Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้ออกคำสั่งให้หน่วยงานภาครัฐของสหรัฐทำการแพตช์ความปลอดภัยบนอุปกรณ์ที่ใช้ระบบปฏิบัติการ iOS, iPadOS และ macOS ภายในวันที่ 1 พฤษภามคม หลังจากที่ Apple ได้ออกแพตช์แล้วเมื่อวันศุกร์ที่ผ่านมา
เนื่องจากมีการตรวจพบการโจมตีผ่านช่องโหว่ดังกล่าวแล้ว โดยช่องโหว่แรก (CVE-2023-28206) เป็นช่องโหว่ชนิด Out-of-bounds write บน IOSurfaceAccelerator ทำให้ผู้โจมตีสามารถสร้างแอพที่รันคำสั่งในระดับ Kernel บนเครื่องเป้าหมายได้ และช่องโหว่ตัวที่สอง (CVE-2023-28205) เป็นช่องโหว่ชนิด Use after free บน WebKit ทำให้ผู้โจมตีสามารถรันคำสั่งบนอุปกรณ์ iPhone, Mac และ iPad ได้ เพียงแค่เข้าผ่านหน้าเว็บเท่านั้น
Apple ได้ออกแพตช์อุดช่องโหว่ Zero-day ทั้งสองตัวแล้วใน iOS 16.4.1, iPadOS 16.4.1 และ macOS Ventura 13.3.1 และ Safari 16.4.1 สำหรับช่องโหว่ดังกล่าวกระทบอุปกรณ์จำนวนมาก ดังนี้
• iPhone 8 หรือใหม่กว่า
• iPad Pro ทุก Model
• iPad Air 3rd Gen หรือใหม่กว่า
• iPad 5th Gen หรือใหม่กว่า
• iPad mini 5th Gen หรือใหม่กว่า
• Mac ที่ใช้งาน macOS Ventura
————————————————————————————————————————-
ที่มา : TechTalkThai / วันที่เผยแพร่ 12 เมษายน 2566
Link : https://www.techtalkthai.com/cisa-orders-us-govt-to-patch-iphone-and-mac/