Apple fixes three new zero-days exploited to hack iPhones, Macs
Apple ได้แก้ไขช่องโหว่ Zero-day 3 รายการที่ใช้ในการโจมตีเพื่อเจาะเข้า iPhone, Mac และ iPad ข้อบกพร่องด้านความปลอดภัยทั้งหมดพบในเครื่องมือเบราว์เซอร์ WebKit แบบหลายแพลตฟอร์ม โดยช่องโหว่แรกคือ CVE-2023-32409 ที่ทำให้ผู้โจมตีจากระยะไกลสามารถแยกตัวออกจาก Sandbox ของเนื้อหาเว็บได้ อีก 2 รายการคือ CVE-2023-28204 และ CVE-2023-32373 เป็นการอ่านนอกขอบเขตที่สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนได้และเรียกใช้โค้ดได้ตามต้องการบนอุปกรณ์ที่ถูกบุกรุก
โดย Apple ได้แก้ไขปัญหา Zero-day ทั้งสามใน macOS Ventura 13.4, iOS และ iPadOS 16.5, tvOS 16.5, watchOS 9.5 และ Safari 16.5 ด้วยการปรับปรุงการตรวจสอบขอบเขต การตรวจสอบอินพุต และการจัดการหน่วยความจำ
รายการอุปกรณ์ที่ได้รับผลกระทบมีดังต่อไปนี้ - iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4), iPod touch (รุ่นที่ 7), iPhone 8 และใหม่กว่า - iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า - Mac ที่ใช้ macOS Big Sur, Monterey และ Ventura - Apple Watch Series 4 และใหม่กว่า - Apple TV 4K (ทุกรุ่น) และ Apple TV HD บริษัท Apple ยังเปิดเผยว่า CVE-2023-28204 และ CVE-2023-32373 ได้รับการแก้ไขเป็นครั้งแรกด้วยแพตช์ Rapid Security Response (RSR) สำหรับอุปกรณ์ iOS 16.4.1 และ macOS 13.3.1 ที่ออกเมื่อวันที่ 1 พฤษภาคม 2566
https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/