Apple ได้ประกาศออกแพตช์อุดช่องโหว่หลายรายการให้ผลิตภัณฑ์ของตนประกอบด้วย macOS, iOS, iPadOS, watchOS, tvOS รวมถึง Safari จึงแนะนำให้ผู้ใช้เร่งอัปเดตครับ
ภาพรวมของแพตช์มีดังนี้
- iOS 13.3.1 – มีการแก้ไขช่องโหว่ เช่น ช่องโหว่ลอบรันโค้ดด้วยสิทธิ์ของระบบ, การเข้าถึงหน่วยความจำที่ถูกจำกัด, Heap Corruption, ยกระดับสิทธิ์, เผยถึง Kernel Memory Layout เป็นต้น โดยผลกระทบมีหลายส่วนประกอบตั้งแต่ Audio, FaceTime, ImageIO, IOAcceleratorFamily, IPSec, Kernel, libxpc, Mail, Messages, Phone, Safari Login AutoFill, Screenshots และ wifivelocityd ดังนั้นผู้ใช้งานควรอัปเดต
- macOS – มีแพตช์จำนวน 32 รายการแก้ไขช่องโหว่ใน Mojave, High Sierra และ Catalina โดยช่องโหว่กระทบกับส่วนประกอบอย่าง AnnotationKit, Audio, autofs, CoreBluetooth, Crash Reporter, Image Processing, ImageIO, Intel Graphics Driver, IOAcceleratorFamily, IPSec, Kernel, libxml2, libxpc, PackageKit, Security, sudo, System, Wi-Fi และ wifivelocityd
- iOS 12.4.5 – สำหรับใครที่ไปต่อไม่ได้กับ iPhone 5s/6/6 Plus และตระกูล iPad Air/mini 2/ mini 3 หรือ iPod Touch 6th จะไม่มีรายการอัปเดตช่องโหว่
- watchOS 6.1.2 – มีการแก้ไขช่องโหว่กว่า 15 รายการเช่น ลอบรันโค้ด ยกระดับสิทธิ์ และการเข้าถึงหน่วยความจำที่ถูกจำกัด โดยเกิดขึ้นในส่วนประกอบเช่น AnnotationKit, Audio, ImageIO, IOAcceleratorFamily, Kernel, libxpc และ wifivelocityd
- Safari 13.0.5 – มีการแก้ไขช่องโหว่ 2 ราการที่อาจนำไปสู่การปลอมแปลงผลลัพธ์ใน Address Bar เมื่อเข้าเว็บอันตราย อีกรายการคือส่วน Login AutoFill ซึ่งผู้ใช้งานระดับ local ไม่ทราบว่ารหัสถูกส่งผ่านเครือข่ายแบบไม่เข้ารหัส
- tvOS 13.3.1 – แก้ไขช่องโหว่ 14 รายการที่ส่งผลให้เกิดการลอบรันโค้ด ยกระดับสิทธิ์ เข้าถึงหน่วยความจำที่ถูกจำกัด Heap Corruption และทราบถึง Kernel Memory layout
อีกหนึ่งการอัปเดตที่น่าสนใจใน iOS 13.3.1 คือเพิ่ม Toggle ‘Networking & Wireless’ ในหน้าเมนู Settings > Privacy > Location Services > System Services ซึ่งทำให้สามารถควบคุมฟีเจอร์ใน iPhone 11 ที่ชื่อ Ultra Wideband ได้ให้สามารถปิด Location Tracking ได้อย่างสมบูรณ์เพราะก่อนหน้านี้มีเคสว่าผู้ใช้งานรายหนึ่งพบว่า iPhone 11 ของเขาขึ้นร้องการเข้าถึง Location ทั้งๆ ที่ตัวเองปิด Location Tracking ของทุกแอปแล้ว โดยภายหลัง Apple ชี้ว่าทางเดียวที่จะปิดการติดตามพิกัดได้อย่างสมบูรณ์คือต้องทำที่ส่วนหลักของ Location Services ทำให้ปัจจุบันจึงเกิดเมนูนี้ (ตามภาพด้านล่าง)
ที่มา : https://nakedsecurity.sophos.com/2020/01/29/apple-patches-critical-bugs-on-iphone-and-mac-update-now/ และ https://www.securityweek.com/devices-still-vulnerable-dma-attacks-despite-protections