ด่วน!!! Apple เปิดตัวแพตช์ความปลอดภัย ภายใต้การโจมตี Zero Day Bugs

apple-01.jpg

อ้างอิง https://thehackernews.com/

เมื่อวันจันทร์ที่ 3 พฤษภาคม 2564 ที่ผ่านมา Apple ได้ปล่อยแพตซ์อัปเดตความมั่นคงปลอดภัยบนระบบ iOS, macOS และ watchOS เพื่อแก้ไขทั้ง 3 ช่องโหว่ที่เป็นช่องโหว่แบบ zero-day ซึ่งขยายผลมาจากช่องโหว่หมายเลข
CVE-2021-30661 ที่อาจถูกนำมาใช้ประโยชน์

 

จากจุดอ่อนทั้งหมดเกี่ยวข้องกับ WebKit ที่เป็น Browser Engine ของ Safari และ Web Browsers อื่น ๆ ใน iOS ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนอุปกรณ์ของเครื่องเป้าหมายได้ ซึ่งช่องโหว่ด้านความปลอดภัยทั้ง 3 มีดังนี้

 

  • CVE-2021-30663: ช่องโหว่ Integer Overflow ส่งผลให้ผู้โจมตีสามารถสั่งประมวลผลโค้ดอันตรายได้

โดยทาง Apple ได้ดำเนินการแก้ไขด้วยการปรับปรุงการตรวจสอบอินพุต (Input )

 

  • CVE-2021-30665: ปัญหาหน่วยความจำเสียหาย (Memory Corruption) ส่งผลให้ผู้โจมตีสามารถสั่งประมวลผลโค้ดอันตรายได้

โดยทาง Apple ได้ดำเนินการแก้ไขด้วยการปรับปรุงการจัดการตามอาการที่เกิดขึ้น

 

  • CVE-2021-30666: ช่องโหว่ buffer overflow ส่งผลให้ผู้โจมตีสามารถสั่งประมวลผลโค้ดอันตรายได้

โดยทาง Apple ได้ดำเนินการแก้ด้วยการปรับปรุงการบริหารจัดการหน่วยความจำ

apple-02.jpg

หลังจากนั้น 1 สัปดาห์ก็ได้มีการพัฒนาระบบและทาง Apple ก็ได้เปิดตัว iOS 14.5 และ macOS Big Sur 11.3 พร้อมการแก้ไขช่องโหว่ WebKit Storage ที่อาจถูกใช้ประโยชน์ อ้างอิงช่องโหว่หมายเลข CVE-2021-30661 ปัญหา Use-after-free ถูกค้นพบและรายงานไปยังผู้ผลิต iPhone โดยนักวิจัยด้านความปลอดภัยชื่อ yangkang (@dnpushme) ของ Qihoo 360 ATA

อ้างอิง https://twitter.com/dnpushme/

นักวิจัยด้านความมั่นคงปลอดภัย yangkang พร้อมด้วย zerokeeper และ bianliang ได้รับเครดิตในการรายงานช่องโหว่ใหม่ทั้ง 3 ข้อนี้

 

เป็นที่น่าสังเกตว่า CVE-2021-30666 มีผลกับอุปกรณ์ Apple รุ่นเก่าเท่านั้นเช่น iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (6th generation) การอัปเดต iOS 12.5.3 ซึ่งแก้ไขข้อบกพร่องนี้รวมถึงการแก้ไข CVE-2021-30661 อีกด้วย

 

บริษัทได้ทราบถึงรายงานของปัญหา "การอาจถูกใช้ประโยชน์ (exploit)" แต่ก็เป็นปกติที่การอธิบายการโจมตีหรือภัยคุกคามต่อเหยื่อจะไม่ได้ลงรายละเอียดไว้

 

แนะนำว่าให้อัปเดตอุปกรณ์ Apple เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงและผลกระทบที่เกี่ยวข้องกับข้อบกพร่องนี้

 

อ้างอิง:

https://thehackernews.com/2021/05/apple-releases-urgent-security-patches.html

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 10 พฤษภาคม 2564