Apple แก้ไขช่องโหว่ Zero-day ใหม่ 3 รายการที่กำลังถูกใช้ในการโจมตีเพื่อเจาะเข้า iPhone, Mac และ iPad [EndUser]

ช่องโหว่ทั้งหมดถูกพบใน WebKit browser หลายแพลตฟอร์ม และมีหมายเลข CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373

ช่องโหว่แรกคือ Sandbox Escape ที่ทำให้ผู้โจมตีจากภายนอกสามารถเจาะผ่าน Sandbox ได้ ส่วนอีก 2 รายการเป็นช่องโหว่ out-of-bounds read ที่ทำให้ผู้โจมตีเข้าถึงข้อมูลที่มีความสำคัญได้ และช่องโหว่ use-after-free ที่สามารถเรียกใช้โค้ดที่เป็นอันตรายบนเครื่องเหยื่อได้โดยไม่ได้รับอนุญาต ภายหลังจากเหยื่อเข้าถึงหน้าเว็บไซต์ที่ผู้ไม่หวังดีออกแบบมาเป็นพิเศษ

Apple แก้ไขช่องโหว่ Zero-day ทั้ง 3 รายการ ใน macOS Ventura 13.4, iOS และ iPadOS 16.5, tvOS 16.5, watchOS 9.5 และ Safari 16.5 ด้วยการปรับปรุงขั้นตอนการตรวจสอบต่าง ๆ เช่น input validation และ memory management (more…)

กลุ่ม LockBit ขู่ปล่อยข้อมูลรั่วไหลของห้างซูเปอร์มาร์เก็ตชื่อดังของไทย

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)

Apple ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-day สำหรับ iOS, iPadOS, macOS และ Safari [EndUser]

เมื่อวันศุกร์ที่ผ่านมา (7 เม.ย. 2566) Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day สองรายการที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน (more…)

Apple ออกแพตซ์แก้ไขช่องโหว่ Zero-day บน WebKit ที่ใช้ในการโจมตี iPhones และ Macs {ENDUSER}

Apple ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกนำมาใช้ในการโจมตี iPhones, iPads และ Macs

โดยช่องโหว่ที่ได้รับการแก้ไขมีหมายเลข CVE-2023-23529 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำให้ OS หยุดการทำงาน รวมถึงสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่ใช้ iOS, iPadOS และ macOS เวอร์ชันที่มีช่องโหว่ได้ หากมีการเปิดใช้งานเว็บไซต์ที่ถูกสร้างขึ้นมาเป็นพิเศษจากผู้โจมตี (ช่องโหว่ดังกล่าวยังส่งผลกระทบต่อ Safari 16.3.1 บน macOS Big Sur และ Monterey) (more…)

Apple ออกอัปเดตแก้ไขช่องโหว่สำหรับอุปกรณ์รุ่นเก่า ที่กำลังถูกโจมตีอยู่ในปัจจุบัน

Apple ได้แก้ไขช่องโหว่ด้านความปลอดภัย ซึ่งพึ่งถูกเปิดเผยออกมาเมื่อเร็ว ๆ นี้ โดยส่งผลกระทบต่ออุปกรณ์รุ่นเก่า ๆ ของ Apple โดยอ้างอิงจากหลักฐานที่ช่องโหว่ถูกนำไปใช้ ซึ่งถูกพบโดย Clément Lecigne จาก Threat Analysis Group (TAG) ของ Google (more…)

Apple ออกแพตซ์อัปเดตช่องโหว่ Zero-Day บน iOS และ macOS ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

Apple ได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการบน iOS และ macOS รวมถึง Zero-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลายในปัจจุบัน

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-32917 (CVSS: 8.4) เป็นข้อผิดพลาดภายใน OS kernel ที่ทำให้ malicious app สามารถรันโค้ดที่เป็นอันตรายได้ด้วยสิทธิของ Kernel privileges

