▶Apple ยังไม่แก้ไขข้อบกพร่องด้านความปลอดภัย WebKit ใน iOS และ macOS แม้ว่าจะมีแพตช์

การเปรียบเทียบ
Informática
Apple ยังคงล้มเหลวในการแก้ไขข้อบกพร่องด้านความปลอดภัย WebKit บน iOS และ macOS แม้ว่าจะมีแพตช์ให้ใช้งานก็ตาม

Apple ยังคงล้มเหลวในการแก้ไขข้อบกพร่องด้านความปลอดภัย WebKit บน iOS และ macOS แม้ว่าจะมีแพตช์ให้ใช้งานก็ตาม

Apple ยังอยู่ในระหว่างการแก้ไขช่องโหว่ WebKit ที่มีอยู่ในทั้ง iOS และ macOS แม้ว่าจะมีแพทช์สำหรับข้อบกพร่องที่มีมาหลายสัปดาห์แล้วก็ตาม ผู้เชี่ยวชาญเตือน ช่องโหว่นี้ถูกค้นพบครั้งแรกโดยนักวิจัยจากสตาร์ทอัพด้านความมั่นคงปลอดภัยทางไซเบอร์ Theori ซึ่งมีช่องโหว่ที่พิสูจน์แนวคิดซึ่งใช้ประโยชน์จากข้อบกพร่องดังกล่าว ตามที่ทีมงาน Theori ระบุ ปัญหามาจากอินเทอร์เฟซ AudioWorklet ของ Web Audio API ซึ่งช่วยให้นักพัฒนาสามารถควบคุม จัดการ เรนเดอร์ และเอาต์พุตเสียงได้

การเปรียบเทียบต้องการคุณ! เรากำลังดูว่าผู้อ่านของเราใช้ VPN อย่างไรสำหรับรายงานเชิงลึกที่กำลังจะมีขึ้น เราชอบที่จะได้ยินจากคุณในแบบสำรวจด้านล่าง ใช้เวลาของคุณไม่เกิน 60 วินาที

คลิกที่นี่เพื่อเริ่มแบบสำรวจในหน้าต่างใหม่

โปรแกรมแก้ไขช่องโหว่ถูกเพิ่มลงในโค้ดอัพสตรีม WebKit ในช่วงต้นเดือนพฤษภาคม อย่างไรก็ตาม สิ่งที่น่าสนใจคือ Theori ตั้งข้อสังเกตว่า Apple ยังคงส่งมอบการอัปเดต iOS ที่มีช่องโหว่เกือบสามสัปดาห์หลังจากการเปิดตัวแพทช์

แพทช์ใหญ่

AppleInsider อธิบายว่าการใช้ประโยชน์จากข้อบกพร่องอาจทำให้ผู้โจมตีมี Building Block ที่จำเป็นในการรันโค้ดที่เป็นอันตรายบนอุปกรณ์ อย่างไรก็ตาม กระบวนการนี้ไม่ตรงไปตรงมา เนื่องจากการหาประโยชน์ในโลกแห่งความเป็นจริงยังคงต้องการวิธีเลี่ยงผ่าน Pointer Authentication Codes (PAC) ซึ่งเป็นระบบบรรเทาผลกระทบที่ต้องใช้ลายเซ็นเข้ารหัสก่อนที่จะส่งรหัส สามารถทำงานในหน่วยความจำได้ โดยไม่คำนึงถึงความซับซ้อนในการหาประโยชน์จากจุดบกพร่อง ปัญหาที่แท้จริงที่นี่คือความเฉยเมยของ Apple แม้ว่าสาธารณะจะมีการแก้ไขก็ตาม ตามหลักการแล้ว ควรมีเวลาขั้นต่ำระหว่างแพตช์สาธารณะและเวอร์ชันเสถียร อย่างไรก็ตาม ในกรณีนี้ Apple ยังคงจัดส่ง iOS เวอร์ชันใหม่พร้อมกับ WebKit เวอร์ชันที่ไม่มีช่องโหว่ที่มีช่องโหว่ เป็นที่รู้กันว่าผู้คุกคามใช้ประโยชน์จากแพตช์ขนาดใหญ่นี้ หน้าต่างระหว่างการแก้ไขช่องโหว่และการส่งแพทช์ไปยังผู้ใช้ “ข้อผิดพลาดนี้แสดงให้เห็นอีกครั้งว่าช่องว่างของแพทช์เป็นอันตรายต่อการพัฒนาโอเพ่นซอร์ส ตามหลักการแล้ว กรอบเวลาระหว่างแพตช์สาธารณะและรีลีสที่เสถียรนั้นควรมีขนาดเล็กที่สุดเท่าที่จะเป็นไปได้ ในกรณีนี้ iOS เวอร์ชันใหม่ยังคงมีช่องโหว่อยู่หลายสัปดาห์หลังจากปล่อยแพตช์” นักวิจัยของ Theori สรุป ผ่านทาง AppleInsider

Apple ยังคงล้มเหลวในการแก้ไขข้อบกพร่องด้านความปลอดภัย WebKit บน iOS และ macOS แม้ว่าจะมีแพตช์ให้ใช้งานก็ตาม

แพทช์ใหญ่ (adsbygoogle = window.adsbygoogle || []).push({});

แพทช์ใหญ่