พบช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Cursor ซึ่งเป็นเครื่องมือแก้ไขโค้ดที่ขับเคลื่อนด้วย AI ที่กำลังได้รับความนิยมบน macOS โดยช่องโหว่นี้ทำให้มัลแวร์สามารถหลบเลี่ยงระบบป้องกันความเป็นส่วนตัวของ Apple และเข้าถึงข้อมูลที่มีความสำคัญของผู้ใช้งานได้ โดยไม่ได้รับ (more…)

Apple ออกอัปเดตด้านความปลอดภัยระดับ Critical สำหรับ macOS Sequoia 15.5 เมื่อวันที่ 12 พฤษภาคม 2025 เพื่อแก้ไขช่องโหว่มากกว่า 40 รายการ ในส่วนประกอบต่าง ๆ ของระบบ ตั้งแต่ความเสี่ยงของการเสียหายของหน่วยความจำใน kernel-level ไปจนถึงการหลุดออกจากระบบ sandbox ของแอปพลิเคชัน

การออกแพตช์แก้ไขเหล่านี้ มุ่งเป้าไปที่ช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่สำคัญของผู้ใช้, ทำให้ระบบล่ม หรือเรียกใช้โค้ดตามที่ต้องการได้

นักวิจัยจากสถาบันการศึกษา และบริษัทด้านความปลอดภัยทางไซเบอร์ รวมถึง MIT CSAIL, Trend Micro Zero Day Initiative และ Google Project Zero เป็นผู้ค้นพบช่องโหว่เหล่านี้

มีช่องโหว่หลายรายการที่อาจทำให้สามารถเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาตผ่านบริการพื้นฐานของ macOS

TCC framework ซึ่งจัดการสิทธิ์การเข้าถึงของแอปพลิเคชันต่อทรัพยากรต่าง ๆ เช่น ตำแหน่งที่ตั้ง และรายชื่อติดต่อ มีช่องโหว่ information disclosure (CVE-2025-31250) ที่อาจทำให้การตั้งค่าความเป็นส่วนตัวของผู้ใช้ถูกเปิดเผย

ในขณะเดียวกัน CoreGraphics subsystem พบช่องโหว่ had an out-of-bounds read (CVE-2025-31209) ที่อาจทำให้ผู้โจมตีสามารถดึงข้อมูลกราฟิกที่ได้รับการป้องกันออกมาได้ในระหว่างกระบวนการประมวลผลไฟล์

แอป Notes มีความเสี่ยงจากช่องโหว่ cache-handling oversight (CVE-2025-31256) ที่อาจทำให้โน้ตที่ถูกลบไปแล้วถูกเปิดเผยผ่านฟีเจอร์ Hot Corner

แอป StoreKit มีช่องโหว่ logged unredacted user data (CVE-2025-31242) ที่อาจทำให้ประวัติการซื้อ และรายละเอียดของการสมัครสมาชิกรั่วไหลได้

แอป Weather ของ Apple ก็มีช่องโหว่ contained a location privacy (CVE-2025-31220) ที่อนุญาตให้แอปที่เป็นอันตรายสามารถ Bypass geolocation restrictions ได้

นักวิจัยยังแสดงให้เห็นถึงความเสี่ยงของระบบที่เกิดขึ้นใน AppleJPEG (CVE-2025-31251) และ CoreMedia (CVE-2025-31233) ซึ่งไฟล์มีเดียที่ถูกสร้างขึ้นมาโดยเฉพาะสามารถทำให้ process memory เสียหาย และนำไปสู่การเปิดเผยข้อมูลของผู้ใช้ได้

ช่องโหว่เหล่านี้แสดงให้เห็นถึงความท้าทายในการรักษาความปลอดภัยของระบบการประมวลผลสื่อมัลติมีเดียที่มีความซับซ้อน

ความสมบูรณ์ของระบบที่ผ่านการโจมตีจากช่องโหว่ในหน่วยความจำ

ช่องโหว่ Kernel-level เป็นส่วนสำคัญของการแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง โดยมีช่องโหว่แบบ double-free ใน Audio subsystems (CVE-2025-31235) ที่อนุญาตให้แอปสามารถทำให้ระบบขัดข้องได้ ในขณะที่โปรโตคอล AFP file-sharing ก็มีช่องโหว่ระดับ Critical 2 รายการ ได้แก่ :

CVE-2025-31246 ที่อาจทำให้เซิร์ฟเวอร์ที่เป็นอันตรายสามารถทำให้หน่วยความจำของเคอร์เนลเสียหายได้
CVE-2025-31240 ที่อาจทำให้ผู้โจมตีสามารถทำให้ระบบขัดข้องได้ผ่าน network shares ที่มีรูปแบบผิดปกติ

WebKit engine พบช่องโหว่ memory corruption ถึง 7 รายการ รวมถึงช่องโหว่ CVE-2025-24213 ซึ่งเป็นช่องโหว่แบบ type confusion ที่สามารถถูกโจมตีผ่านเนื้อหาเว็บที่เป็นอันตรายได้

ทีม V8 ของ Google พบว่าช่องโหว่นี้สามารถใช้เพื่อ Bypass การตรวจสอบด้านความปลอดภัยของ Safari ได้

ส่วนของ Kernel ช่องโหว่ CVE-2025-31219 ที่ทำให้ผู้โจมตีสามารถทำให้เกิด corrupt memory ผ่าน Race Conditions ซึ่งอาจนำไปสู่การยกระดับสิทธิ์เป็นผู้ดูแลระบบได้ (root)

Apple ยังได้แก้ไขช่องโหว่ใน libexpat (CVE-2024-8176) ที่เป็นตัวแปลง XML แบบ open-source โดยมีรายงานจากบุคคลภายนอกว่าอาจถูกนำไปใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายได้

การแก้ไขช่องโหว่เหล่านี้จำเป็นต้องปรับโครงสร้างของส่วนประกอบ low-level ที่เกี่ยวข้องกับเครือข่าย และการจัดการไฟล์ใหม่ทั้งหมด เพื่อป้องกันความเสียหายแบบต่อเนื่อง (cascading failures)

การหลุดออกจาก Sandbox และการ Bypass การป้องกันความเป็นส่วนตัว

ระบบ sandbox ของ Apple ถูกออกแบบมาเพื่อแยกกระบวนการที่ไม่น่าเชื่อถือออกจากระบบหลัก และมีความล้มเหลวหลายจุดในการควบคุม

ระบบ quarantine ไฟล์ มีช่องโหว่ CVE-2025-31244 ที่ทำให้แอปที่เป็นอันตรายสามารถ Bypass ข้อจำกัดในการดาวน์โหลดได้ ในขณะที่ RemoteViewServices (CVE-2025-31258) อาจเปิดโอกาสให้ผู้โจมตีสามารถหลุดออกจาก sandbox ได้ โดยอาศัยการโจมตีของบริการ IPC mechanisms

ในส่วนของ NetworkExtension ช่องโหว่ CVE-2025-31218 ทำให้ชื่อโฮสต์ที่มีการเชื่อมต่อเครือข่ายรั่วไหล และอาจช่วยให้ผู้โจมตีรวบรวมข้อมูลเบื้องต้นได้ง่ายขึ้น

Sandbox subsystem เองก็มีช่องโหว่สองรายการ ได้แก่ CVE-2025-31249 ที่ทำให้สามรถเข้าถึงไฟล์โดยไม่ได้รับอนุญาต และ CVE-2025-31224 ทำให้แอปสามารถ Bypass การตั้งค่าความเป็นส่วนตัวของผู้ใช้ได้ โดยอาศัยการดัดแปลงกระบวนการตรวจสอบสถานะ

ที่สำคัญคือ Mobile Device Service มีช่องโหว่ CVE-2025-24274 ที่เกิดจากการตรวจสอบข้อมูลนำเข้าไม่เพียงพอ ทำให้สามารถยกระดับสิทธิ์เป็น root ได้ ขณะที่ SoftwareUpdate (CVE-2025-31259) ทำให้ผู้ใช้ในเครื่องสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบได้จากการกรองข้อมูลที่ไม่เหมาะสม

การอัปเดตแพตช์แก้ไขของ Apple ในครั้งนี้ สะท้อนถึงความซับซ้อนที่เพิ่มขึ้นในการรักษาความปลอดภัยของระบบปฏิบัติการสมัยใหม่ จากทั้งการโจมตีแบบเจาะจงเป้าหมาย และการโจมตีแบบฉวยโอกาส

ทั้งองค์กร และผู้ใช้ทั่วไปควรให้ความสำคัญกับการอัปเดตระบบทันที เนื่องจากระบบที่ยังไม่ได้รับการแก้ไขจะยังคงเสี่ยงต่อการถูกขโมยข้อมูล และการโจมตีด้วย Ransomware

ขอบเขตของการแก้ไขในครั้งนี้ ครอบคลุมถึง 28 subsystems และมีนักวิจัยถึง 47 คนที่มีส่วนร่วมในการแก้ไข สะท้อนให้เห็นถึงภัยคุกคามของ macOS ที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา

การอัปเดตในอนาคตอาจจำเป็นต้องใช้การตรวจจับความผิดปกติด้วย machine learning-based ในระดับเชิงลึก เพื่อให้สามารถระบุรูปแบบการโจมตีแบบ zero-day ล่วงหน้าได้

ที่มา : gbhackers

สรุปข้อมูล

Oligo Security Research พบช่องโหว่ใหม่ใน AirPlay Protocol ของ Apple และ AirPlay Software Development Kit (SDK) ซึ่งใช้โดย third-party เพื่อใช้งาน AirPlay เข้ากับอุปกรณ์อื่น ๆ

ช่องโหว่ดังกล่าวทำให้สามารถโจมตีได้หลายรูปแบบดังนี้ :

   Zero-Click RCE
   One-Click RCE
   Access control list (ACL) and user interaction bypass
   Local Arbitrary File
   Sensitive information disclosure
   Man-in-the-middle (MITM)
   Denial of service (DoS)

โดย Hacker อาจใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อเข้าควบคุมอุปกรณ์ที่รองรับ AirPlay ได้ ซึ่งได้แก่อุปกรณ์ Apple และอุปกรณ์ของบริษัทอื่นที่ใช้ประโยชน์จาก AirPlay SDK

นักวิจัยของ Oligo Security เรียกช่องโหว่ และ Attack Vectors เหล่านี้ว่า “AirBorne” เนื่องจากการโจมตีที่เป็นไปได้นั้นถูกส่งผ่านเครือข่ายไร้สาย หรือการเชื่อมต่อแบบ Peer–to-Peer และสามารถทำให้ Hacker เข้าควบคุมอุปกรณ์ และใช้การเข้าถึงดังกล่าวในการโจมตีอื่น ๆ เพิ่มเติม

Oligo ได้แสดงให้เห็นว่าช่องโหว่ 2 รายการ (CVE-2025-24252 และ CVE-2025-24132) ช่วยให้ Hacker สามารถนำช่องโหว่ RCE มาใช้โจมตีแบบ wormable zero-click ซึ่งหมายความว่า Hacker สามารถเข้าควบคุมอุปกรณ์ที่รองรับ AirPlay และทำสิ่งต่าง ๆ เช่น แพร่กระจายมัลแวร์ไปยังอุปกรณ์บน local network ที่อุปกรณ์ที่ถูกโจมตีเชื่อมต่ออยู่ ซึ่งอาจนำไปสู่การโจมตีอื่น ๆ ที่เกี่ยวข้องกับการขโมยข้อมูล เช่น ransomware, supply-chain attacks และอื่น ๆ

เนื่องจาก AirPlay เป็นซอฟต์แวร์พื้นฐานสำหรับอุปกรณ์ Apple (Mac, iPhone, iPad, AppleTV เป็นต้น) เช่นเดียวกับอุปกรณ์ของ third-party ที่ใช้ประโยชน์จาก AirPlay SDK ดังนั้นช่องโหว่ประเภทนี้จึงสามารถส่งผลกระทบในวงกว้างได้

ภาพรวมของช่องโหว่

แม้ว่าอุปกรณ์ Apple ทั่วโลกไม่ได้มีความเสี่ยงจากช่องโหว่ RCE จาก AirBorne ทุกเครื่อง แต่ Apple เคยระบุไว้ในเดือนมกราคม 2025 ว่ามีอุปกรณ์ Apple ที่ใช้งานอยู่ทั่วโลกจำนวน 2.35 พันล้านเครื่อง ทำให้จำนวนเครื่องที่อาจมีความเสี่ยงต่อช่องโหว่ก็ถือว่าเยอะมาก
ในปี 2018 Apple ระบุว่ามีผู้ใช้ MacOs ที่ใช้งานอยู่มากกว่า 100 ล้านคนทั่วโลก
อุปกรณ์ Apple อื่น ๆ เช่น iPhone, Apple TV และ Vision Pro อาจได้รับผลกระทบจากช่องโหว่ AirBorne ที่แตกต่างกัน อุปกรณ์เช่น iPhone จำเป็นต้องให้ผู้ใช้งานเปิดการใช้งาน AirPlay receiver ในการตั้งค่าโทรศัพท์
นอกจากนี้ จำนวนอุปกรณ์ audio devices ของบริษัทอื่น ๆ ที่รองรับ AirPlay สามารถประมาณได้ที่หลักสิบล้านเครื่อง
แม้ว่าจะไม่ทราบจำนวนที่แน่ชัดของอุปกรณ์ที่รองรับ CarPlay แต่อุปกรณ์ดังกล่าวก็มีการใช้งานกันอย่างแพร่หลาย และมีให้เลือกในรถยนต์มากกว่า 800 รุ่น

Apple และ Oligo ได้ทำงานร่วมกันเพื่อระบุ และแก้ไขช่องโหว่อย่างละเอียด โดยมีเป้าหมายเพื่อปกป้องผู้ใช้งาน Apple โดยได้เผยแพร่ซอฟต์แวร์เวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่ดังกล่าว และจัดสรรเวลาในการอัปเดตอุปกรณ์เหล่านั้น ตลอดจนกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบของ Oligo ซึ่งได้มีการจัดเตรียมเอกสาร, กระบวนการ และโค้ดที่เกี่ยวข้องกับช่องโหว่เหล่านี้ให้กับ Apple

โดย Oligo เปิดเผยช่องโหว่ทั้งหมด 23 รายการต่อ Apple ส่งผลให้มีการออก CVE ทั้งหมด 17 รายการ

Types of Attacks

ช่องโหว่ที่พบโดย Oligo ไม่ว่าจะโดยอิสระ หรือใช้ร่วมกัน ก็สามารถทำให้เกิดการโจมตีได้หลายรูปแบบ รวมถึงการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE), การควบคุม Access Control List (ACL) โดยไม่ต้องมีการโต้ตอบจากผู้ใช้, การอ่านไฟล์ในเครื่อง, การเปิดเผยข้อมูลที่มีความสำคัญ, การโจมตีแบบ Man-in-the-Middle (MITM) และการโจมตีแบบ Denial of service (DoS)

สำหรับรายงานนี้ จะเน้นที่การโจมตีในรูปแบบ RCE บนอุปกรณ์ที่ใช้ MacOS, AirPlay SDK และ CarPlay ในโพสต์ต่อ ๆ ไป เราอาจตรวจสอบประเภทการโจมตีอื่น ๆ และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องกับ AirPlay

