02/06/2023

แอปเปิ้ลปล่อยแพ็ตช์อุดช่องโหว่ Zero-day สำหรับโอเอสทั้ง iOS และ iPadOS

แอปเปิ้ลได้ออกตัวอัปเดตมาแก้ไขช่องโหว่ Zero-day ที่ครั้งนี้อยู่บนทั้ง iOS และ iPadOS ที่พบการใช้ประโยชน์ในวงกว้างแล้ว เป็นช่องโหว่ภายใต้รหัส CVE-2022-42827 มาจากปัญหาการเขียนข้อมูลนอกขอบเขตในเคอเนล

ช่องโหว่นี้อาจทำให้แอพพลิเคชั่นอันตรายใช้รันโค้ดด้วยสิทธิ์การใช้งานระดับสูงสุดได้ ช่องโหว่แบบ Out-of-Bounds Write นี้ มักเกิดขึ้นเมื่อโปรแกรมพยายามเขียนข้อมูลบนหน่วยความจำในตำแหน่งที่อยู่นอกขอบเขตที่ได้รับอนุญาตให้เข้าถึง ทำให้ข้อมูลเสียหาย ระบบค้าง หรือใช้รันโค้ดอันตรายได้

แอปเปิ้ลระบุว่า พบบั๊กนี้ระหว่างการตรวจสอบเพื่อพัฒนาตามรอบ แต่ก็ให้เครดิตแก่นักวิจัยที่ไม่ประสงค์จะออกนามที่รายงานช่องโหว่นี้ด้วย ครั้งนี้แอปเปิ้ลไม่แชร์รายละเอียดเพิ่มเติมตามธรรมเนียนกรณีที่เป็น Zero-day เนื่องจากจะไปส่งเสริมให้เกิดการโจมตีที่เกิดอยู่มากขึ้น

ช่องโหว่ CVE-2022-42827 นี้ถือเป็นช่องโหว่บนหน่วยความจำแบบ Out-of-Bounds ที่เกี่ยวข้องกับเคอเนลเป็นรายการที่สามแล้วที่ได้รับการแพ็ตช์โดยแอปเปิ้ล สำหรับช่องโหว่สองตัวก่อนหน้านี้ได้แก่ CVE-2022-32894 และ CVE-2022-32917 ซึ่งพบการโจมตีจริงในวงกว้างเช่นกัน

อ่านเพิ่มเติมที่นี่