Apple Cybersecurity

พบช่องโหว่มากกว่า 55 รายในบริการของ Apple

โปรแกรมเมอร์ 5 คนทำเงินไปมากกว่า 300,000 เหรียญจากโครงการ Bug Bounty ของ Apple

ทีมโปรแกรมเมอร์ 5 คนพบช่องโหว่ 55 รายการในหลายบริการของ Apple มีร่วม 10 ช่องโหว่ที่จัดว่าเป็นช่องโหว่อันตราย และทำเงินไปทั้งหมด 288,500 เหรียญสหรัฐฯจากโครงการ Bug Bounty ของ Apple

“เราพบช่องโหว่ในโครงสร้างพื้นฐานของระบบที่อาจทำให้แฮกเกอร์สามารถเข้าถึงแอปพลิเคชั่นของผู้ใช้หรือพนักงานได้ ยึดบัญชี iCloud ขโมย Source Code ของโปรเจคที่ Apple ทำไว้ ออกคำสั่งกับอุปกรณ์ Apple ภายในบ้าน” โปรแกรมเมอร์ทั้ง 5 เขียนไว้

ความรุนแรงของช่องโหว่ – ตามมาตรฐานของ Common Vulnerability Scoring System (CVSS)

  • Critical – 11 รายการ
  • High – 29 รายการ
  • Medium – 13 รายการ
  • Low – 2 รายการ

ช่องโหว่ 2 รายการที่น่าสนใจได้แก่ ช่องโหว่ในระบบรีโมต Remote Code Execution (RCE) ใน Apple Distinguished Educators และช่องโหว่ใน cross-site scripting (XSS) ที่ทำให้แฮกเกอร์สามารถขโฒยข้อมูลจาก iCloud ได้

โดยแฮกเกอร์จำลองการโจมตี Proof-of-concept และรายละเอียดช่องโหว่ให้กับทาง Apple โดยที่ Apple ให้การตอบรับอย่างรวดเร็วกับผลงานของพวกเขา และเริ่มดำเนินการแก้ไขให้แล้วเสร็จใน 1-2 วัน

Author: Amer Owaida
Source: https://www.welivesecurity.com/2020/10/09/55-security-flaws-found-various-apple-services/
Translated by: Worapon H.

%d bloggers like this: