It’s 2019 and you can still pwn an iPhone with a website: Apple patches up iOS, Mac bugs in July security hole dump

Apple ได้ประกาศอัปเดตด้านความปลอดภัยในหลายผลิตภัณฑ์

Apple ได้ประกาศอัปเดตด้านความปลอดภัยแก้ช่องโหว่ใน iOs, MacOS, Safari, watchOS และ tvOS ซึ่งส่วนมากเป็นช่องโหว่ใน WebKit browser engine ที่ใช้งานในหลายผลิตภัณฑ์

สำหรับใน iOS รุ่น 12.4 มีการแก้ไขทั้งหมด 37 รายการ ส่วนมากเป็นช่องโหว่ใน WebKit รวม 19 ช่องโหว่ ซึ่งช่องโหว่ส่วนมากเกี่ยวกับ memory corruption ทำให้ผู้ใช้งานถูกโจมตีจากเว็บไซต์อันตรายได้ มีการแก้ช่องโหว่ในแอป wallet ซึ่งทำให้ผู้ใช้จ่ายเงินได้แม้หน้าจอยังล็อค ซึ่งค้นพบโดย Jeff Braswell รวมถึงการแก้ไขข้อผิดพลาดในซอฟต์แวร์ iOS Telephony ที่อนุญาตให้การเชื่อมต่อ Walkie-Talkie ถูกเปิดใช้งานโดยที่ไม่ได้รับอนุญาตพร้อมกับการโทร ค้นพบโดยนักวิจัย Marius Alexandru Boeru และเพื่อนร่วมงาน

MacOS มีช่องโหว่ทั้งหมด 44 ช่องโหว่ในระบบ Mojave, High Sierra และ Sierra โดยช่องโหว่ส่วนมากคือช่องโหว่ใน WebKit เช่นเดียวกับ watchOS และ tvOS

ที่มา:theregister

พบช่องโหว่ใน iOS และ Mac OS X ผู้ประสงค์ร้ายควบคุมเครื่องได้ผ่าน MMS, อีเมล, เว็บไซต์

นักวิจัยจาก Cisco Talos พบช่องโหว่ในระบบปฏิบัติการ iOS, Mac OS X, watchOS และ tvOS โดยช่องโหว่นี้เกิดจากความผิดพลาดในส่วน ImageIO ที่ใช้ประมวลผลไฟล์รูปภาพ ทำให้แฮกเกอร์สามารถส่งไฟล์รูปภาพที่มีโค้ดอันตรายฝังอยู่เข้ามาเพื่อควบคุมเครื่องได้

วิธีการโจมตีสามารถทำได้หลายช่องทาง เช่น ส่งไฟล์รูปภาพมาทาง MMS, iMessage ส่งอีเมลที่มีไฟล์รูปภาพ หรือหลอกให้ผู้ใช้เข้าเว็บไซต์ที่ทำไว้สำหรับโจมตี สาเหตุที่ทำให้ช่องโหว่นี้มีระดับความอันตรายสูงเนื่องจากเครื่องเป้าหมายสามารถถูกโจมตีได้สำเร็จโดยไม่จำเป็นต้องได้รับการยืนยันใดๆ จากผู้ใช้

ปัจจุบัน Apple ได้ออกอัปเดตแก้ไขช่องโหว่นี้แล้ว ผู้ใช้งานควรอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด (iOS 9.3.3, Mac OS X 10.11.6, tvOS 9.2.2 และ watchOS 2.2.2) เพื่อป้องกันการถูกโจมตี

ที่มา : thehackernews