Black Hat Asia 2023

Apple ประกาศแพตช์อุดช่องโหว่ให้หลากหลายผลิตภัณฑ์ แนะผู้ใช้เร่งอัปเดต

มีการอัปเดตเวอร์ชันใหม่ของ iOS, macOS, iPadOS, watchOS, tvOS และ Safari ซึ่งแต่ละผลิตภัณฑ์มีการแก้ไขช่องโหว่หลายรายการที่ผู้ใช้งานไม่ควรพลาดการอัปเดต

ซอฟต์แวร์ในผลิตภัณฑ์ยอดนิยมอย่าง iOS และ iPadOS เวอร์ชัน 14.7 มีการแก้ไขช่องโหว่ถึง 37 รายการ โดยไฮไลต์คือ CVE-2021-30800 ที่เกิดขึ้นกับการทำงานของการเชื่อมต่อ Wi-Fi โดยผู้เชี่ยวชาญพบว่าสามารถทำให้ iPhone เกิดทำงานผิดพลาดได้เมื่อเชื่อมต่อกับ Hotspot ที่ใช้ SSID ในลักษณะ “%p%s%s%s%s%n.” เนื่องจากบั๊กของระบบที่คิดว่าเป็นกลุ่ม String พิเศษจึงเกิดการประมวลผลเป็นคำสั่งแทน Text ลึกไปกว่านั้นนักวิจัยจาก ZecOps Mobile EDR ยังชี้ว่าสามารถไปต่อเป็น RCE ได้ เพียงแค่คนร้ายตั้งชื่อ Access Point แบบพิเศษ พร้อมกับที่เครื่องเหยื่อเปิด WiFi และ Auto-join เดินเข้ามาในระยะ อันที่จริง Apple เคยแก้ไขไปแล้วแต่ไม่ให้ CVE ใน iOS 14.4 ซึ่งปัญหายังเกิดขึ้นได้กับ iOS 14.0 และ 14.6 จึงเป็นที่มาในแพตช์ล่าสุดนี้

ในส่วนของแพตช์ผลิตภัณฑ์อื่นๆ มีดังนี้

  • macOS Big Sur มีการอัปเดตช่องโหว่มากที่สุด 36 รายการ ประกอบด้วยการลอบรันโค้ดและ Security Bypass ในขณะที่ Catalina และ Mojave มีการแก้ไขช่องโหว่คล้ายกัน
  • Safari 14.1.2 แก้ไขช่องโหว่ 3 รายการใน WebKit กระทบกับ Catalina และ Mojave ที่นำไปสู่การลอบรันโค้ด
  • watchOS และ tvOS ได้รับการอุดช่องโหว่ 21 และ 20 รายการตามลำดับ 

รายละเอียดเพิ่มเติมศึกษาได้ที่ https://support.apple.com/en-us/HT201222 อย่างไรแล้วก็อย่าลืมอัปเดตกันครับ

ที่มา : https://www.securityweek.com/ios-security-update-patches-recently-disclosed-wi-fi-vulnerability และ https://www.helpnetsecurity.com/2021/07/22/security-ios-14-7/ และ https://www.securityweek.com/researchers-apple-quietly-patched-0-click-wi-fi-code-execution-vulnerability-ios


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …