ด่วน!!! Apple เปิดตัวแพตช์ความปลอดภัย ภายใต้การโจมตี Zero Day Bugs

เมื่อวันจันทร์ที่ 3 พฤษภาคม 2564 ที่ผ่านมา Apple ได้ปล่อยแพตซ์อัปเดตความมั่นคงปลอดภัยบนระบบ iOS, macOS และ watchOS เพื่อแก้ไขทั้ง 3 ช่องโหว่ที่เป็นช่องโหว่แบบ zero-day ซึ่งขยายผลมาจากช่องโหว่หมายเลข CVE-2021-30661 ที่อาจถูกนำมาใช้ประโยชน์

จากจุดอ่อนทั้งหมดเกี่ยวข้องกับ WebKit ที่เป็น Browser Engine ของ Safari และ Web Browsers อื่น ๆ ใน iOS ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนอุปกรณ์ของเครื่องเป้าหมายได้ ซึ่งช่องโหว่ด้านความปลอดภัยทั้ง 3 มีดังนี้

• CVE-2021-30663: ช่องโหว่ Integer Overflow ส่งผลให้ผู้โจมตีสามารถสั่งประมวลผลโค้ดอันตรายได้

โดยทาง Apple ได้ดำเนินการแก้ไขด้วยการปรับปรุงการตรวจสอบอินพุต (Input )

• CVE-2021-30665: ปัญหาหน่วยความจำเสียหาย (Memory Corruption) ส่งผลให้ผู้โจมตีสามารถสั่งประมวลผลโค้ดอันตรายได้

โดยทาง Apple ได้ดำเนินการแก้ไขด้วยการปรับปรุงการจัดการตามอาการที่เกิดขึ้น

• CVE-2021-30666: ช่องโหว่ buffer overflow ส่งผลให้ผู้โจมตีสามารถสั่งประมวลผลโค้ดอันตรายได้

โดยทาง Apple ได้ดำเนินการแก้ด้วยการปรับปรุงการบริหารจัดการหน่วยความจำ

อ้างอิง https://www.computerworld.com/

หลังจากนั้น 1 สัปดาห์ก็ได้มีการพัฒนาระบบและทาง Apple ก็ได้เปิดตัว iOS 14.5 และ macOS Big Sur 11.3 พร้อมการแก้ไขช่องโหว่ WebKit Storage ที่อาจถูกใช้ประโยชน์ อ้างอิงช่องโหว่หมายเลข CVE-2021-30661 ปัญหา Use-after-free ถูกค้นพบและรายงานไปยังผู้ผลิต iPhone โดยนักวิจัยด้านความปลอดภัยชื่อ yangkang (@dnpushme) ของ Qihoo 360 ATA

อ้างอิง https://twitter.com/dnpushme/

นักวิจัยด้านความมั่นคงปลอดภัย yangkang พร้อมด้วย zerokeeper และ bianliang ได้รับเครดิตในการรายงานช่องโหว่ใหม่ทั้ง 3 ข้อนี้

เป็นที่น่าสังเกตว่า CVE-2021-30666 มีผลกับอุปกรณ์ Apple รุ่นเก่าเท่านั้นเช่น iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (6th generation) การอัปเดต iOS 12.5.3 ซึ่งแก้ไขข้อบกพร่องนี้รวมถึงการแก้ไข CVE-2021-30661 อีกด้วย

บริษัทได้ทราบถึงรายงานของปัญหา “การอาจถูกใช้ประโยชน์ (exploit)” แต่ก็เป็นปกติที่การอธิบายการโจมตีหรือภัยคุกคามต่อเหยื่อจะไม่ได้ลงรายละเอียดไว้ แนะนำว่าให้อัปเดตอุปกรณ์ Apple เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงและผลกระทบที่เกี่ยวข้องกับข้อบกพร่องนี้

อ้างอิง:

https://thehackernews.com/2021/05/apple-releases-urgent-security-patches.html

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 10 พฤษภาคม 2564

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Analytics บนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
cookielawinfo-checkbox-necessary	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Necessary บนเว็บไซต์เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
CookieLawInfoConsent	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลผลสรุปความยินยอมทั้งหมดบนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
viewed_cookie_policy	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลเมื่อมีการแสดงข้อความ cookie_policy เพื่อเป็นประโยชน์ต่อผู้ใช้งานเว็บไซต์

Cookie	Duration	Description
1P_JAR	1 เดือน	คุกกี้ของ Google เพื่อแสดงโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคลบนเว็บไซต์ของ Google โดยพิจารณาจากการค้นหาล่าสุดและการดำเนินการต่าง ๆ ก่อนหน้านี้
AEC	22 สัปดาห์	คุกกี้เหล่านี้ใช้สำหรับเก็บพฤติกรรมการใช้งานในเว็บไซต์ เพื่อนำไปปรับปรุงผลิตภัณฑ์และเว็บไซต์ให้มีประสิทธิภาพยิ่งขึ้น
NID	6 เดือน	คุกกี้ของ Google เพื่อการโฆษณา
OTZ	1 สัปดาห์	คุกกี้ของ Google ที่ส่งให้ Google Analytics ใช้สำหรับจัดเก็บข้อมูลการเข้าชมเว็บไซต์