และนอกจากช่องโหว่ดังกล่าว ทาง Apple ก็ยังได้มีการออกแพตช์อัปเดตความปลอดภัยของช่องโหว่อื่น ๆ อีก 7 รายการ ดังนี้

CVE-2022-22587 (IOMobileFrameBuffer) – Malicious Application สามารถรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-22594 (WebKit Storage) - เว็บไซต์สามารถเข้าถึงข้อมูลที่มีความสำคัญของผู้ใช้งานได้
CVE-2022-22620 (WebKit) – การเข้าใช้งานเว็ปไซต์ที่เป็นอันตรายที่ถูกสร้างขึ้นเป็นพิเศษ อาจทำให้ถูกสั่งรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-22674 (Intel Graphics Driver) – Application สามารถอ่านข้อมูลในหน่วยความจำของ Kernel ได้
CVE-2022-22675 (AppleAVD) – Application สามารถรันโค้ดได้ตามต้องการโดยใช้สิทธิ Kernel privilege
CVE-2022-32893 (WebKit) - การเข้าใช้งานเว็ปไซต์ที่เป็นอันตรายที่ถูกสร้างขึ้นเป็นพิเศษ อาจทำให้ถูกสั่งรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-32894 (Kernel) - Application สามารถรันโค้ดได้ตามต้องการโดยใช้สิทธิ Kernel privilege

คำแนะนำ

Apple ได้ออกแพตช์อัปเดตเพื่อแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว โดยมีรายละเอียดดังนี้

Patch iOS 16 : สำหรับ iPhone 8 ขึ้นไป

Patch iOS 15.7 : สำหรับ iPhone 6s ขึ้นไป และ iPod touch 7 generation

Patch iPadOS 15.7 : สำหรับ iPad Pro ทุกรุ่น, iPad Air 2 ขึ้นไป, iPad 5th generation ขึ้นไป และ iPad mini 4 ขึ้นไป

Patch macOS Big Sur 11.7 และ macOS Monterey 12.6 : อุปกรณ์ Mac ที่มีการใช้งาน Big sur และ Monterey

ที่มา : thehackernews , cybersecurity

Apple ออกอัปเดตฉุกเฉิน แก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการแฮ็กเครื่อง Mac และ Apple Watch

Apple ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีไปยังอุปกรณ์ Mac และ Apple Watch

ในคำแนะนำด้านความปลอดภัยที่ออกมาเมื่อวันจันทร์จาก Apple มีการระบุว่าทาง Apple ได้รับทราบถึงรายงานของช่องโหว่ด้านความปลอดภัยนี้แล้ว และยังคาดว่าอาจมีการนำไปใช้ในการโจมตีจริง นักวิจัยที่ไม่ได้ระบุชื่อเป็นผู้รายงานช่องโหว่ดังกล่าว และได้รับการแก้ไขจาก Apple ใน macOS Big Sur 11.6, watchOS 8.6 และ tvOS 15.5 โดยช่องโหว่เกิดจาก out-of-bounds write issue (CVE-2022-22675) ใน AppleAVD (kernel extension สำหรับการถอดรหัสเสียง และวิดีโอ) ที่ทำให้แอปสามารถสั่งรันโค้ดได้ตามต้องการด้วยสิทธิ์ของ kernel

อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Apple Watch Series 3 หรือใหม่กว่า, Mac ที่ใช้ macOS Big Sur, Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD

แม้ว่า Apple ได้เปิดเผยรายงานว่าคาดว่าน่าจะมีการโจมตีเกิดขึ้นจริงแล้ว แต่ก็ยังไม่มีข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