Remote Code Execution (RCE) Attacks

การใช้ AirBorne ช่วยให้ Hacker สามารถโจมตีแบบ RCE บนอุปกรณ์ที่มีช่องโหว่ได้ โดยอาศัยปัจจัยบางประการ เช่น การตั้งค่าอุปกรณ์ของ Apple และ third-party รวมทั้งการกำหนดลักษณะของผู้ใช้

เพื่อเป็นตัวอย่าง ด้านล่างนี้เป็นการโจมตีแบบ RCE ที่แตกต่างกันบางส่วนที่เป็นไปได้กับอุปกรณ์ที่กำหนดค่าด้วยการตั้งค่าที่แตกต่างกัน

MacOS - Zero-Click RCE

CVE-2025-24252 คือช่องโหว่ประเภท use-after-free (UAF) ที่ทำให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลบนอุปกรณ์ MacOS ได้

เมื่อ CVE-2025-24252 ถูกใช้ร่วมกับ CVE-2025-24206 (user interaction bypass) จะทำให้สามารถโจมตีแบบ zero-click RCE บนอุปกรณ์ MacOS ที่เชื่อมต่อกับเครือข่ายเดียวกันกับ Hacker ได้ เพียงเปิด AirPlay receiver และตั้งค่าเป็น "Anyone on the same network" หรือ "Everyone" ด้วยช่องโหว่นี้อาจทำให้สามารถโจมตีแบบ wormable ได้ เนื่องจากช่องโหว่นี้เปิดเส้นทางการโจมตีที่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยไม่ต้องมีการตอบโต้จากผู้ใช้งาน

สถานการณ์ที่อาจเกิดขึ้นได้ : อุปกรณ์ของเหยื่อถูกโจมตีในขณะที่ใช้ WiFi สาธารณะ จากนั้นจึงเชื่อมต่อกับเครือข่ายของบริษัท ซึ่งเป็นช่องทางให้ Hacker เข้าควบคุมอุปกรณ์อื่น ๆ บนเครือข่ายนั้นได้

MacOS - One-Click RCE

CVE-2025-24271 เป็นช่องโหว่ Access Control List (ACL) ที่ทำให้ Hacker สามารถส่งคำสั่ง AirPlay ได้โดยไม่ต้องมีการ pairing เมื่อ CVE-2025-24271 ถูกใช้ร่วมกับ CVE-2025-24137 ช่องโหว่ดังกล่าวจะทำให้สามารถโจมตีแบบ one-click RCE บนอุปกรณ์ MacOS ที่เชื่อมต่อกับเครือข่ายเดียวกันกับ Hacker โดยเปิด AirPlay receiver ไว้ และตั้งค่าเป็น "Current User"

หมายเหตุ : CVE-2025-24137 ได้รับการแก้ไขโดย Apple ใน macOS Sequoia 15.3 เมื่อวันที่ 27 มกราคม 2025

AirPlay SDK - Speakers and Receivers -  Zero-Click RCE

CVE-2025-24132 เป็นช่องโหว่ stack-based buffer overflow ทำให้สามารถโจมตีแบบ zero-click RCE บนอุปกรณ์ speakers และ receivers ที่ใช้ AirPlay SDK ได้ โดยอุปกรณ์เหล่านี้มีช่องโหว่ zero-click RCE ภายใต้ configurations ทุกรูปแบบ ด้วยช่องโหว่นี้อาจทำให้สามารถโจมตีแบบ wormable ได้ เนื่องจากช่องโหว่นี้เปิดเส้นทางการโจมตีที่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยไม่ต้องมีการตอบโต้จากผู้ใช้งาน

ตัวอย่างผลลัพธ์ของการโจมตีที่ประสบความสำเร็จ ได้แก่ สามารถแสดงภาพบนอุปกรณ์ หรือเล่นเพลง ไปจนถึงการใช้ไมโครโฟนของอุปกรณ์เพื่อฟังบทสนทนาที่อยู่ใกล้เคียง เช่น การแอบฟังผ่านอุปกรณ์ในห้องประชุมที่มีคนจำนวนมาก

Car-Play Devices - Zero-Click and One-Click RCE

CVE-2025-24132 เป็นช่องโหว่ stack-based buffer overflow และใช้ได้กับอุปกรณ์ CarPlay ช่องโหว่นี้ทำให้สามารถโจมตีแบบ zero-click RCE ภายใต้เงื่อนไขบางประการ

