Black Hat Asia 2023

นักวิจัยจาก Google เผยช่องโหว่ 5 รายการบน iOS แนะผู้ใช้งานควรอัปเดต

นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงช่องโหว่ 5 รายการบน iOS ซึ่งบางรายการสามารถใช้โจมตีได้โดยที่ผู้ใช้งานไม่ต้องยุ่งเกี่ยวเลย นอกจากนี้มี 1 ช่องโหว่ที่ยังไม่ได้รับการแก้ไขในแพตช์ล่าสุดด้วย

ช่องโหว่ที่นักวิจัยเปิดเผยมีดังนี้

  • CVE-2019-8646 – เป็นช่องโหว่ที่ทำให้คนร้ายสามารถลอบอ่านไฟล์จากอุปกรณ์ทางไกลโดยไม่ต้องมีการปฏิสัมพันธ์ใดๆ จากผู้ใช้เลย ซึ่งนักวิจัยชี้ว่าเกิดจากคลาส _NSDataFileBackedFuture ที่สามารถถูกทำ Deserialize ได้แม้เปิด Secure Encoding อยู่ สำหรับ Apple แก้ไขด้วยการตรวจสอบค่าอินพุตน์ให้ดีขึ้น
  • CVE-2019-8660 – เป็นช่องโหว่ Memory Corruption ซึ่งการใช้งานก็ไม่ต้องอาศัยการตอบสนองจากผู้ใช้เช่นกัน โดยช่องโหว่อาจนำไปสู่การเกิดการจบโปรแกรมโดยไม่คาดคิดหรือการลอบรันโค้ด
  • CVE-2019-8647 และ CVE-2019-8662 – เป็นช่องโหว่ Use-after-free ที่ทำให้คนร้ายสามารถลอบรันโค้ดได้ โดยการใช้งานทำได้ผ่าน iMessage และทำให้เกิดความผิดพลาดกับ Springboard ได้ ทั้งนี้ CVE-2019-8647 เกิดขึ้นจาก NSArray Deserialization ซึ่งไปเรียกคลาสย่อยที่ไม่ได้อยู่ในการอ้างถึง สำหรับ CVE-2019-8662 เกิดขึ้นใน NSKeyedUnarchiver

อย่างไรก็ตามช่องโหว่ข้างต้นได้รับการแพตช์เรียบร้อยแล้วเมื่อวันที่ 22 ก.ค. ที่ผ่านมา แต่ยังมีอีกหนึ่งช่องโหว่คือ CVE-2019-8641 ที่ยังไม่มีแพตช์แก้ไข ซึ่งนักวิจัยยังไม่ได้เปิดเผยรายละเอียดมากนักเพียงแต่แง้มว่าเป็นช่องโหว่ที่คนร้ายสามารถทำให้เกิดการจบโปรแกรมโดยไม่คาดคิดหรือการลอบรันโค้ด

ที่มา :  https://www.securityweek.com/google-researchers-find-remotely-exploitable-vulnerabilities-ios


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

AIS Business เดินหน้าปี 2023 พร้อมเป็นพันธมิตรดิจิทัลของทุกองค์กรไทย พลิกโฉมธุรกิจให้ “เติบโต อุ่นใจ ไปด้วยกัน”

ในช่วง 3 ปีที่ผ่านมาอาจถือได้ว่าเป็นช่วงเวลาแห่งความยากลำบากสำหรับทุกองค์กรธุรกิจ มีเรื่องราวมากมายที่เกิดขึ้นทั้งเรื่องของสถานการณ์แพร่ระบาดของไวรัส COVID-19 ความไม่แน่นอนในเรื่องภูมิรัฐศาสตร์ จนกระทบมาถึงเรื่องเงินเฟ้อและเศรษฐกิจถดถอย (Recession) ที่อาจจะเกิดขึ้นทั่วโลกในปีนี้ ทุกองค์กรธุรกิจจึงจำเป็นจะต้องเร่งปรับตัวเพื่อรับมือกับสถานการณ์ที่กำลังเป็นไปในอนาคตอันใกล้ AIS Business ในฐานะ Digital Service …

มองเห็น เข้าใจ และวางแผนค่าใช้จ่าย Multi-cloud ขององค์กรได้ผ่าน VMware Aria Hub

VMware Aria เป็นโซลูชันใหม่ที่ออกมาช่วงครึ่งหลังของปี 2022 โดยมุ่งเน้นไปที่การแก้ปัญหาการทำงานด้าน Multi-cloud ให้แก่องค์กร ซึ่งหลายปีที่ผ่านมา VMware เห็นแนวโน้มจากพฤติกรรมของลูกค้าจำนวนมากที่มีการใช้คลาวด์จากหลายแห่งเนื่องจากแต่ละค่ายมีจุดเด่นแตกต่างกันไป ด้วยเหตุนี้เอง VMware จึงมุ่งหน้าออกผลิตภัณฑ์ที่สนับสนุนลูกค้าอย่างไม่หยุดยั้งซึ่งในปี 2021 มีการพูดถึง …