Apple ตั้งเป้าอัปเดตด้านความปลอดภัยบน Apple Watch และ Mac ให้กับผู้ใช้งานให้ได้มากที่สุด ก่อนที่ผู้โจมตีจะรู้รายละเอียดของ Zero-day และเริ่มนำมาปรับใช้ในการโจมตีส่วนอื่นๆ แม้ว่า Zero-day นี้ส่วนใหญ่จะใช้โจมตีได้แค่บางอุปกรณ์เท่านั้น แต่ทาง Apple ก็แนะนำให้ผู้ใช้งานรีบอัปเดต macOS และ watchOS โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

5 Zero-days ที่ถูกแพตช์ในปี 2022

ในเดือนมกราคม Apple ได้ทำการแพตช์ Zero-days อีกสองตัวที่ถูกใช้ในการโจมตีเป็นวงกว้าง โดยผู้โจมตีสามารถเรียกใช้โค้ดด้วยสิทธิ์เคอร์เนล (CVE-2022-22587) และเก็บข้อมูลการเข้าใช้งานเว็บไซต์, ข้อมูลประจำตัวผู้ใช้แบบเรียลไทม์ (CVE-2022-22594)

หนึ่งเดือนต่อมา Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-days (CVE-2022-22620) ใหม่ ซึ่งถูกใช้ในการแฮ็ก iPhone, iPad และ Mac ซึ่งสามารถทำให้เกิด OS crashes รวมถึงการสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ Apple ที่ถูกโจมตีได้

ในเดือนมีนาคมก็มีการพบ Zero-days อีกสองตัวใน Intel Graphics Driver (CVE-2022-22674) และ AppleAVD media decoder (CVE-2022-22675) ใน macOS เวอร์ชันเก่า, watchOS 8.6 และ tvOS 15.5

Zero-days ทั้ง 5 นี้ส่งผลกระทบต่อ iPhone (iPhone 6s ขึ้นไป), Mac ที่ใช้ macOS Monterey และ iPad หลายรุ่น

ซึ่งตลอดปีที่ผ่านมา Apple ยังได้ออกแพตซ์แก้ไขช่องโหว่ Zero-days อีกจำนวนมากที่ถูกมุ่งเป้าโจมตีไปยังอุปกรณ์ iOS, iPadOS และ macOS

ที่มา: bleepingcomputer

Apple ออกแพตซ์อัปเดตเร่งด่วน ช่องโหว่ Zero-Day จำนวน 2 ช่องโหว่

Apple ออกแพตซ์อัปเดทด้านความปลอดภัย ซึ่งเกี่ยวกับช่องโหว่ Zero-day จำนวน 2 ช่องโหว่ ได้แก่

Apple Bulletin HT213219: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 บน iOS และ iPadOS แนะนำให้อัปเดทเป็นเวอร์ชัน 15.4.1
Apple Bulletin HT213220: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 และ ช่องโหว่ kernel data leakage CVE-2022-22674 บน macOS Monterey แนะนำให้อัปเดทเป็นเวอร์ชัน 12.3.1
โดย iOS, iPadOS หรือ macOS เวอร์ชันก่อนหน้านี้จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว หรืออีกกรณีหนึ่งก็คือยังไม่มีการออกอัปเดทสำหรับเวอร์ชันเหล่านั้นออกมา

Apple ยังไม่ได้ประกาศเกี่ยวกับเวอร์ชันอื่นๆ ที่ยังไม่ได้รับการอัปเดต ดังนั้นผู้ใช้งานจึงยังไม่สามารถมั่นใจได้ว่าเวอร์ชันเหล่านั้นจะไม่ได้รับผลกระทบ ต้องรอการอัปเดตจากทาง Apple ต่อไป

ในรายการอัปเดตของ Apple รายการที่ HT201222 ระบุถึงการอัปเดต tvOS 15.4.1 และ watchOS 8.5.1 แต่เป็นที่น่าสังเกตว่าการอัปเดตเหล่านี้ "ยังไม่มีระบุเลข CVE ของช่องโหว่"

(more…)

