Breaking News

พบ 3 ช่องโหว่บน Safari เปิดเว็บปุ๊บ ถูกแฮ็กเลย

เมื่อต้นสัปดาห์ที่ผ่านมา ทีมนักพัฒนาของ Dropbox ออกมาเปิดเผยถึง 3 ช่องโหว่ความรุนแรงระดับสูงบนระบบปฏิบัติการ Apple macOS ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมบนเครื่อง Mac ได้ทันที เพียงแค่หลอกให้เหยื่อเปิดหน้าเว็บไซต์ของตนเท่านั้น

ช่องโหว่เหล่านี้แต่เดิมถูกค้นพบโดย Syndis บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ที่ Dropbox จ้างมาทดสอบเจาะระบบ IT Infrastructure ในฐานะ Red Team เมื่อเดือนกุมภาพันธ์ 2018 ซึ่งการเจาะระบบครั้งนั้นครอบคลุมไปถึงซอฟต์แวร์ของ Apple ที่เหล่านักพัฒนาของ Dropbox ใช้

ช่องโหว่ทั้ง 3 รายการไม่เพียงแค่ส่งผลกระทบต่อ macOS เท่านั้น แต่ยังส่งผลกระทบต่อผู้ใช้ Safari ทั้งหมดที่รันเว็บเบราว์เซอร์และระบบปฏิบัติการเวอร์ชันล่าสุด ณ เวลานั้นด้วย ช่องโหว่ที่พบนี้ประกอบด้วย

  • CVE-2017-13890: ช่องโหว่บน CoreTypes ของ macOS ซึ่งช่วยให้ Safari ดาวน์โหลดและเมาท์ Disk Image บนระบบของผู้เข้าชมเว็บผ่านทางการเข้าถึงเว็บเพจที่ถูกออกแบบมาเป็นพิเศษได้
  • CVE-2018-4176: ช่องโหว่บนวิธีการที่ Disk Image จัดการไฟล์ .bundle ที่ซึ่งแอปพลิเคชันถูกบรรจุเป็น Directories การโจมตีช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถรันแอปพลิเคชันแปลกปลอมจากดิสก์ที่เมาท์โดยใช้ Bootable Volume Utility ได้
  • CVE-2018-4175: ช่องโหว่บน Gatekeeper Anti-malware ของ macOS ช่วยให้แอปพลิเคชันแปลกปลอมสามารถบายพาสการบังคับใช้ Code Signing และรันแอปพลิเคชัน Terminal เวอร์ชันพิเศษเพื่อรันคำสั่งแปลกปลอมได้

วิดีโอสาธิตการโจมตีด้านล่างแสดงให้เห็นว่า ทีม Syndis สามารถสร้างการโจมตีแบบ 2 ขั้นโดยเชื่อมช่องโหว่ทั้ง 3 เข้าด้วยกัน ก่อนที่จะหลอกให้เหยื่อเข้าเว็บอันตรายของตนผ่าน Safari เพื่อเข้าควบคุมระบบคอมพิวเตอร์

Dropbox ได้รายงานช่องโหว่ทั้ง 3 รายการไปยังทีมรักษาความมั่นคงปลอดภัยของ Apple ตั้งแต่เดือนกุมภาพันธ์ ซึ่งทาง Apple ก็ได้ออกแพตช์เพื่ออุดช่องโหว่อย่างรวดเร็วในเดือนถัดมา หลังจากที่แน่ใจแล้วว่าผู้ใช้ Apple ส่วนใหญ่อัปเดตแพตช์กันถ้วนหน้า Dropbox จึงตัดสินใจเปิดเผยรายละเอียดของช่องโหว่ดังกล่าว

ที่มา: https://thehackernews.com/2018/11/apple-macos-zeroday.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5 อันดับ Emerging Technologies ที่จะมาเปลี่ยนแปลงบริบทการดำรงชีวิตของมนุษย์ในปี 2030

ภายในงาน Dell Technologies Forum 2019 คุณนพดล ปัญญาธิปัตย์ กรรมการผู้จัดการประจำประเทศไทยของ Dell Technologies ได้ออกมาเปิดเผยถึง “อนาคตของการใช้ชีวิตที่เชื่อมต่อเข้าด้วยกัน (Future of Connected …

AIS เผยเทรนด์การลงทุน IoT พร้อมเชิญร่วมงานสัมมนาวิชาการ IoT ระดับนานาชาติครั้งแรกของไทยวันที่ 2-3 ธันวาคมนี้

AIS ได้เปิดเผยถึงเทรนด์ของโครงการลงทุน IoT ในประเทศไทยซึ่งมีการเติบโตในหลายภาคธุรกิจ นอกจากนี้บริษัทยังมุ่งเน้นการเติบโตอย่างยั่งยืนผ่านโครงการ AIS IoT Alliance Program (AIAP) และล่าสุดเพื่อยกระดับ Ecosystem ของตลาด IoT ไปอีกขั้นทาง …