Apple ออกอัปเดตความปลอดภัยเร่งด่วนในสัปดาห์นี้เพื่อแก้ไขช่องโหว่ Zero-day ใน iPhone, iPad และ iPod รุ่นเก่า
แพตช์ที่เผยแพร่ในวันพุธนี้ แก้ไขปัญหาการเขียนข้อมูลนอกขอบเขตที่ผู้โจมตีอาจใช้เพื่อทำให้สามารถควบคุมอุปกรณ์ที่ได้รับผลกระทบได้ วันนี้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) สนับสนุนให้ผู้ใช้ไอทีและผู้ดูแลระบบตรวจสอบประกาศของ Apple HT213428 และใช้การอัปเดตที่จำเป็น
Apple ไม่ได้ตอบสนองต่อคำร้องขอความคิดเห็นในทันทีว่าช่องโหว่ดังกล่าวได้รับความสนใจผ่านการใช้ประโยชน์อย่างแข็งขันหรือไม่ แต่การอัปเดตความปลอดภัยระบุว่า: "Apple ทราบถึงรายงานว่าปัญหานี้อาจถูกนำไปใช้อย่างแข็งขัน"
ช่องโหว่ของซอฟต์แวร์แสดงอยู่ในฐานข้อมูล Common Vulnerabilities and Exposures (CVE) ซึ่งเป็นระบบที่ได้รับทุนสนับสนุนจากแผนกหนึ่งของกระทรวงความมั่นคงแห่งมาตุภูมิแห่งสหรัฐอเมริกา (DHS) เพื่อให้แน่ใจว่าจะมีการเปิดเผยช่องโหว่ด้านความปลอดภัยและการเปิดเผยสู่สาธารณะ
“ปัญหาคือหากหน้าเว็บถูกสร้างขึ้นด้วยวิธีใดวิธีหนึ่ง อาจทำให้รหัสทำงานบนอุปกรณ์นอกการกักกันปกติ และสร้างสถานการณ์มัลแวร์บนอุปกรณ์ได้อย่างมีประสิทธิภาพ ซึ่งอาจทำลายข้อมูล ผู้ติดต่อ ความปลอดภัย ฯลฯ ตำแหน่ง ใส่ซอฟต์แวร์ที่เป็นอันตราย รายการ ฯลฯ Jack Gold นักวิเคราะห์หลักของ J. Gold Associates, LLC กล่าว
“นั่นคือปัญหาใหญ่” เขากล่าวเสริม
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6) และคอมพิวเตอร์ที่ใช้ macOS เวอร์ชันก่อนหน้า
ข้อเท็จจริงที่ว่าปัญหานี้ส่งผลกระทบต่ออุปกรณ์รุ่นเก่ากลุ่มนี้ ไม่ใช่รุ่นใหม่กว่า หมายความว่ามีอุปกรณ์ค่อนข้างน้อยที่มีความเสี่ยง โกลด์กล่าว อย่างไรก็ตาม เขากล่าวว่าใครก็ตามที่มีอุปกรณ์รุ่นเก่าควรอัปเกรดโดยเร็วที่สุด
แม้ว่าแพตช์ที่เสนอสำหรับอุปกรณ์รุ่นเก่าอาจดูไม่สำคัญ แต่อาชญากรไซเบอร์ชอบเทคโนโลยีรุ่นเก่าที่ไม่ได้แพตช์ โดยเฉพาะอย่างยิ่งหากช่องโหว่นี้ทำให้พวกเขาควบคุมได้อย่างเต็มที่และสามารถเข้าถึงระบบและบริการอื่นๆ ได้
“ผู้โจมตีสามารถล่อเหยื่อไปยังเว็บไซต์ที่สร้างขึ้นเป็นพิเศษ หรือใช้มัลแวร์โฆษณาเพื่อประนีประนอมระบบที่มีช่องโหว่โดยใช้ประโยชน์จากช่องโหว่นี้” Malwarebytes กล่าวในบล็อกโพสต์วันนี้ “เนื่องจากมีช่องโหว่อยู่ในซอฟต์แวร์เรนเดอร์ HTML ของ Apple (WebKit) WebKit ทำงานได้กับเว็บเบราว์เซอร์ iOS และ Safari ทั้งหมด ดังนั้นเป้าหมายที่เป็นไปได้คือ iPhone, iPad และ Mac ซึ่งอาจถูกหลอกให้เรียกใช้โค้ดที่ไม่ได้รับอนุญาต
ปัญหานี้ได้รับการแก้ไขแล้วใน iOS 15.6.1, iPadOS 15.6.1 และ macOS Monterey 12.5.1 Apple สนับสนุนให้ผู้ใช้อัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุด
ลิขสิทธิ์ © 2022 IDG Communications, Inc.