WiFi Conditions : เมื่อใช้ wifi hotspot ในอุปกรณ์ CarPlay ผู้โจมตีสามารถดำเนินการโจมตีแบบ RCE ได้หากอยู่ในบริเวณใกล้เคียงกับอุปกรณ์ CarPlay หากอุปกรณ์มีรหัสผ่าน wifi hotspot แบบคาดเดาได้ หรือทราบอยู่แล้ว ก็จะสามารถเข้าถึง และดำเนินการโจมตีแบบ RCE ได้
Bluetooth Conditions : อุปกรณ์ CarPlay จาก vendors บางราย มีการแลกเปลี่ยนข้อมูล WiFi credentials ผ่าน Bluetooth ผ่านโปรโตคอล IAP2 ซึ่งต้องใช้ PIN เพื่อจับคู่อุปกรณ์ ทำให้ Hacker สามารถดำเนินการโจมตี RCE ได้เนื่องจาก
1) อยู่ใกล้กับ CarPlay unit
2) สามารถดู และกรอก PIN ที่แสดงบนอุปกรณ์ AirPlay ได้ ในบางกรณี การโจมตีเป็นแบบ one-click RCE เนื่องจากจำเป็นต้องมีการตอบโต้จากเหยื่อ
USB Conditions : อุปกรณ์ CarPlay แบบ Non-wireless จะมีความเสี่ยงผ่านการเชื่อมต่อทาง physical connection (USB)

ตัวอย่างผลลัพธ์ของการโจมตี ได้แก่ การทำให้ผู้ขับขี่เสียสมาธิผ่านการแสดงภาพ และการเล่นเสียง หรือการกระทำที่อาจเป็นไปได้ เช่น การแอบฟังบทสนทนา และการติดตามตำแหน่งของรถ

การโจมตีอื่น ๆ

เนื่องจากผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ RCE รายงานนี้จึงมุ่งเน้นไปที่การให้รายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวเป็นหลัก

อย่างไรก็ตาม ตามที่กล่าวไว้ Attack Vectors และช่องโหว่อื่น ๆ ที่นอกเหนือจาก RCE อาจเกิดขึ้นได้โดยใช้ช่องโหว่ชุดนี้ ได้แก่ การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE), การควบคุม Access Control List (ACL) โดยไม่ต้องมีการโต้ตอบจากผู้ใช้, การอ่านไฟล์ในเครื่อง, การเปิดเผยข้อมูลที่มีความสำคัญ, การโจมตีแบบ Man-in-the-Middle (MITM) และการโจมตีแบบ Denial of service (DoS)
โดยจะให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับ Attack Vectors และช่องโหว่อื่น ๆ เหล่านี้ในบล็อก และการนำเสนอในอนาคต

เหตุใด Oligo จึงมุ่งตรวจสอบ AirPlay

Oligo ระบุว่า เริ่มการวิจัยนี้ตามผลงานเกี่ยวกับช่องโหว่ 0.0.0.0 Day: Exploiting Localhost APIs From the Browser ในขณะที่สแกนหาพอร์ตที่เปิดอยู่ซึ่งอาจเข้าถึงได้โดย 0.0.0.0 เราสังเกตเห็นว่าอุปกรณ์ส่วนใหญ่ในเครือข่ายภายในของเรามีพอร์ต AirPlay 7000 เปิดอยู่ เราเริ่มศึกษาคำสั่งพื้นฐานที่เซิร์ฟเวอร์ AirPlay จัดการด้วยความอยากรู้อยากเห็นเกี่ยวกับโปรโตคอลนี้ และรู้สึกประหลาดใจที่สามารถเข้าถึงคำสั่งโปรโตคอลหลายคำสั่งได้อย่างสมบูรณ์ในการตั้งค่าเริ่มต้น ระหว่างการตรวจสอบโปรโตคอลเบื้องต้น เราสังเกตเห็นรูปแบบบางอย่างภายในคำสั่งที่จัดการ flows ที่มี "code smell" อย่างมีประสิทธิภาพ flows ที่น่าสงสัยเหล่านี้ทำให้เราเจาะลึกลงไปอีก และดำเนินการวิจัยอย่างละเอียดนี้

ภาพรวมทางเทคนิค

Attack Vectors ทำงานอย่างไร

AirPlay จะสื่อสารผ่านพอร์ต 7000 โดยใช้ API ซึ่งผสมผสานคุณลักษณะต่าง ๆ ของ HTTP และ RTSP protocols ในระบบนี้คำสั่งจำนวนมาก โดยเฉพาะคำสั่งที่ต้องใช้พารามิเตอร์เพิ่มเติมจะถูกส่งเป็น HTTP data payloads ที่เข้ารหัสในรูปแบบ plist format

property list หรือ plist เป็นรูปแบบ structured data ซึ่งใช้กันอย่างแพร่หลายในระบบของ Apple เพื่อจัดลำดับ และจัดเก็บข้อมูล plist จะแสดงข้อมูลเป็นชุดลำดับชั้นของ key-value pairs ซึ่งช่วยให้จัดระเบียบข้อมูลที่ซับซ้อนได้ plist รองรับประเภทข้อมูลต่าง ๆ เช่น strings, numbers, dates, booleans, arrays และ dictionaries ที่สามารถจัดลำดับในรูปแบบ XML หรือ binary ก็ได้

API ของ Core Foundation ของ Apple มีบทบาทสำคัญในการจัดการไฟล์ plist API เหล่านี้ ซึ่งมีฟังก์ชันที่ครอบคลุมสำหรับการอ่าน, การเขียน และการทำสำเนา plist

