7.12 และ iPadOS 15.8.5 / 16.7.12 อีกด้วย

ที่มา : bleepingcomputer