macOS เวอร์ชันใหม่ ‘Mojave’ ออกแล้ว อุตช่องโหว่หลายรายการแต่นักวิจัยโชว์ช่องโหว่ใหม่ทันควัน

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออก OS เวอร์ชันใหม่ 10.14 ที่ชื่อ Mojave พร้อมแพตช์ช่องโหว่ด้านความมั่นคงปลอดภัยหลายรายการ แต่ไม่ทันไรในวันเดียวกัน Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยของบริษัท Digita Security ที่เชี่ยวชาญพิเศษกับ macOS ได้โพสต์โชว์วีดีโอช่องโหว่ของ OS ใหม่ที่เขาสามารถบายพาสกลไกการป้องกันเข้าถึงไฟล์ที่ถูกปกป้องไว้ได้

credit : Bleepingcomputer.com

นักวิจัยยังไม่ยอมเผยถึงรายละเอียดเชิงลึกของช่องโหว่ Zero-day เพราะอยากอุบไว้เผยในงานประชุมที่ตนจะไปร่วมในเดือนพฤษจิกายนแต่กล่าวว่า “ผมพบบางอย่างที่ดูเล็กน้อยแต่กลายเป็นช่องโหว่ในระดับ implement แน่นอน 100%” โดยช่องโหว่นี้ทำให้ Wardle สามารถใช้แอปพลิเคชันที่ไม่ได้มีสิทธิ์ระดับผู้ดูแลเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้ซึ่งบายพาสกลไกด้านความมั่นคงปลอดภัยของระบบโดยปราศจากการสิทธิ์อันควรมี อย่างไรก็ตามช่องโหว่ที่พบไม่สามารถใช้ได้กับทุกฟีเจอร์ด้านความมั่นคงปลอดภัยของ Mojave และส่วนประกอบฮาร์ดแวร์อย่าง Webcam ก็ไม่ได้รับผลกระทบเช่นกัน ผู้สนใจสามารถชมวีดีโอได้ตามด้านล่าง

 

Mojave ได้อุตช่องโหว่ 8 รายการที่เกี่ยวกับระบบ เช่น Bluetooth, App Store, Application Firewall, Auto Unlock, Crash Reporter, Kernel และ Security ช่องโหว่ที่น่าสนใจอย่าง CVE-2018-5383 ที่เกิดกับ Bluetooth สามารถทำให้แฮ็กเกอร์ที่อยู่ในระยะสัญญาณการเชื่อมต่อกับเครื่องและอุปกรณ์เข้าดูและแทรกแซงทราฟฟิคที่แลกเปลี่ยนกันได้ อีกช่องโหว่คือ CVE-2018-4324 ที่เกิดกับ App Store ที่ทำให้แอปอันตรายค้นหา Apple ID เจ้าของอุปกรณ์เป้าหมายได้ อย่างไรก็ตามหลายช่องโหว่ที่ถูกแก้ไขใน Mojave ได้ถูกแพตช์ไปแล้วบน iOS ด้วย (เพราะเวอร์ชันใหม่แอปใน iOS สามารถใช้ได้บน macOS ด้วย) ผู้สนใจสามารถติดตามข้อมูลแพตช์ทั้งหมดได้ ที่นี่

ที่มา : https://www.securityweek.com/macos-mojave-patches-vulnerabilities-new-flaws-already-emerge และ https://www.bleepingcomputer.com/news/security/macos-mojave-privacy-bypass-flaw-allows-access-to-protected-files/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Veeam Availability Orchestrator v2 ออกแล้ว! พร้อมตอบโจทย์การทำ DR ในทุกองค์กร

Veeam ได้ประกาศออก Availability Orchestrator v2 แล้วซึ่งเปิดตัวเวอร์ชันแรกไปในปี 2018 โดยเวอร์ชันใหม่มีการเพิ่มขีดความสามารถให้ใช้งานได้ง่ายและรองรับการทำ DR ให้กับทุกองค์กร

นักวิจัยพบช่องโหว่ Zero-day ใหม่ของ Windows 10 บน Task Scheduler

นักวิจัยด้านความมั่นคงปลอดภัยในนามแฝง ‘SandboxEscaper’ ได้เปิดเผยช่องโหว่ Zero-day ใหม่ไว้บน GitHub ซึ่งเกิดกับส่วน Task Scheduler ของ Windows 10 ที่นำไปสู่การยกระดับสิทธิ์ได้