ขณะนี้ Apple ได้สนับสนุนการแก้ไขสำหรับ Zero-day ที่สำคัญสองครั้ง ซึ่งเชื่อว่าถูกใช้ประโยชน์อย่างป่าเถื่อนในอุปกรณ์รุ่นเก่า
ตอนนี้ iPhone 6 ทุกรุ่นและรุ่นใหม่กว่า รวมถึง iPad รุ่นเก่าหลายรุ่นได้รับการป้องกันจากช่องโหว่ XNUMX ช่องโหว่ที่เชื่อว่าจะทำให้ผู้คุกคามสามารถเข้าถึงอุปกรณ์ที่มีช่องโหว่ได้อย่างเต็มที่
ข้อบกพร่องทั้งสองถูกติดตามเป็น CVE-2023-28206 และ CVE-2023-28205 ประการแรกคือช่องโหว่ในการเขียนข้อมูลนอกขอบเขตใน IOSurface ซึ่งทำให้ผู้คุกคามทำข้อมูลเสียหาย แอปพลิเคชันและอุปกรณ์เสียหาย และรันโค้ดจากระยะไกลได้ ในกรณีที่เลวร้ายที่สุด ผู้ก่อภัยคุกคามสามารถผลักดันแอปพลิเคชันที่เป็นอันตราย - เปิดในแท็บใหม่ - ซึ่งอนุญาตให้เรียกใช้รหัสโดยอำเภอใจพร้อมสิทธิ์เคอร์เนลบนอุปกรณ์เป้าหมาย
สมาร์ทโฟนรุ่นเก่า
ประการที่สองคือ WebKit ที่มีผลลัพธ์ที่คล้ายคลึงกัน: ข้อมูลเสียหายและการใช้รหัสโดยอำเภอใจ สำหรับการแสวงประโยชน์นั้น เป้าหมายคือการหลอกล่อเหยื่อให้เข้าชมเว็บไซต์ที่เป็นอันตราย ซึ่งส่งผลให้มีการเรียกใช้โค้ดจากระยะไกล
ขณะนี้ นอกจาก iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 และ Safari 16.4.1 ที่ป้องกันข้อบกพร่องเหล่านี้แล้ว ยังมีการอัปเดตสำหรับอุปกรณ์รุ่นเก่าที่ใช้ iOS 15.7.5 และ iPadOS 15.7.5 , macOS Monterey 12.6.5 และ macOS Big Sur 11.7.6
ซึ่งหมายความว่าอุปกรณ์ต่อไปนี้ครอบคลุมแล้ว: iPhone 6s ทุกรุ่น, iPhone7 ทุกรุ่น, iPhone SE รุ่นที่ 2, iPod Air XNUMX, iPad mini รุ่นที่ XNUMX, iPod touch รุ่นที่ XNUMX และ Mac ทั้งหมดที่มี macOS Monterey และ Big Sur
Apple กล่าวว่าได้ทราบถึงผู้คุกคามที่ใช้ Zero Days ในทางที่ผิด แต่ไม่ได้หารือเกี่ยวกับรายละเอียด อย่างไรก็ตาม BleepingComputer คาดการณ์ว่าผู้โจมตีอาจได้รับการสนับสนุนจากรัฐ เนื่องจากข้อบกพร่องดังกล่าวถูกค้นพบโดยนักวิจัยที่มักมองหาผู้เล่นที่ได้รับการสนับสนุนจากรัฐบาล
นักวิจัยที่พบข้อบกพร่องคือ Clément Lecigne จาก Threat Analysis Group ของ Google และ Donncha Ó Cearbhaill จาก Security Lab ของ Amnesty International มีการกล่าวว่าข้อบกพร่องถูกใช้เป็นส่วนหนึ่งของห่วงโซ่การหาประโยชน์
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)