Apple แก้ไขข้อบกพร่อง Zero-Day ในการอัปเดต iOS

Apple แก้ไขข้อบกพร่อง Zero-Day ในการอัปเดต iOS

สัปดาห์นี้ Apple ได้มีการออกการอัปเดตสำหรับลูกค้ามือถือ เพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ ที่ทำให้ผู้โจมตีสามารถรันโค้ดระยะไกลบน iDevices ของตน คูเปอร์ติโน ยักษ์ใหญ่ทางด้านเทคโนโลยีกล่าวว่า อาชญากร “อาจ” ได้แสวงประโยชน์จากข้อบกพร่องดังกล่าวนี้แล้ว

พร้อมใช้งานสำหรับ iDevices ส่วนใหญ่ในระบบปฏิบัติการ iOS 14.5.1 (และ iPadOS 14.5.1) มีการแก้ไขปัญหาหน่วยความจำเสียหายขั้นร้ายแรงใน Safari WebKit ซึ่ง "การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายนั้น อาจนำไปสู่การถูกแอบใช้รหัสตามอำเภอใจของผู้ไม่หวังดี" จากคำแนะนำ ช่องโหว่ดังกล่าวได้ถูกติดตาม มีเลขอ้างอิงเป็น CVE-2021-30665 และได้รับการรายงานไปยัง Apple ซึ่งถูกค้นพบโดยนักวิจัยด้านความปลอดภัย 3 คน ที่มีนามว่า หยางคัง ซีโรเคเปอร์ และเบียนเหลียง

บริษัทได้กล่าวว่า “Apple รับทราบจากรายงานแล้วว่า ปัญหานี้อาจถูกนำไปใช้อย่างแพร่หลาย”

ข้อบกพร่องประการที่สอง ปรากฏในโปรแกรมเว็บเบราว์เซอร์โอเพนซอร์สเดียวกัน หมายเลขติดตามเป็น CVE-2021-30663 และรายงานโดยนักวิจัยที่ไม่เปิดเผยชื่อ ได้กล่าวว่าช่องโหว่ดังกล่าว สามารถใช้ประโยชน์ได้ในทำนองเดียวกันเพื่อให้บรรลุ "การใช้รหัสได้ตามอำเภอใจ"

กล่าวอีกนัยหนึ่งก็คือ การแสวงประโยชน์จากข้อบกพร่องอย่างใดอย่างหนึ่งที่ประสบความสำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีทำการเรียกใช้มัลแวร์บน iDevices และทำการขโมยข้อมูล (รวมถึงรหัสผ่าน หรือข้อมูลทางการเงิน) และสวมรอยเป็นผู้ใช้งานดังกล่าว โดยอาจจะดำเนินการยึดบัญชีของเป้าหมาย เป็นต้น

วิธีการแก้ไข ณ เวลานี้

ใครก็ตามที่เป็นเจ้าของ iPhone 6s หรือใหม่กว่า iPad Pro (รุ่นใดก็ได้) iPad Air 2 หรือใหม่กว่า iPad รุ่นที่ 5 ขึ้นไป iPad mini 4 ขึ้นไปหรือ iPod touch (รุ่นที่ 7) จะต้องติดตั้งการอัปเดตซอฟต์แวร์นี้โดยเร็วที่สุด

วิธีการอัปเดตอุปกรณ์ ไปที่ การตั้งค่า -> ทั่วไป -> การอัปเดตซอฟต์แวร์ รอให้อุปกรณ์แสดงการอัปเดตที่พร้อมใช้งานสำหรับผลิตภัณฑ์ของคุณ จากนั้นคลิกดาวน์โหลด และติดตั้ง ตรวจสอบให้แน่ใจว่าได้เสียบปลั๊กเข้ากับแหล่งจ่ายไฟ หรือมีพลังงานแบตเตอรี่อย่างน้อย 50% ก่อนเริ่มกระบวนการอัปเดตดังกล่าว

iOS update

สำหรับผู้ใช้ผลิตภัณฑ์ของ Apple นี่ไม่ใช่ช่องโหว่แรก

Apple ในปี 2021 ได้เริ่มต้นการรักษาความปลอดภัยที่ไม่ดี โดย iOS 14.5.1 มาถึงหนึ่งสัปดาห์หลังจากที่ Apple พบว่ามี macOS zero-day ที่แฮกเกอร์แสวงประโยชน์เพื่อหลีกเลี่ยงการป้องกันในตัว และติดตั้งมัลแวร์โดยไม่เรียกกลไกความปลอดภัยหลักของ Mac ขึ้นมา

มัลแวร์ Shlayer เริ่มใช้ประโยชน์จากข้อบกพร่องดังกล่าว เพื่อให้ผู้โจมตีนั้นสามารถข้ามระบบรักษาความปลอดภัย Gatekeeper Notarization และ File Quarantine ในระบบปฏิบัติการเดสก์ท็อปของ Apple หมายเลขข้อบกพร่องดังกล่าวได้ติดตามเป็นหมายเลข CVE-2021-30657 ถูกค้นพบโดย Cedric Owens นักวิจัยด้านความปลอดภัย ผู้ประสงค์ร้ายที่ใช้ประโยชน์จากข้อบกพร่อง อาจเรียกใช้ซอฟต์แวร์ที่ไม่ได้รับการอนุมัติผ่านเว็บไซต์ที่ถูกบุกรุก หรือผลการค้นหาที่เป็นอันตราย ตามที่ Dan Goodin รายงานสำหรับ Ars Technica นักวิจัยด้านความปลอดภัยพบว่ามัลแวร์ Shlayer ที่อัปเดตได้พยายามใช้ข้อบกพร่องดังกล่าวก่อนที่ Apple จะจับได้

ข้อบกพร่องได้รับการแก้ไขแล้วใน macOS 11.3 ขอให้ผู้ใช้ติดตั้ง เลือก System Preferences จากเมนู Apple จากนั้นคลิก Software Update หากมีการอัปเดตใด ๆ ให้คลิกปุ่มอัปเดตทันทีเพื่อติดตั้ง

การรักษาความปลอดภัยอุปกรณ์ Apple ของคุณ

การอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอถือเป็นการปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี แต่ตามประวัติที่แสดงให้เห็นข้อบกพร่องด้านความปลอดภัยมักเกิดขึ้นกับเรา แม้ว่าเราจะคิดว่าตัวเองจะทำการอัปเดตด้วยแพตช์ล่าสุดก็ตาม ในกรณีนี้ iOS 14.5.1 มีความเสี่ยงที่จะไม่มีข้อบกพร่องที่ไม่ทราบสาเหตุเพียงข้อเดียว แต่เป็นข้อบกพร่องสองข้อที่สามารถใช้ประโยชน์ได้จาก Background ของ Apple เช่นเดียวกับผู้ใช้เดสก์ท็อปตามหลักฐานที่ได้ปรากฎขึ้นมาเมื่อสัปดาห์ก่อน

ตรงกันข้ามกับความเชื่อที่เป็นที่นิยมผู้ใช้ Apple มักตกเป็นเป้าหมายของแฮกเกอร์ Bitdefender สนับสนุนอย่างยิ่งให้เจ้าของอุปกรณ์ Apple ได้ใช้การรักษาด้านความปลอดภัยที่มั่นคงกับอุปกรณ์ของตนผ่าน

Bitdefender Mobile Security for iOS แอปที่ออกแบบมาโดยเฉพาะสำหรับ iGizmo ของคุณ เพื่อให้ข้อมูลสำคัญของคุณนั้นปลอดภัยจากการถูกสอดแนม (รวมถึง Secure VPN เพื่อความเป็นส่วนตัวออนไลน์ที่สมบูรณ์)

Bitdefender Antivirus for Mac ด้วยการป้องกันมัลแวร์แบบเรียลไทม์ (รวมถึงไวรัสเรียกค่าไถ่) การบล็อกแอดแวร์ VPN การรักษาความปลอดภัยออนไลน์ (การท่องเว็บการซื้อของออนไลน์และการธนาคาร) และ Time Machine Protection สำหรับการสำรองข้อมูลของคุณ ในกรณีที่ไวรัสเรียกค่าไถ่โจมตีอุปกรณ์ของคุณ

BitdefenderTotal Security

Regular Price: ฿2,098.00

ประหยัด:฿419.60

Special Price: ฿1,678.40

Post Releases