Apple confirms WebKit security updates break browsing on some sites
Apple ยืนยันในวันนี้ว่าการอัปเดตความปลอดภัยฉุกเฉินที่เผยแพร่ในวันจันทร์ เพื่อแก้ไขจุดบกพร่องแบบ Zero-day ที่ถูกโจมตีและทำลายการเรียกดูในบางเว็บไซต์ รายการใหม่จะออกในเร็ว ๆ นี้เพื่อแก้ไขปัญหาที่ทราบนี้ บริษัท กล่าว แม้ว่า Apple จะไม่ได้อธิบายว่าเหตุใดเว็บไซต์ที่ได้รับผลกระทบจึงไม่สามารถแสดงผลได้อย่างถูกต้อง แต่มีรายงานว่าเกิดขึ้นหลังจากการตรวจจับตัวแทนผู้ใช้ของบางบริการ (เช่น Zoom, Facebook และ Instagram) ขัดข้อง และทำให้เว็บไซต์เริ่มแสดงข้อผิดพลาดใน Safari เมื่อแพต ช์ แล้ว อุปกรณ์ ตัวอย่างเช่น หลังจากใช้การอัปเดต RSR บนอุปกรณ์ iOS แล้ว User Agent ใหม่ที่มีสตริง (a) คือ Mozilla/5.0 (iPhone CPU iPhone OS 16_5_1 เช่น Mac OS X) AppleWebKit/605.1.15 (KHTML เช่น Gecko) เวอร์ชัน/16.5.2 (ก) มือถือ/15E148 Safari/604.1 ซึ่งป้องกันไม่ให้เว็บไซต์ตรวจพบว่าเป็น Safari เวอร์ชันที่ถูกต้อง ดังนั้นการแสดงข้อความแสดงข้อผิดพลาดที่ไม่รองรับเบราว์เซอร์
Apple ตระหนักถึงปัญหาที่ Rapid Security Responses อาจทำให้บางเว็บไซต์แสดงผลไม่ถูกต้อง บริษัท ระบุ ในเอกสารสนับสนุนที่เผยแพร่เมื่อวันอังคาร การตอบสนองด้านความปลอดภัยอย่างรวดเร็ว iOS 16.5.1 (b), iPadOS 16.5.1 (b) และ macOS 13.4.1 (b) จะพร้อมใช้งานในเร็วๆ นี้เพื่อแก้ไขปัญหานี้ บริษัทแนะนำให้ลูกค้าที่ใช้การอัปเดตความปลอดภัยของบั๊กกี้แล้วให้ลบออกหากพบปัญหาขณะท่องเว็บ บนอุปกรณ์ iPhone หรือ iPad คุณสามารถทำได้โดยแตะที่ Remove Security Response จากนั้นแตะ Remove เพื่อยืนยันจากการตั้งค่า > เกี่ยวกับ > เวอร์ชัน iOS ผู้ใช้ Mac สามารถลบการอัปเดต RSR ได้โดยเปิดเมนู แล้วคลิกข้อมูลเพิ่มเติมใน เกี่ยวกับ Mac เครื่องนี้ คุณจะต้องคลิกปุ่มข้อมูล (i) ถัดจากหมายเลขเวอร์ชันภายใต้ macOS จากนั้นคลิก ลบ และ เริ่มต้นใหม่
พบข้อบกพร่อง Zero-day (ติดตามเป็น CVE-2023-37450) ในเครื่องมือเบราว์เซอร์ WebKit ของ Apple และช่วยให้ผู้โจมตีสามารถใช้รหัสตามอำเภอใจได้โดยการหลอกล่อให้เป้าหมายเปิดหน้าเว็บที่มีเนื้อหาที่ออกแบบมาเพื่อประสงค์ร้าย Apple ทราบถึงรายงานที่ว่าปัญหานี้อาจถูกนำไปใช้อย่างจริงจัง บริษัทกล่าวใน คำแนะนำของ iOS และ macOS โดยอธิบายถึงช่องโหว่ CVE-2023-37450 ที่แพตช์ในการอัปเดตความปลอดภัยฉุกเฉินเมื่อวานนี้ การตอบสนองด้านความปลอดภัยอย่างรวดเร็วนี้มีการแก้ไขด้านความปลอดภัยที่สำคัญและแนะนำสำหรับผู้ใช้ทุกคน Apple เตือนลูกค้าเกี่ยวกับอุปกรณ์ที่มีการจัดส่งแพตช์ RSR
https://www.bleepingcomputer.com/news/security/apple-confirms-webkit-security-updates-break-browsing-on-some-sites/