หน้าแรก Vendors Apple แอปเปิ้ลแพ็ตช์ช่องโหว่ Zero-day ชื่อ “Superpower” ที่โดนเล่นทั้ง iPhones, iPads, และ Macs

แอปเปิ้ลแพ็ตช์ช่องโหว่ Zero-day ชื่อ “Superpower” ที่โดนเล่นทั้ง iPhones, iPads, และ Macs

แบ่งปัน

แอปเปิ้ลได้แก้ไขช่องโหว่แบบ Zero-days สองรายการที่กระทบกับ iOS, iPadOS, และ macOS Monterrey ที่อาจมีการนำไปใช้โจมตีในวงกว้างแล้วตอนนี้ ช่องโหว่แรกเป็นการเปิดช่องให้รันโค้ดจากระยะไกล (RCE) บนเอนจิ้นบราวเซอร์ที่มีเฉพาะของแอปเปิ้ลอย่าง WebKit

เป็นช่องโหว่ที่อยู่ภายใต้รหัส CVE-20220-32893 ที่ผู้โจมตีเอาไปใช้แก้ไขการแสดงผลหน้าเว็บได้เมื่อเข้าผ่านบราวเซอร์ที่ใช้เอนจิ้น WebKit นี้อย่างตัว Safari ที่มาพร้อมกับ iPhone และ iPad โดยดีฟอลต์ รวมทั้งใช้รันโค้ดบนอุปกรณ์ที่ยังไม่ได้แพ็ตช์ได้ด้วย

ไม่ใช่แค่ซาฟารี! บราวเซอร์ยอดนิยมอย่าง Google Chrome บน iOS และ iPadOS ก็มีใช้เอนจิ้นที่เกี่ยวข้องอย่าง Blink และ V8 หรือบราวเซอร์ตัวอื่นเองก็อาจพึ่งพา WebKit เพื่อให้ผ่านการตรวจสอบของ Apple App Store สำหรับการดำเนินการบางอย่างด้วย

แอพอื่นๆ ที่มีฟีเจอร์เปิดหน้าเว็บก็เช่นกัน ที่อาจมีการใช้ WebKit ในการแสดงคอนเทนต์บนเว็บ ส่วนช่องโหว่อีกรายการคือ CVE-2022-32894 เกี่ยวกับการรันโค้ดในระดับเคอร์เนล ที่เปิดให้ผู้โจมตีเขาถึงอุปกรณ์ในขั้นแรกได้โดยเจาะผ่านช่องโหว่ WebKit ที่กล่าวถึงข้างต้นก่อน

อ่านเพิ่มเติมที่นี่ – ITPro