เนื่องจาก plists เป็นวิธีหลักในการส่งอาร์กิวเมนต์ไปยัง AirPlay receiver การทำความเข้าใจอาร์กิวเมนต์ และโครงสร้างของอาร์กิวเมนต์จึงมีความสำคัญต่อการทำความเข้าใจโปรโตคอล นอกจากนี้ช่องโหว่จำนวนมากยังเกี่ยวข้องโดยตรงกับ plist argument parsing flows อีกด้วย

ตัวอย่างหนึ่งของช่องโหว่ type-confusion ที่เกิดจากการจัดการ plist parameters ที่ไม่เหมาะสม คือ CVE-2025-24129 เนื่องจากช่องโหว่นี้ได้รับการเผยแพร่ไปแล้วเมื่อเดือนมกราคม เราจึงรู้สึกสบายใจที่จะแบ่งปันรายละเอียดทางเทคนิคบางส่วนเกี่ยวกับช่องโหว่นี้ รายละเอียดทางเทคนิคสำหรับช่องโหว่ที่เหลือ รวมถึงช่องโหว่ที่เผยแพร่ในรายงานนี้จะโพสต์ในภายหลัง หลังจากที่เราแน่ใจว่าผู้ใช้งานส่วนใหญ่ได้รับการอัปเดตเป็นเวอร์ชันล่าสุดแล้ว และจะไม่ได้รับผลกระทบอีกต่อไป

ช่องโหว่ Type Confusion ที่สาธิตโดย CVE-2025-24129

URI: /getProperty
Method:  POST

getProperty command ใน AirPlay ใช้เพื่อรับคุณสมบัติ หรือการตั้งค่าเฉพาะจาก receiver เช่น ระดับเสียงปัจจุบัน หรือชื่ออุปกรณ์

CFPropertyCreateWithData method จะสร้างรายการคุณสมบัติจาก ข้อมูล HTTP ที่ส่งโดยไคลเอนต์ วิธีนี้สามารถ return ค่า CFType ที่แตกต่างกันได้ ขึ้นอยู่กับข้อมูลที่ผู้ใช้ให้มา (CFArray/CFString เป็นต้น)

property list จะถูกสร้างขึ้นโดยใช้ CFPropertyListCreateWithData โดยที่ประเภท (CFType) ของ plist ที่ได้นั้นจะไม่ถูกตรวจสอบ และถือว่าเป็น dictionary

หาก plist ที่สร้างขึ้นไม่ใช่ CFDictionary การเรียกใช้ method เช่น CFDictionaryGetValue กับ plist จะทำให้ process crash ได้

ความสามารถในการใช้โจมตี : CFDictionaryGetValue เป็นส่วนหนึ่งของไลบรารี CoreFoundation ทำให้ความสามารถในการโจมตีของปัญหานี้ขึ้นอยู่กับเวอร์ชันของ CoreFoundation ความแตกต่างในความสามารถในการใช้ประโยชน์ระหว่างเวอร์ชันของ Core Foundation นั้นเป็นจริงสำหรับ type confusions ส่วนใหญ่ที่เราพบ

ช่องโหว่ที่ไม่ได้รับ CVE-IDS

ทีมวิจัย Oligo Security รายงานช่องโหว่ 23 รายการให้ Apple ทราบ ช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว แต่ไม่ทั้งหมดที่ได้รับ CVE-ID ในบางกรณี Apple ได้จัดกลุ่มช่องโหว่บางรายการเป็น CVE เดียวตามวิธีการแก้ไข และระยะเวลาในการแก้ไข แทนที่จะพิจารณาตามประเภทช่องโหว่, ผลกระทบ หรือตำแหน่งในโค้ดของ AirPlay Protocol

ตัวอย่างของช่องโหว่สองรายการ และไม่ได้รับ CVE-ID :  

/setProperty Route Crash

URI: /setProperty
‍‍Method: PUT
‍‍Configurations: All
‍‍User Interaction: 1 click to accept connection

คำสั่ง setProperty ใน AirPlay ช่วยให้ผู้ส่งสามารถกำหนดค่าคุณสมบัติ หรือการตั้งค่าเฉพาะบน receiver ได้ โดยปรับองค์ประกอบต่าง ๆ เช่น ระดับเสียง, ตัวเลือกการเล่น หรือคุณสมบัติเฉพาะอุปกรณ์อื่น ๆ

ส่วนใหญ่แล้วคำสั่ง POST / PUT ของ AirPlay ต้องการ HTTP request ที่มีข้อมูลในรูปแบบ plist

เซิร์ฟเวอร์คาดว่า value key จะอยู่ใน /setProperty plist payload

value variable จะใช้เพื่อสร้างการ response โดยไม่มีการตรวจสอบว่าเป็นค่าว่างหรือไม่ :

หากผู้ใช้ไม่ได้ส่ง value key ในการ request value key มันจะเป็นค่าว่าง

การเรียก CFDictionarySetValue ด้วยค่าว่างจะส่งผลให้เกิด unhandled exception ซึ่งทำให้ ControlCenter process crash ได้

Remote user logout using WindowServer Crash

URI: rtsp://<ip>/stream
Method: SETUP
Configurations: Anyone on the same network
Configurations: Everyone
User Interaction: 0 click โดยใช้ CVE-2025-24206

