Apple แก้ไขช่องโหว่ Zero-day บน IOS ที่ถูกใช้ในการติดตั้งสปายแวร์ NSO บน iPhone

Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ที่ถูกพบในการโจมตี iPhone และ Mac เพื่อติดตั้งสปายแวร์ Pegasus

ช่องโหว่นี้คือ CVE-2021-30860 และ CVE-2021-30858 โดยช่องโหว่ทั้งสองส่งผลทำให้สามารถมีการรันโค้ดที่เป็นอันตรายที่ถูกฝังไว้ในเอกสารที่ผู้โจมตีสร้างขึ้นได้

ช่องโหว่ CVE-2021-30860 CoreGraphics เป็นบั๊ก integer overflow ที่ค้นพบโดย Citizen Lab ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเอกสาร PDF ที่เป็นอันตรายซึ่งรันคำสั่งเมื่อเปิดใน iOS และ macOS

CVE-2021-30858 เป็นช่องโหว่บน WebKit ที่เมื่อมีการเข้าถึงหน้าเว็ปไซต์ที่ผู้โจมตีสร้างขึ้นด้วย iPhone และ macOS จะทำให้สามารถถูกรันคำสั่งที่เป็นอันตรายที่อยู่บนหน้าเว็ปไซต์ได้ เบื้องต้นทาง Apple ระบุว่าช่องโหว่นี้ถูกเปิดเผยแพร่ออกสู่สาธารณะแล้วอีกด้วย

แม้ว่า Apple จะไม่เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี แต่ Citizen Lab ได้ยืนยันว่า CVE-2021-30860 เป็นการใช้ประโยชน์จาก iMessage แบบ zero-day zero-click ที่ชื่อว่า 'FORCEDENTRY'

พบว่ามีการใช้ช่องโหว่ของ FORCEDENTRY เพื่อหลีกเลี่ยงระบบความปลอดภัยบน iOS BlastDoor เพื่อติดตั้งสปายแวร์ NSO Pegasus บนอุปกรณ์ที่เป็นของนักเคลื่อนไหวชาวบาห์เรน

BleepingComputer ได้ติดต่อ Citizen Lab พร้อมคำถามเพิ่มเติมเกี่ยวกับการโจมตี แต่ยังไม่ได้รับการตอบกลับในขณะนี้

Apple Zero-days อาละวาดในปี 2021
เป็นปีที่หนักมากสำหรับ Apple เพราะดูเหมือนว่าจะมีช่องโหว่ Zero-days อย่างต่อเนื่อง ซึ่งใช้ในการโจมตีเป้าหมายเป็นอุปกรณ์ iOS และ Mac

การโจมตีจาก FORCEDENTRY เปิดเผยในเดือนสิงหาคม (ก่อนหน้านี้ถูกติดตามโดย Amnesty Tech ในชื่อ Megalodon)
iOS zero-days สามช่องโหว่ (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) ที่ถูกใช้ในการโจมตีในเดือนกุมภาพันธ์
zero-day ใน iOS หนึ่งช่องโหว่ (CVE-2021-30661) ในเดือนมีนาคม ที่อาจมีการใช้ในการโจมตีเป็นวงกว้างได้ในอนาคต
หนึ่งช่องโหว่ zero-days ใน macOS (CVE-2021-30657) เดือนเมษายน ถูกใช้โจมตีโดยมัลแวร์ Shlayer
iOS zero-days อีกสามตัว (CVE-2021-30663, CVE-2021-30665 และ CVE-2021-30666) ในเดือนพฤษภาคม ที่สามารถทำให้มีการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) จากการเข้าเว็บไซต์ที่เป็นอันตราย
macOS zero-day (CVE-2021-30713) ในเดือนพฤษภาคม ซึ่งถูกใช้โดยมัลแวร์ XCSSET เพื่อเลี่ยง TCC privacy protections ของ Apple
zero-day ของ iOS สองช่องโหว่ (CVE-2021-30761 และ CVE-2021-30762) ในเดือนมิถุนายนที่ถูกใช้ในการแฮ็คเข้าสู่อุปกรณ์ iPhone, iPad และ iPod รุ่นเก่า
Project Zero ยังได้มีการเปิดเผยช่องโหว่ Zero-day อีก 11 ช่องโหว่ในปีนี้ ซึ่งใช้ในการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ Windows, iOS และ Android

