macOS เวอร์ชันใหม่ ‘Mojave’ ออกแล้ว อุตช่องโหว่หลายรายการแต่นักวิจัยโชว์ช่องโหว่ใหม่ทันควัน

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออก OS เวอร์ชันใหม่ 10.14 ที่ชื่อ Mojave พร้อมแพตช์ช่องโหว่ด้านความมั่นคงปลอดภัยหลายรายการ แต่ไม่ทันไรในวันเดียวกัน Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยของบริษัท Digita Security ที่เชี่ยวชาญพิเศษกับ macOS ได้โพสต์โชว์วีดีโอช่องโหว่ของ OS ใหม่ที่เขาสามารถบายพาสกลไกการป้องกันเข้าถึงไฟล์ที่ถูกปกป้องไว้ได้

credit : Bleepingcomputer.com

นักวิจัยยังไม่ยอมเผยถึงรายละเอียดเชิงลึกของช่องโหว่ Zero-day เพราะอยากอุบไว้เผยในงานประชุมที่ตนจะไปร่วมในเดือนพฤษจิกายนแต่กล่าวว่า “ผมพบบางอย่างที่ดูเล็กน้อยแต่กลายเป็นช่องโหว่ในระดับ implement แน่นอน 100%” โดยช่องโหว่นี้ทำให้ Wardle สามารถใช้แอปพลิเคชันที่ไม่ได้มีสิทธิ์ระดับผู้ดูแลเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้ซึ่งบายพาสกลไกด้านความมั่นคงปลอดภัยของระบบโดยปราศจากการสิทธิ์อันควรมี อย่างไรก็ตามช่องโหว่ที่พบไม่สามารถใช้ได้กับทุกฟีเจอร์ด้านความมั่นคงปลอดภัยของ Mojave และส่วนประกอบฮาร์ดแวร์อย่าง Webcam ก็ไม่ได้รับผลกระทบเช่นกัน ผู้สนใจสามารถชมวีดีโอได้ตามด้านล่าง

 

Mojave ได้อุตช่องโหว่ 8 รายการที่เกี่ยวกับระบบ เช่น Bluetooth, App Store, Application Firewall, Auto Unlock, Crash Reporter, Kernel และ Security ช่องโหว่ที่น่าสนใจอย่าง CVE-2018-5383 ที่เกิดกับ Bluetooth สามารถทำให้แฮ็กเกอร์ที่อยู่ในระยะสัญญาณการเชื่อมต่อกับเครื่องและอุปกรณ์เข้าดูและแทรกแซงทราฟฟิคที่แลกเปลี่ยนกันได้ อีกช่องโหว่คือ CVE-2018-4324 ที่เกิดกับ App Store ที่ทำให้แอปอันตรายค้นหา Apple ID เจ้าของอุปกรณ์เป้าหมายได้ อย่างไรก็ตามหลายช่องโหว่ที่ถูกแก้ไขใน Mojave ได้ถูกแพตช์ไปแล้วบน iOS ด้วย (เพราะเวอร์ชันใหม่แอปใน iOS สามารถใช้ได้บน macOS ด้วย) ผู้สนใจสามารถติดตามข้อมูลแพตช์ทั้งหมดได้ ที่นี่

ที่มา : https://www.securityweek.com/macos-mojave-patches-vulnerabilities-new-flaws-already-emerge และ https://www.bleepingcomputer.com/news/security/macos-mojave-privacy-bypass-flaw-allows-access-to-protected-files/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft Exchange Server 2013 จะสิ้นสุดการสนับสนุนปี 2023

ช่วงนี้มีแต่ข่าว ลด ละ เลิก บนผลิตภัณฑ์ของ Microsoft ครานี้ถึงชะตาของ Exchange Server 2013 จากการประกาศล่าสุดเกี่ยวกับการสิ้นสุดการสนับสนุนซึ่งแจ้งไว้ล่วงหน้าเกือบปีในวันที่ 11 เมษายน 2023 ซึ่งจะเป็นวันสุดท้าย

รีวิว: TP-Link Omada EAP670 AX5400 – Wi-Fi 6 Access Point ระดับ High-end Business รุ่นใหม่

Wi-Fi เป็นหนึ่งในการเชื่อมต่อที่สำคัญที่สุดขององค์กร บทความนี้ TechTalkThai จะมารีวิว Omada EAP670 AX5400 ซึ่งเป็น Access Point มาตรฐาน Wi-Fi 6 รุ่นใหม่ล่าสุดจาก …