Apple ออกแพตซ์อัปเดทด้านความปลอดภัย ซึ่งเกี่ยวกับช่องโหว่ Zero-day จำนวน 2 ช่องโหว่ ได้แก่

Apple Bulletin HT213219: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 บน iOS และ iPadOS แนะนำให้อัปเดทเป็นเวอร์ชัน 15.4.1
Apple Bulletin HT213220: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 และ ช่องโหว่ kernel data leakage CVE-2022-22674 บน macOS Monterey แนะนำให้อัปเดทเป็นเวอร์ชัน 12.3.1
โดย iOS, iPadOS หรือ macOS เวอร์ชันก่อนหน้านี้จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว หรืออีกกรณีหนึ่งก็คือยังไม่มีการออกอัปเดทสำหรับเวอร์ชันเหล่านั้นออกมา

Apple ยังไม่ได้ประกาศเกี่ยวกับเวอร์ชันอื่นๆ ที่ยังไม่ได้รับการอัปเดต ดังนั้นผู้ใช้งานจึงยังไม่สามารถมั่นใจได้ว่าเวอร์ชันเหล่านั้นจะไม่ได้รับผลกระทบ ต้องรอการอัปเดตจากทาง Apple ต่อไป

ในรายการอัปเดตของ Apple รายการที่ HT201222 ระบุถึงการอัปเดต tvOS 15.4.1 และ watchOS 8.5.1 แต่เป็นที่น่าสังเกตว่าการอัปเดตเหล่านี้ "ยังไม่มีระบุเลข CVE ของช่องโหว่"

(more…)

Apple ประกาศแพตช์ด้านความปลอดภัยเมื่ออาทิตย์ที่ผ่านมา โดยแพตช์ซึ่งออกมานั้นมีการปิดการโจมตีช่องโหว่ zero-day ทั้ง 3 รายการใน iOS ซึ่งตรวจพบว่าถูกใช้โดยผู้ไม่ประสงค์ดีแล้วโดย Google Project Zero

Google Project Zero ตรวจพบว่ามีผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ 3 รายการได้แก่ CVE-2020-27930, CVE-2020-27932 และ CVE-2020-27950 ในการโจมตีจริง ช่องโหว่แรกนั้นเป็นช่องโหว่ memory corruption ในไลบรารี FontParser ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากไฟล์ฟอนต์แบบพิเศษได้ สองช่องโหว่ที่เหลือเป็นช่องโหว่สำหรับยกระดับสิทธิ์ และช่องโหว่ที่ช่วยข้ามผ่านมาตราการด้านความปลอดภัย

อุปกรณ์ที่ได้รับการแพตช์ได้แก่ iOS, iPadOS, macOS และ watchOS ซึ่งสามารถทำได้อัปเดตได้ทันทีจากหน้าต่างการตั้งค่าของอุปกรณ์ ขอให้ทำการอัปเดตทันทีเพื่อลดความเสี่ยงจากช่องโหว่

ที่มา: thehackernews

 

การอัปเดตด้านความปลอดภัยของ Apple ในสัปดาห์นี้กล่าวถึงช่องโหว่มากมายใน macOS Catalina, iOS และ iPadOS, Safari และผลิตภัณฑ์ซอฟต์แวร์อื่น ๆ

macOS Catalina ได้รับแพตช์สำหรับช่องโหว่จำนวนมากที่สุดคือ 52 ส่วน ที่ได้รับผลกระทบมากที่สุดคือ tcpdump โดยมีช่องโหว่ทั้งหมด 32 ช่อง Apple แก้ไขข้อบกพร่องด้านความปลอดภัยโดยอัปเดตเป็น tcpdump เวอร์ชัน 4.9.3 และ libpcap เวอร์ชัน 1.9.1

Apple ยังได้แก้ไขข้อบกพร่องด้านความปลอดภัย 6 รายการใน OpenLDAP โดยอัปเดตเป็นรุ่น 2.4.28 รวมถึงช่องโหว่ 4 ช่องโหว่ในเคอร์เนลผ่านการปรับปรุงการจัดการหน่วยความจำ ส่วนประกอบอื่น ๆ ที่ได้รับการแก้ไข ได้แก่ ATS, Bluetooth, CallKit, CFNetwork Proxies, CUPS, FaceTime, libexpat และความปลอดภัย

ในขณะที่ช่องโหว่ส่วนใหญ่ส่งผลกระทบต่อ macOS Catalina 10.15 เท่านั้น แต่บางช่องโหว่มีผลกับ macOS High Sierra 10.13.6 และ macOS Mojave 10.14.6 เช่นกัน

