CDIC 2023

Apple ประกาศแพตช์อุดช่องโหว่ให้หลากหลายผลิตภัณฑ์ แนะผู้ใช้เร่งอัปเดต

มีการอัปเดตเวอร์ชันใหม่ของ iOS, macOS, iPadOS, watchOS, tvOS และ Safari ซึ่งแต่ละผลิตภัณฑ์มีการแก้ไขช่องโหว่หลายรายการที่ผู้ใช้งานไม่ควรพลาดการอัปเดต

ซอฟต์แวร์ในผลิตภัณฑ์ยอดนิยมอย่าง iOS และ iPadOS เวอร์ชัน 14.7 มีการแก้ไขช่องโหว่ถึง 37 รายการ โดยไฮไลต์คือ CVE-2021-30800 ที่เกิดขึ้นกับการทำงานของการเชื่อมต่อ Wi-Fi โดยผู้เชี่ยวชาญพบว่าสามารถทำให้ iPhone เกิดทำงานผิดพลาดได้เมื่อเชื่อมต่อกับ Hotspot ที่ใช้ SSID ในลักษณะ “%p%s%s%s%s%n.” เนื่องจากบั๊กของระบบที่คิดว่าเป็นกลุ่ม String พิเศษจึงเกิดการประมวลผลเป็นคำสั่งแทน Text ลึกไปกว่านั้นนักวิจัยจาก ZecOps Mobile EDR ยังชี้ว่าสามารถไปต่อเป็น RCE ได้ เพียงแค่คนร้ายตั้งชื่อ Access Point แบบพิเศษ พร้อมกับที่เครื่องเหยื่อเปิด WiFi และ Auto-join เดินเข้ามาในระยะ อันที่จริง Apple เคยแก้ไขไปแล้วแต่ไม่ให้ CVE ใน iOS 14.4 ซึ่งปัญหายังเกิดขึ้นได้กับ iOS 14.0 และ 14.6 จึงเป็นที่มาในแพตช์ล่าสุดนี้

ในส่วนของแพตช์ผลิตภัณฑ์อื่นๆ มีดังนี้

  • macOS Big Sur มีการอัปเดตช่องโหว่มากที่สุด 36 รายการ ประกอบด้วยการลอบรันโค้ดและ Security Bypass ในขณะที่ Catalina และ Mojave มีการแก้ไขช่องโหว่คล้ายกัน
  • Safari 14.1.2 แก้ไขช่องโหว่ 3 รายการใน WebKit กระทบกับ Catalina และ Mojave ที่นำไปสู่การลอบรันโค้ด
  • watchOS และ tvOS ได้รับการอุดช่องโหว่ 21 และ 20 รายการตามลำดับ 

รายละเอียดเพิ่มเติมศึกษาได้ที่ https://support.apple.com/en-us/HT201222 อย่างไรแล้วก็อย่าลืมอัปเดตกันครับ

ที่มา : https://www.securityweek.com/ios-security-update-patches-recently-disclosed-wi-fi-vulnerability และ https://www.helpnetsecurity.com/2021/07/22/security-ios-14-7/ และ https://www.securityweek.com/researchers-apple-quietly-patched-0-click-wi-fi-code-execution-vulnerability-ios


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เชิญร่วมงานสัมมนาออนไลน์ Unlock the Limits of Your SAP System with Google Cloud โดย Tangerine [18 ต.ค. 2023]

พลาดไม่ได้! สำหรับองค์กรที่ใช้ระบบ SAP ซึ่งนับเป็นระบบสำคัญที่อยู่เบื้องหลังในการดำเนินธุรกิจให้สำเร็จ ซึ่งภายใต้การแข่งขันที่สูงขึ้นความสำคัญก็ยิ่งเพิ่มขึ้นตามไปด้วย ฉะนั้นจะทำอย่างไร? ให้ธุรกิจสามารถรองรับการใช้งานตามความต้องการที่มีการเปลี่ยนแปลงอยู่เสมอ และจะดีกว่าหรือไม่ หากสามารถนำข้อมูลภายใน SAP มาประยุกต์ใช้กับข้อมูลภายนอก สร้าง Analytics Dashboard ได้ง่ายและรวดเร็ว …