Apple Cybersecurity

Apple ออกแพทช์แก้ไขช่องโหว่ Zero-day ใน iOS

นักวิจัยจาก Alphabet-owned พบช่องโหว่ 3 รายการในหลายอุปกรณ์ของ Apple

“ทาง Apple ได้รับรายงานเกี่ยวกับการใช้ช่องโหว่” ข้อความจาก Security Bulletin ของ Apple สำหรับผู้ใช้งาน iOS และ iPadOS ให้อัพเดตเวอร์ชันเป็น 14.2 หรือสูงกว่าเพื่อแก้ไขช่องโหว่

อุปกรณ์ที่ได้รับผลกระทบได้แก่ iPhone 6s ขึ้นไป, iPod touch 7th generation, iPad Air 2 ขึ้นไป และ iPad mini 4 ขึ้นไป

นอกจากอุปกรณ์เหล่านี้แล้วทาง Apple ก็อัพเดตแก้ไขช่องโหว่อื่นๆ อย่าง  watchOS 5.3.96.2.9, และ 7.1, อัพเดตสำหรับ macOS Catalina 10.15.7, และ iOS 12.4.9

คุณ Ben Hawkes หัวหน้าฝ่ายเทคนิคของ Project Zero โดย Google ทวีต:

ช่องโหว่แรกอยู่ใน FontParser รหัส CVE-2020-27930 เป็นช่องโหว่ Remote Code Execution (RCE) ที่แฮกเกอร์สามารถดัดแปลง Font เข้ามาเพื่อโจมตีจากระยะไกลได้

ช่องโหว่ถัดมา CVE-2020-27950 ใน Kernel แฮกเกอร์สามารถใช้แอปพลิเคชันเปิดเผยข้อมูลในหน่วยความจำ ทาง VULDB บอกว่าวิธีนี้ต้องให้แฮกเกอร์เข้าถึงเครื่องโดยตรง

ช่องโหว่สุดท้ายคือ CVE-2020-27932 เป็นการเพิ่มสิทธิในการ Kernel “ด้วยแอปพลิเคชันอันตรายทำให้ยกระดับสิทธิการใช้งานได้” Apple เตือน

Computer Emergency Response Teams (CERT) จากฮ่องกงและสิงคโปร์เตือนผู้ใช้เกี่ยวกับช่องโหว่ในอุปกรณ์ Apple และแนะนำให้อัพเดตโดยทันที หากคุณไม่ได้เปิด Auto-Update เอาไว้ สามารถอัพเดตได้โดยไปที่เมนู Settings -> General และ Software Update

Author: Amer Owaida
Source: https://www.welivesecurity.com/2020/11/06/apple-plugs-three-zero-day-holes-ios/
Translated by: Worapon H.

%d bloggers like this: