macOS เวอร์ชันใหม่ ‘Mojave’ ออกแล้ว อุตช่องโหว่หลายรายการแต่นักวิจัยโชว์ช่องโหว่ใหม่ทันควัน

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออก OS เวอร์ชันใหม่ 10.14 ที่ชื่อ Mojave พร้อมแพตช์ช่องโหว่ด้านความมั่นคงปลอดภัยหลายรายการ แต่ไม่ทันไรในวันเดียวกัน Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยของบริษัท Digita Security ที่เชี่ยวชาญพิเศษกับ macOS ได้โพสต์โชว์วีดีโอช่องโหว่ของ OS ใหม่ที่เขาสามารถบายพาสกลไกการป้องกันเข้าถึงไฟล์ที่ถูกปกป้องไว้ได้

credit : Bleepingcomputer.com

นักวิจัยยังไม่ยอมเผยถึงรายละเอียดเชิงลึกของช่องโหว่ Zero-day เพราะอยากอุบไว้เผยในงานประชุมที่ตนจะไปร่วมในเดือนพฤษจิกายนแต่กล่าวว่า “ผมพบบางอย่างที่ดูเล็กน้อยแต่กลายเป็นช่องโหว่ในระดับ implement แน่นอน 100%” โดยช่องโหว่นี้ทำให้ Wardle สามารถใช้แอปพลิเคชันที่ไม่ได้มีสิทธิ์ระดับผู้ดูแลเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้ซึ่งบายพาสกลไกด้านความมั่นคงปลอดภัยของระบบโดยปราศจากการสิทธิ์อันควรมี อย่างไรก็ตามช่องโหว่ที่พบไม่สามารถใช้ได้กับทุกฟีเจอร์ด้านความมั่นคงปลอดภัยของ Mojave และส่วนประกอบฮาร์ดแวร์อย่าง Webcam ก็ไม่ได้รับผลกระทบเช่นกัน ผู้สนใจสามารถชมวีดีโอได้ตามด้านล่าง

 

Mojave ได้อุตช่องโหว่ 8 รายการที่เกี่ยวกับระบบ เช่น Bluetooth, App Store, Application Firewall, Auto Unlock, Crash Reporter, Kernel และ Security ช่องโหว่ที่น่าสนใจอย่าง CVE-2018-5383 ที่เกิดกับ Bluetooth สามารถทำให้แฮ็กเกอร์ที่อยู่ในระยะสัญญาณการเชื่อมต่อกับเครื่องและอุปกรณ์เข้าดูและแทรกแซงทราฟฟิคที่แลกเปลี่ยนกันได้ อีกช่องโหว่คือ CVE-2018-4324 ที่เกิดกับ App Store ที่ทำให้แอปอันตรายค้นหา Apple ID เจ้าของอุปกรณ์เป้าหมายได้ อย่างไรก็ตามหลายช่องโหว่ที่ถูกแก้ไขใน Mojave ได้ถูกแพตช์ไปแล้วบน iOS ด้วย (เพราะเวอร์ชันใหม่แอปใน iOS สามารถใช้ได้บน macOS ด้วย) ผู้สนใจสามารถติดตามข้อมูลแพตช์ทั้งหมดได้ ที่นี่

ที่มา : https://www.securityweek.com/macos-mojave-patches-vulnerabilities-new-flaws-already-emerge และ https://www.bleepingcomputer.com/news/security/macos-mojave-privacy-bypass-flaw-allows-access-to-protected-files/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar: รู้จักกับโซลูชัน Edgecore Open Networking และ Enterprise Networking โดย Throughwave Thailand

ขอเรียนเชิญเหล่า IT Manager, Network Engineer, IT Admin และผู้ที่เกี่ยวข้องกับการดูแลระบบเครือข่ายภายในองค์กรทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง “รู้จักกับโซลูชัน Edgecore Open Networking และ Enterprise Networking โดย Throughwave Thailand" เพื่อรู้จักกับผลิตภัณฑ์ระบบเครือข่ายทั้งสำหรับ Data Center และ Campus ใหม่อย่าง Edgecore Networks พร้อมเรียนรู้แนวคิดด้าน Open Networking ในวันพฤหัสบดีที่ 24 มกราคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

ผู้เชี่ยวชาญพบช่องโหว่บน Firmware ของชิป WiFi ยอดนิยมคาดกระทบอุปกรณ์หลายล้านชิ้น

Denis Selianin ผู้เชี่ยวชาญจาก Embedi ได้ค้นพบช่องโหว่บนบน ThreadX หรือ Real-time Operating System (RTOS) ยอดนิยมที่ถูกพัฒนาโดย Express Logic ซึ่งบริษัทอ้างว่าซอฟต์แวร์ได้ถูกนำไปใช้กับชิป …