อัปเดต 9/13/21: ยืนยันจาก Citizen Labs ว่าการอัปเดตนี้แก้ไขช่องโหว่ของ FORCEDENTRY ได้เรียบร้อยแล้ว

ที่มา : bleepingcomputer

Apple ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาความปลอดภัยบนอุปกรณ์ ควรติดตั้งแพตช์ดังกล่าวทันที

แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

Apple ออกเเพตช์แก้ไขช่องโหว่ Zero-day สามรายการ มีการถูกใช้โจมตีจริงแล้ว

Apple ประกาศเปิดตัวแพตช์อัปเดตความปลอดภัยสำหรับ iOS เพื่อแก้ไขช่องโหว่แบบ Zero-day สามช่องโหว่พร้อมรายงานว่ามีการพบการใช้ช่องโหว่ในการโจมตีจริงแล้ว

ช่องโหว่เเรกถูกติดตามด้วยรหัส CVE-2021-1782 เป็นช่องโหว่ “Race condition” ซึ่งทำให้ผู้โจมตีสามารถเพิ่มระดับสิทธิ์ในเคอร์เนล สำหรับช่องโหว่อีกสองช่องโหว่คือ CVE-2021-1870 และ CVE-2021-1871 เป็นช่องโหว่ “logic issue” ใน WebKit ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้โค้ดที่เป็นอันตรายภายในเบราว์เซอร์ Safari ของผู้ใช้ได้

ทั้งนี้ช่องโหว่ Zero-days ทั้งสามถูกรายงานไปยัง Apple โดยนักวิจัยนิรนามและแพตช์อัปเดตความปลอดภัยพร้อมใช้งานแล้วใน iOS 14.4 ผู้ใช้งาน iOS ควรทำการอัปเดต iOS ให้เป็น 14.4 เพื่อเเก้ไขช่องโหว่และเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: zdnet, thehackernews

Afraid of getting your iThing pwned? Get yourself iOS 9.2.1

Apple เพิ่งประกาศออก iOS รุ่น 9.2.1 มา เพื่ออุดช่องโหว่ไปด้วยกันทั้งสิ้น 13 CVE ซึ่ง 6 ช่องโหว่ในนั้นนำไปสู่การโจมตี Remote Code Execution ได้, แก้ปัญหาบางเครื่องติดตั้ง App ไม่ได้

ช่องโหว่ Remote Code Execution นี้ 5 ช่องโหว่นี้อยู่ใน WebKit ที่ถ้าหากไม่ Patch เป็น iOS 9.2.1 แล้วก็อาจเสี่ยงต่อการถูกโจมตีผ่านหน้าเว็บไซต์ได้ทันที ส่วนช่องโหว่ Remote Code Execution ช่องโหว่สุดท้ายนี้อยู่ใน libxslt ที่โจมตีได้จากการเกิด Type Confusion Error ที่สามารถโจมตีผ่านหน้าเว็บไซต์ได้เช่นกัน

ภายในช่องโหว่ที่เหลือนั้นจริงๆ แล้วก็ยังมีช่องโหว่ที่นำไปสู่การทำ Code Execution อยู่เช่นกัน แต่การโจมตีจะเกิดได้ก็จากการเข้าถึงอุปกรณ์โดยตรงไม่ได้ผ่านระบบเครือข่ายเท่านั้น จึงไม่อันตรายเท่าช่องโหว่ที่กล่าวถึงไปก่อนหน้านี้
ทั้งนี้ iOS 9.2.1 ยังไม่ได้แก้ปัญหาแบตเตอรี่แสดงผลผิดเมื่อมีการตั้งเวลาแบบ Manual บน iPhone 6S และ 6S Plus แต่อย่างใด

ที่มา : theregister