การอัปเดตที่เผยแพร่สำหรับ iOS และ iPadOS ทำการแก้ไขทั้งหมด 14 ช่องโหว่ ส่วน bug ใน FaceTime ที่อาจนำไปสู่การโจมตีรูปแบบ arbitrary code execution นั้นได้รับการแก้ไขด้วยการเปิดตัว iOS 12.4.4 ซึ่งสำหรับ iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch รุ่นที่ 6

ข้อบกพร่องที่เหลือถูกแก้ไขใน iOS 13.3 และ iPadOS 13.3 สำหรับ iPhone 6s , iPad Air 2 , iPad mini 4 iPod touch 7 และรุ่นที่ใหม่กว่า ที่ส่งผลกระทบต่อ CallKit, CFNetwork Proxies, FaceTime, IOSurfaceAccelerator IOUSBDeviceFamily, Kernel, libexpat, Photos, security และ WebKit watchOS 6.1.1 (สำหรับ Apple Watch Series 1 และรุ่นที่ใหม่กว่า) รวมถึงโปรแกรมแก้ไขสำหรับ 10 ช่องโหว่ใน CallKit, CFNetwork Proxies, FaceTime, IOUSBDeviceFamily, เคอร์เนล, libexpat, security และ WebKit tvOS 13.3

Apple ยังกล่าวถึงข้อบกพร่องของ FaceTime ที่ Silvanovich ค้นพบใน watchOS 5.3.4
Safari 13.0.4 ได้ปล่อยแพทช์สำหรับสองช่องโหว่ใน WebKit ที่อาจนำไปสู่การโจมตี arbitrary code execution ขณะที่ Xcode 11.3 มาพร้อมกับการแก้ไขปัญหาใน ld64

ที่มา securityweek

Apple ได้ประกาศอัปเดตด้านความปลอดภัยในหลายผลิตภัณฑ์

Apple ได้ประกาศอัปเดตด้านความปลอดภัยแก้ช่องโหว่ใน iOs, MacOS, Safari, watchOS และ tvOS ซึ่งส่วนมากเป็นช่องโหว่ใน WebKit browser engine ที่ใช้งานในหลายผลิตภัณฑ์

สำหรับใน iOS รุ่น 12.4 มีการแก้ไขทั้งหมด 37 รายการ ส่วนมากเป็นช่องโหว่ใน WebKit รวม 19 ช่องโหว่ ซึ่งช่องโหว่ส่วนมากเกี่ยวกับ memory corruption ทำให้ผู้ใช้งานถูกโจมตีจากเว็บไซต์อันตรายได้ มีการแก้ช่องโหว่ในแอป wallet ซึ่งทำให้ผู้ใช้จ่ายเงินได้แม้หน้าจอยังล็อค ซึ่งค้นพบโดย Jeff Braswell รวมถึงการแก้ไขข้อผิดพลาดในซอฟต์แวร์ iOS Telephony ที่อนุญาตให้การเชื่อมต่อ Walkie-Talkie ถูกเปิดใช้งานโดยที่ไม่ได้รับอนุญาตพร้อมกับการโทร ค้นพบโดยนักวิจัย Marius Alexandru Boeru และเพื่อนร่วมงาน

MacOS มีช่องโหว่ทั้งหมด 44 ช่องโหว่ในระบบ Mojave, High Sierra และ Sierra โดยช่องโหว่ส่วนมากคือช่องโหว่ใน WebKit เช่นเดียวกับ watchOS และ tvOS

ที่มา:theregister

นักวิจัยจาก Cisco Talos พบช่องโหว่ในระบบปฏิบัติการ iOS, Mac OS X, watchOS และ tvOS โดยช่องโหว่นี้เกิดจากความผิดพลาดในส่วน ImageIO ที่ใช้ประมวลผลไฟล์รูปภาพ ทำให้แฮกเกอร์สามารถส่งไฟล์รูปภาพที่มีโค้ดอันตรายฝังอยู่เข้ามาเพื่อควบคุมเครื่องได้

วิธีการโจมตีสามารถทำได้หลายช่องทาง เช่น ส่งไฟล์รูปภาพมาทาง MMS, iMessage ส่งอีเมลที่มีไฟล์รูปภาพ หรือหลอกให้ผู้ใช้เข้าเว็บไซต์ที่ทำไว้สำหรับโจมตี สาเหตุที่ทำให้ช่องโหว่นี้มีระดับความอันตรายสูงเนื่องจากเครื่องเป้าหมายสามารถถูกโจมตีได้สำเร็จโดยไม่จำเป็นต้องได้รับการยืนยันใดๆ จากผู้ใช้

ปัจจุบัน Apple ได้ออกอัปเดตแก้ไขช่องโหว่นี้แล้ว ผู้ใช้งานควรอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด (iOS 9.3.3, Mac OS X 10.11.6, tvOS 9.2.2 และ watchOS 2.2.2) เพื่อป้องกันการถูกโจมตี

ที่มา : thehackernews