วิธีการตั้งค่าใน AirPlay ซึ่งใช้ RTSP (Real-Time Streaming Protocol) เป็นส่วนหนึ่งของกระบวนการที่เริ่ม media stream จาก AirPlay sender (เช่น iPhone/iPad) ไปยัง receiver (เช่น Apple TV)

การส่งคำสั่ง SETUP หลายครั้งจะสร้าง video streams หลายรายการ เนื่องจากจำนวนสตรีมไม่ได้ถูกจำกัด จึงสามารถสร้างสตรีมได้ในลูป while การส่งสตรีมจำนวนมากจะเพิ่มการใช้หน่วยความจำ และเวลาตอบสนองของ WindowServer service หลังจากส่งคำสั่ง SETUP ไม่กี่วินาที watchdog จะหยุดการทำงานของ WindowServer ทำให้ผู้ใช้หลุดออกจากระบบ

ช่องโหว่นี้ทำให้ Hacker บนเครือข่ายสามารถออกจากระบบผู้ใช้จากเครือข่ายเดียวกัน หรือในบริเวณใกล้เคียงจากระยะไกลได้

ช่องโหว่ AirBorne

AirBorne ทำให้อุปกรณ์ต่าง ๆ เสี่ยงต่อการโจมตีหลายแบบ โดยแต่ละช่องโหว่สร้างความเสี่ยงด้านความปลอดภัยที่แตกต่างกัน ด้านล่างนี้ เราจะวิเคราะห์ประเภทของช่องโหว่เหล่านี้ที่อาจเกิดขึ้น รวมถึงผลกระทบที่อาจเกิดขึ้น

ACL and User Interaction Bypass

AirPlay ใช้คุณสมบัติหลักสองประการในการจัดการ permissions :

1.    ACL - จำกัดการเข้าถึงตาม AirPlay Receiver configuration

2.    Click to Accept - การดำเนินการบางอย่างจำเป็นต้องให้ผู้ใช้คลิก “Accept” และอนุมัติการเชื่อมต่อ AirPlay

เราค้นพบช่องโหว่ และปัญหาด้าน ACL bypass หลายรายการ และปัญหาด้านการ interaction bypass หนึ่งรายการ ซึ่งทำให้สามารถโจมตีได้หลายแบบ ด้วยช่องโหว่ AirBorne เมื่อกำหนดค่าอุปกรณ์ macOS เป็น default ของ AirPlay receiver{} และตั้งค่าเป็น "Current User"

CVE-2025-24206 ยังทำให้การโจมตีจำนวนมากเป็นแบบ zero-click ด้วยการ bypass การคลิก "Accept"

ช่องโหว่ User interaction bypass

ช่องโหว่ ACL issues and bypass

ช่องโหว่ Remote Code Execution (RCE)

ช่องโหว่ที่ร้ายแรงที่สุดในกลุ่มนี้ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ทำให้ Hacker สามารถเข้าควบคุมอุปกรณ์ที่มีช่องโหว่ได้อย่างสมบูรณ์ ช่องโหว่เหล่านี้ทำให้ AirBorne สามารถทำงานแบบ wormable ได้ หลังจากเจาะระบบอุปกรณ์เครื่องหนึ่งแล้ว Hacker สามารถใช้ช่องโหว่เดียวกันนี้เพื่อแพร่กระจายไปยังอุปกรณ์ และเครือข่ายอื่น ๆ ซึ่งจะทำให้อุปกรณ์ และเครือข่ายอื่น ๆ ได้รับผลกระทบ และเสียหายมากขึ้น

ช่องโหว่ Local Arbitrary file Read

ช่องโหว่อีกรายการหนึ่งทำให้ผู้ใช้ภายในเครื่องสามารถอ่านไฟล์ที่เป็นของผู้ใช้คนอื่นได้ โดยการใช้ช่องโหว่นี้ Hacker สามารถอ่านข้อมูลที่มีความสำคัญ, ดึงข้อมูล credentials หรืออาจควบคุมกระบวนการที่ทำงานด้วยสิทธิ์ที่สูงกว่าได้

ช่องโหว่ Sensitive Information Disclosure

ช่องโหว่ critical อีกรายการหนึ่งที่อาจทำให้ข้อมูลที่มีความสำคัญถูกเปิดเผยบนเครือข่าย ช่องโหว่นี้ทำให้ข้อมูล sensitive log data ถูกเปิดเผยต่อผู้ใช้ทุกคนบนเครือข่าย ทำให้ Hacker สามารถติดตามอุปกรณ์ และขโมยข้อมูลที่มีความสำคัญเกี่ยวกับผู้ใช้ และอุปกรณ์ได้

ช่องโหว่เพิ่มเติม

ช่องโหว่ต่อไปนี้ทำให้ Hacker สามารถดำเนินการต่าง ๆ ได้หลากหลาย เช่น Denial of Service (DoS) เนื่องจาก AirBorne มี CVE จำนวนมาก จึงไม่สามารถดำเนินการวิจัยเชิงลึกเกี่ยวกับการใช้ประโยชน์ที่อาจเกิดขึ้นได้

