Google เตือนช่องโหว่ร้ายแรงบน macOS จนถึงตอนนี้ยังไม่มีแพตช์

Jann Horn และ Ian Beer สองนักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ High บนระบบปฏิบัติการ macOS ของ Apple พร้อมโค้ด PoC สำหรับ Exploit ซึ่งช่วยให้แฮ็กเกอร์สามารถบายพาสฟังก์ชัน Copy-on-write (COW) เพื่อทำการเปลี่ยนแปลงไม่พึงประสงค์บน Memory และก่อให้เกิด Memory Corruption ได้ จนถึงตอนนี้ยังไม่มีแพตช์อุดช่องโหว่แม้จะเกิน 90 วันไปแล้ว

ช่องโหว่นี้ค้นพบบน macOS XNU Kernel ซึ่งช่วยให้แฮ็กเกอร์สามารถยุ่งกับ Filesystem Images โดยไม่มีการแจ้งเตือนไปยังระบบปฏิบัติการ จนในที่สุด แฮ็กเกอร์หรือมัลแวร์จะสามารถบายพาสฟีเจอร์ Copy-on-write (COW) เพื่อทำการเปลี่ยนแปลงไม่พึงประสงค์บน Memory ที่แชร์ระหว่าง Process ก่อให้เกิดการโจมตีแบบ Memory Corruption ได้

นักวิจัยทั้งสองค้นพบว่า เมื่อ Filesystem Image ที่เมาท์อยู่ถูกเปลี่ยนรูปโดยตรง (เช่น โดยการเรียก pwrite() บน Filesystem Image) ข้อมูลนี้จะไม่ถูกถ่ายทอดไปใน Filesystem ที่เมาท์อยู่ ส่งผลให้มัลแวร์หรือแฮ็กเกอร์สามารถทำการเปลี่ยนแปลงบน Pages ที่ถูกขับออกมาจาก Page Cache บนดิสก์ได้โดยไม่มีการแจ้งไปยัง Vitual Management Subsystem และหลอก Process ปลายทางให้โหลด Content อันตรายเข้าสู่ Memory

นอกจากนี้ นักวิจัยยังค้นพบช่องโหว่บายพาส Copy-on-write คล้ายๆ กัน (CVE-2019-6208) โดยหลอกใช้อีกฟังก์ชันหนึ่งบนระบบปฏิบัติการ macOS อีกด้วย

Horn และ Beer ได้รายงานช่องโหว่เหล่านี้ไปยัง Apple ตั้งแต่เดือนพฤศจิกายน 2018 ซึ่งทางบริษัทฯ ก็ได้รับทราบปัญหาแล้ว แต่จนถึงตอนนี้ เลยกำหนดเวลา 90 วัน Apple ก็ยังไม่ออกแพตช์มาเพื่ออุดช่องโหว่ ทีมนักวิจัยเลยตัดสินใจเผยแพร่ช่องโหว่นี้สู่สาธารณะพร้อมระบุว่ามีอันตรายระดับ “High Severity” คาดว่า Apple คงรีบออกแพตช์ใหม่เร็วๆ นี้

รายละเอียดเชิงเทคนิค: https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q=

ที่มา: https://thehackernews.com/2019/03/cybersecurity-macos-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้