แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

Microsoft ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับ Windows 8.1 และ Windows Server 2012 R2 เพื่อเเก้ปัญหาช่องโหว่ใน Windows Remote Access

Microsoft ได้ออกแพตซ์อัปเดตความปลอดภัย KB4578013 สำหรับ Windows 8.1 และ Windows Server 2012 R2 เป็นกรณีฉุกเฉิน โดยเเพตซ์ที่ได้รับการอัปเดตนี้จะเเก้ไขช่องโหว่จำนวน 2 รายการ คือ CVE-2020-1530 และ CVE-2020-1537 ซึ่งเป็นช่องโหว่ Elevation-of-privilege (EoP) หรือการยกระดับสิทธ์ที่จะส่งผลต่อเซอร์วิส Windows Remote Access

ช่องโหว่เเรกถูกติดตามด้วยรหัส CVE-2020-1530 (CVSS: 7.8/10) ช่องโหว่เกิดจาก Windows Remote Access จัดการหน่วยความจำไม่ถูกต้อง ซึ่งการจะใช้ช่องโหว่ให้สำเร็จผู้โจมตีต้องรันโค้ดบนระบบของเป้าหมายก่อน จากนั้นผู้โจมตีจึงจะสามารถเรียกใช้แอปพลิเคชันที่ออกแบบมาเป็นพิเศษเพื่อทำการยกระดับสิทธิ์

ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2020-1537 (CVSS: 7.8/10) ช่องโหว่เกิดจาก Windows Remote Access จัดการการทำงานของไฟล์อย่างไม่เหมาะสม การใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีต้องรันโค้ดบนระบบของเป้าหมายก่อน จากนั้นผู้โจมตีจึงจะสามารถเรียกใช้แอปพลิเคชันที่ออกแบบมาเป็นพิเศษเพื่อทำการยกระดับสิทธิ์

เพื่อเป็นการเเก้ไขปัญหา Microsoft ได้เเนะนำให้ผู้ใช้ Windows 8.1 และ Windows Server 2012 R2 ทำการอัปเดตแพตซ์อัปเดตความปลอดภัย KB4578013 โดยเร็วที่สุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์ช่องโหว่ทำการโจมตีระบบ

ที่มา: threatpost | bleepingcomputer