แม้ว่าช่องโหว่ที่กล่าวถึงข้างต้นอาจส่งผลกระทบได้หลากหลาย แต่การทำให้เซิร์ฟเวอร์ AirPlay ขัดข้องจะทำให้เกิดช่องโหว่ในการโจมตีแบบ man-in-the-middle ตัวอย่างเช่น การประชุมคณะกรรมการที่เพิ่งเริ่มต้นขึ้น CEO ต้องการ AirPlay การประชุมไปยังทีวีในสำนักงาน ผู้โจมตีสามารถใช้ช่องโหว่ DOS ช่องโหว่หนึ่งเพื่อ :

ใช้ประโยชน์จากช่องโหว่ DOS หนึ่งจุดเพื่อทำให้ AirPlay receiver ของทีวีหยุดทำงาน
Spoof identity ของทีวีบนเครือข่ายโดยใช้ mDNS
หลอกให้ CEO เริ่มสตรีมไปยังเซิร์ฟเวอร์ AirPlay ปลอม
ถ่ายทอดสตรีมของ CEO จากเซิร์ฟเวอร์ปลอมกลับไปยังทีวีจริง
จับภาพ และบันทึกเนื้อหาการประชุมทั้งหมดจากสตรีมที่ถูกดักฟัง

วิธีการป้องกันจากช่องโหว่

สำหรับองค์กร สิ่งสำคัญคืออุปกรณ์ Apple ขององค์กร และเครื่องอื่น ๆ ที่รองรับ AirPlay จะต้องอัปเดตเป็นซอฟต์แวร์เวอร์ชันล่าสุดทันที รวมถึงต้องแจ้งให้พนักงานทราบอย่างชัดเจนว่าอุปกรณ์ส่วนตัวทั้งหมดที่รองรับ AirPlay จะต้องได้รับการอัปเดตทันทีเช่นกัน

ขั้นตอนการแก้ไขที่แนะนำ

แนะนำให้ผู้ใช้อัปเดตอุปกรณ์ของตนเพื่อลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
Disable AirPlay Receiver : แนะนำให้ปิดใช้งาน AirPlay Receiver หากไม่ได้จำเป็นต้องใช้งาน
Restrict AirPlay Access : สร้าง firewall rules เพื่อจำกัด AirPlay communication (Port 7000 on Apple devices) ให้กับอุปกรณ์ที่เชื่อถือได้เท่านั้น เพิ่มความปลอดภัยเครือข่าย และลดการเปิดเผยข้อมูล
Restrict AirPlay Settings : เปลี่ยน “Allow AirPlay for” เป็น “Current User” แม้ว่าการดำเนินการนี้จะไม่สามารถป้องกันปัญหาทั้งหมดที่ระบุไว้ในรายงานได้ แต่ก็ช่วยลดความเสี่ยงการโจมตีของโปรโตคอลได้

เกี่ยวกับ Oligo Security Research

Oligo Security Research เป็นกลุ่มนักวิจัยด้านภัยคุกคามที่มีประสบการณ์ซึ่งมุ่งเน้นในการค้นหาช่องโหว่ใหม่ ๆ และ Attack Vectors ในซอฟต์แวร์ประเภทต่าง ๆ ที่ขับเคลื่อนโลก การค้นพบที่สำคัญบางส่วนของทีม ได้แก่ แคมเปญโจมตีซึ่งกำหนดเป้าหมายไปที่ AI workloads ที่ถูกใช้โจมตีจริง (ShadowRay) ช่องโหว่อายุเกือบ 20 ปีในเว็บเบราว์เซอร์ยอดนิยมที่เปิดใช้งาน RCE (0.0.0.0 Day) และช่องโหว่ใน popular AI frameworks ยอดนิยม รวมถึง Meta-Lllama และ Ollama

ที่มา : oligo.

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา (11 มีนาคม 2025) เพื่อแก้ไขช่องโหว่ Zero-day ที่บริษัทระบุว่ากำลังถูกใช้ในการโจมตี (more…)

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day ซึ่งบริษัทระบุว่ากำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย และมีความซับซ้อนสูง (more…)

ทีมนักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ Side-Channel รูปแบบใหม่ในโปรเซสเซอร์รุ่นใหม่ของ Apple ซึ่งอาจถูกใช้เพื่อขโมยข้อมูลสำคัญจากเว็บเบราว์เซอร์ได้ (more…)

Apple ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day รายการแรกของปี 2025 ซึ่งถูกระบุว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ผู้ใช้ iPhone (more…)

พบกลุ่ม Hacker กำลังใช้กลวิธีเพื่อหลอกล่อให้ผู้ใช้งานปิดฟีเจอร์ Phishing Protection สำหรับข้อความของ Apple iMessage และหลังจากนั้นก็เปิดกลับมาอีกครั้ง

(more…)

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-44308 กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง โดยกระทบกับ Apple Safari หลายเวอร์ชันบนแพลตฟอร์ม iOS, visionOS และ macOS

ช่องโหว่ดังกล่าวอยู่ภายในคอมไพเลอร์ DFG JIT ของ WebKit ทำให้เกิดการโจมตีในรูปแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) (more…)

Apple ได้ออกอัปเดตแพตซ์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-Day 2 รายการที่ถูกนำไปใช้ในการโจมตีระบบ Mac ที่ใช้ Intel-based (more…)