Apple แก้ไขช่องโหว่ Zero-day บน IOS ที่ถูกใช้ในการติดตั้งสปายแวร์ NSO บน iPhone

Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ที่ถูกพบในการโจมตี iPhone และ Mac เพื่อติดตั้งสปายแวร์ Pegasus

ช่องโหว่นี้คือ CVE-2021-30860 และ CVE-2021-30858 โดยช่องโหว่ทั้งสองส่งผลทำให้สามารถมีการรันโค้ดที่เป็นอันตรายที่ถูกฝังไว้ในเอกสารที่ผู้โจมตีสร้างขึ้นได้

ช่องโหว่ CVE-2021-30860 CoreGraphics เป็นบั๊ก integer overflow ที่ค้นพบโดย Citizen Lab ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเอกสาร PDF ที่เป็นอันตรายซึ่งรันคำสั่งเมื่อเปิดใน iOS และ macOS

CVE-2021-30858 เป็นช่องโหว่บน WebKit ที่เมื่อมีการเข้าถึงหน้าเว็ปไซต์ที่ผู้โจมตีสร้างขึ้นด้วย iPhone และ macOS จะทำให้สามารถถูกรันคำสั่งที่เป็นอันตรายที่อยู่บนหน้าเว็ปไซต์ได้ เบื้องต้นทาง Apple ระบุว่าช่องโหว่นี้ถูกเปิดเผยแพร่ออกสู่สาธารณะแล้วอีกด้วย

แม้ว่า Apple จะไม่เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี แต่ Citizen Lab ได้ยืนยันว่า CVE-2021-30860 เป็นการใช้ประโยชน์จาก iMessage แบบ zero-day zero-click ที่ชื่อว่า 'FORCEDENTRY'

พบว่ามีการใช้ช่องโหว่ของ FORCEDENTRY เพื่อหลีกเลี่ยงระบบความปลอดภัยบน iOS BlastDoor เพื่อติดตั้งสปายแวร์ NSO Pegasus บนอุปกรณ์ที่เป็นของนักเคลื่อนไหวชาวบาห์เรน

BleepingComputer ได้ติดต่อ Citizen Lab พร้อมคำถามเพิ่มเติมเกี่ยวกับการโจมตี แต่ยังไม่ได้รับการตอบกลับในขณะนี้

Apple Zero-days อาละวาดในปี 2021
เป็นปีที่หนักมากสำหรับ Apple เพราะดูเหมือนว่าจะมีช่องโหว่ Zero-days อย่างต่อเนื่อง ซึ่งใช้ในการโจมตีเป้าหมายเป็นอุปกรณ์ iOS และ Mac

การโจมตีจาก FORCEDENTRY เปิดเผยในเดือนสิงหาคม (ก่อนหน้านี้ถูกติดตามโดย Amnesty Tech ในชื่อ Megalodon)
iOS zero-days สามช่องโหว่ (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) ที่ถูกใช้ในการโจมตีในเดือนกุมภาพันธ์
zero-day ใน iOS หนึ่งช่องโหว่ (CVE-2021-30661) ในเดือนมีนาคม ที่อาจมีการใช้ในการโจมตีเป็นวงกว้างได้ในอนาคต
หนึ่งช่องโหว่ zero-days ใน macOS (CVE-2021-30657) เดือนเมษายน ถูกใช้โจมตีโดยมัลแวร์ Shlayer
iOS zero-days อีกสามตัว (CVE-2021-30663, CVE-2021-30665 และ CVE-2021-30666) ในเดือนพฤษภาคม ที่สามารถทำให้มีการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) จากการเข้าเว็บไซต์ที่เป็นอันตราย
macOS zero-day (CVE-2021-30713) ในเดือนพฤษภาคม ซึ่งถูกใช้โดยมัลแวร์ XCSSET เพื่อเลี่ยง TCC privacy protections ของ Apple
zero-day ของ iOS สองช่องโหว่ (CVE-2021-30761 และ CVE-2021-30762) ในเดือนมิถุนายนที่ถูกใช้ในการแฮ็คเข้าสู่อุปกรณ์ iPhone, iPad และ iPod รุ่นเก่า
Project Zero ยังได้มีการเปิดเผยช่องโหว่ Zero-day อีก 11 ช่องโหว่ในปีนี้ ซึ่งใช้ในการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ Windows, iOS และ Android

อัปเดต 9/13/21: ยืนยันจาก Citizen Labs ว่าการอัปเดตนี้แก้ไขช่องโหว่ของ FORCEDENTRY ได้เรียบร้อยแล้ว

ที่มา : bleepingcomputer

Apple ออกแพตช์เร่งด่วน หลังพบช่องโหว่ Zero-Day 2 ช่องโหว่ถูกนำมาใช้ในการโจมตี

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออกอัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day
2 ช่องโหว่ใน iOS 12.5.3 หลังพบว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง

อัปเดตล่าสุดของ iOS 12.5.4 มาพร้อมกับการแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 ช่องโหว่ คือ memory corruption ใน ASN.1 decoder (CVE-2021-30737) และอีก 2 ช่องโหว่ที่เกี่ยวกับ Webkit browser engine ที่อาจทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีรายละเอียดดังนี้

CVE-2021-30761 – ปัญหา memory corruption ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น โดยช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
CVE-2021-30762 – ปัญหา use-after-free ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น ช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
ทั้ง CVE-2021-30761 และ CVE-2021-30762 ถูกรายงานไปยัง Apple โดยผู้ที่ไม่ประสงค์ออกนาม โดยบริษัทที่อยู่ใน Cupertino ได้ระบุไว้ในคำแนะนำว่าช่องโหว่ดังกล่าวอาจจะถูกใช้ในการโจมตีแล้วในปัจจุบัน โดยปกติแล้ว Apple จะไม่เปิดเผยรายละเอียดใดๆ เกี่ยวกับลักษณะของการโจมตี และเหยื่อที่อาจตกเป็นเป้าหมาย หรือกลุ่มผู้โจมตีที่เกี่ยวข้อง

อย่างไรก็ตามความพยายามในการโจมตี จะเป็นการมุ่งเป้าไปที่อุปกรณ์รุ่นเก่า เช่น iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6) ซึ่ง Apple ได้มีการแก้ไขช่องโหว่ buffer overflow (CVE-2021-30666) ไปเมื่อวันที่ 3 พฤษภาคม
ที่ผ่านมา

นอกจากช่องโหว่ข้างต้นแล้ว Apple ยังได้แก้ไขช่องโหว่ Zero-day อีก 12 ช่องโหว่ ที่อาจส่งผล
กระทบต่อ iOS, iPadOS, macOS, tvOS และ watchOS ตั้งแต่ต้นปี มีรายละเอียดดังนี้

CVE-2021-1782 (Kernel) - ช่องโหว่ในระดับ Kernel ซึ่งส่งผลให้แอพพลิเคชั่นที่เป็นอันตรายสามารถยกระดับสิทธิ์การโจมตีได้
CVE-2021-1870 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021-1871 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021 -1879 (WebKit) - ช่องโหว่ใน Webkit ที่เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้นอาจทำให้ถูกโจมตีในรูปแบบ universal cross-site scripting ได้
CVE-2021-30657 (System Preferences) - ช่องโหว่ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเลี่ยงการตรวจสอบจาก Gatekeeper ได้
CVE-2021-30661 (WebKit Storage) - ช่องโหว่ใน WebKit Storage ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30663 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30665 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30666 (WebKit ) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30713 (TCC framework) - ช่องโหว่ TCC framework ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถ bypass การตั้งค่าความเป็นส่วนตัวได้
แนะนำให้ผู้ใช้อุปกรณ์ Apple อัปเดตระบบปฏบัติการให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากช่องโหว่ข้างต้น

ที่มา: thehackernews.