เมนู

พบ!! ช่องโหว่ Zero-day ใหม่
ในผลิตภัณฑ์ของ Apple

apple

แนะอัปเดตการใช้งาน iOS, iPadOS, macOS, tvOS และเว็บเบราเซอร์ Safari ในเวอร์ชัน iOS ที่ต่ำกว่า 15.1 หรือก่อนหน้า

16 ธันวาคม 2565

เมื่อวันอังคารที่ผ่านมา Apple ได้เปิดตัวการอัปเดตความปลอดภัยสำหรับการใช้งาน iOS, iPadOS, macOS, tvOS และเว็บเบราเซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day ใหม่ ที่อาจส่งผลให้เกิดการเรียกใช้งานโค้ดที่เป็นอันตรายได้

ซึ่งช่องโหว่ CVE-2022-42856  ถูกจัดอยู่ในกลุ่มปัญหาประเภท type confusion ในเครื่องมือเบราเซอร์ของ WebKit ซึ่งอาจถูกเรียกใช้ เมื่อทำการประมวลผลเนื้อหาที่ถูกสร้างขึ้นเป็นพิเศษ และนำไปสู่การทำ code execution ที่เป็นอันตรายได้ กับเวอร์ชัน iOS ที่ต่ำกว่า 15.1 หรือก่อนหน้า

การอัปเดตซึ่งจะอยู่ใน  iOS 15.7.2, iPadOS 15.7.2macOS Ventura 13.1tvOS 16.2 และ Safari 16.2 สองสัปดาห์หลังจากที่ทาง Apple ได้ทำการแก้ไขช่องโหว่ต่างๆ ใน iOS 16.1.2 เมื่อวันที่ 30 พฤศจิกายน 2565 ซึ่งการแก้ไขปัญหาดังกล่าวนับเป็นการแก้ไขช่องโหว่ Zero-day ครั้งที่ 10 ที่ได้ค้นพบในซอฟต์แวร์ของ Apple ภายในปี 2565 ที่ผ่านมา

ช่องโหว่ทั้ง 9 รายการที่ได้มีการตรวจพบตลอดปี 2565 ที่ผ่านมา

  • CVE-2022-22587 (IOMobileFrameBuffer) แอปพลิเคชันที่เป็นอันตรายสามารถเรียกใช้รหัส arbitrary code ด้วยสิทธิ์การใช้งานของ kernel
  • CVE-2022-22594 (WebKit Storage) เว็บไซต์อาจสามารถติดตามข้อมูลของผู้ใช้ได้
  • CVE-2022-22620 (WebKit)  การประมวลผลเนื้อหาเว็บที่ถูกออกแบบมาเพื่อการทำ code execution
  • CVE-2022-22674 (Intel Graphics Driver)  แอปพลิเคชันอาจสามารถอ่านหน่วยความจำแบบ kernel ได้
  • CVE-2022-22675 (AppleAVD)  แอปพลิเคชันอาจสามารถ execute arbitrary code ด้วยสิทธิ์การใช้งานของ kernel
  • CVE-2022-32893 (WebKit)  การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อทำ arbitrary code execution
  • CVE-2022-32894 (Kernel)  แอปพลิเคชันอาจสามารถ execute arbitrary code ด้วยสิทธิ์การใช้งานของ kernel
  • CVE-2022-32917 (Kernel)  แอปพลิเคชันอาจสามารถ execute arbitrary code ด้วยสิทธิ์การใช้งานของ kernel
  • CVE-2022-42827 (Kernel)  แอปพลิเคชันอาจสามารถ execute arbitrary code ด้วยสิทธิ์การใช้งานของ kernel

การอัปเดต  iOS, iPadOS, และ macOS ล่าสุดยังได้แนะนำถึงคุณสมบัติการรักษาความปลอดภัยใหม่ที่เรียกว่าการป้องกันข้อมูลขั้นสูงสำหรับการใช้งาน iCloud ซึ่งได้เพิ่มการเข้ารหัสแบบ end-to-end (E2EE) ไปยัง iCloud Backup, Notes, Photos และอื่นๆ อีกด้วย

อ้างอิง: thehackernews

#ข่าวไซเบอร์ #ภัยคุกคาม #Mobile #ช่องโหว่ #CVE #CVSS #Apple #macOS #iOS #iPadOs #iCloud #E2EE #tvOS #CyberIntelligence #Safari #Zero-day #WebKit #Kernel #IOMobileFrameBuffer #Update