Apple มีแพตช์รักษาความปลอดภัยเพิ่มเติมที่เปิดตัวครั้งแรกในเดือนมีนาคมสำหรับ iPhone และ iPad รุ่นเก่า โดยจัดการกับเคอร์เนล iOS เป็นศูนย์ ช่องโหว่รายวันที่ถูกนำไปใช้ประโยชน์ในการโจมตี บริษัทได้ยืนยันรายงานที่ระบุว่าข้อบกพร่อง”อาจถูกนำไปใช้อย่างแข็งขัน”
ปัญหาความเสียหายของหน่วยความจำใน RTKit
ช่องโหว่ที่ระบุว่าเป็น CVE-2024-23296 เป็นปัญหาความเสียหายของหน่วยความจำในระบบปฏิบัติการแบบเรียลไทม์ RTKit ของ Apple อนุญาตให้ผู้โจมตีที่มีความสามารถในการอ่านและเขียนเคอร์เนลโดยพลการสามารถเลี่ยงการป้องกันหน่วยความจำเคอร์เนลได้ Apple ไม่ได้รับการเปิดเผยตัวตนของนักวิจัยด้านความปลอดภัยที่ค้นพบช่องโหว่ดังกล่าว
ในวันที่ 5 มีนาคม Apple แก้ไขช่องโหว่แบบ Zero-day สำหรับ iPhone, iPad และ Mac รุ่นใหม่ ขณะนี้บริษัทได้ขยายการอัปเดตความปลอดภัยเหล่านี้ไปยังอุปกรณ์รุ่นเก่า รวมถึง iPhone 8, iPhone 8 Plus, iPhone X, iPad รุ่นที่ 5, iPad Pro 9.7 นิ้ว และ iPad Pro 12.9 นิ้ว รุ่นที่ 1 ซึ่งขณะนี้พร้อมใช้งานสำหรับ iOS 16.7.8, iPadOS 16.7.8 และ macOS Ventura 13.6.7 มีการปรับปรุงการตรวจสอบอินพุตเพื่อบรรเทาปัญหา
มีแพทช์ Zero-Days สามรายการในปี 2024
ตั้งแต่ต้นปี Apple ได้แก้ไขช่องโหว่ Zero-Day สามรายการแล้ว มีการแก้ไข 2 ฉบับในเดือนมีนาคม (CVE-2024-23225 และ CVE-2024-23296) และ 1 ฉบับ ในเดือนมกราคม (CVE-2024-23222) ในเดือนมกราคม Apple ยังส่งแพตช์ backported สำหรับ WebKit Zero-Day จำนวน 2 วัน (CVE-2023-42916 และ CVE-2023-42917) ซึ่งได้รับการแพตช์ครั้งแรกในเดือนพฤศจิกายนสำหรับอุปกรณ์รุ่นใหม่
แก้ไขช่องโหว่เพิ่มเติมแล้ว
Apple บันทึกช่องโหว่อย่างน้อย 16 รายการบน iPhone และ iPad และเรียกร้องความสนใจเป็นพิเศษไปที่ CVE-2024-23296 ซึ่งเป็นข้อผิดพลาดเกี่ยวกับความเสียหายของหน่วยความจำใน RTKit ที่ บริษัทกล่าวว่า”อาจถูกใช้ประโยชน์”ก่อนที่จะมีแพตช์ให้บริการ เคอร์เนลแบบเรียลไทม์เป็นส่วนประกอบของระบบปฏิบัติการที่รับผิดชอบในการจัดการและดำเนินการงานที่มีข้อกำหนดด้านเวลาที่เข้มงวด
บริษัทยังกล่าวถึง a ปัญหาตรรกะ ติดตามได้ใน CVE-2024-27789 ในกรอบงานของ Foundation แอปใช้ประโยชน์ในการเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ ข้อบกพร่องนี้รายงานโดยนักวิจัยด้านความปลอดภัย Mickey Jin (@patch1t) และ Apple จัดการกับช่องโหว่ด้วยการตรวจสอบที่ได้รับการปรับปรุง
ผลกระทบด้านความปลอดภัยและคำแนะนำผู้ใช้
แม้ว่า Apple จะไม่เปิดเผยรายละเอียดเฉพาะเกี่ยวกับการใช้ประโยชน์จาก CVE-2024-23296 แต่ iOS Zero-days มักจะถูกใช้ในการโจมตีสปายแวร์ที่ได้รับการสนับสนุนจากรัฐ โดยกำหนดเป้าหมายไปที่บุคคลที่มีความเสี่ยงสูง เช่น นักข่าว ผู้เห็นต่าง และนักการเมืองฝ่ายค้าน แม้ว่าการใช้ซีโรเดย์มีแนวโน้มที่จะใช้ในการโจมตีแบบกำหนดเป้าหมาย ผู้ใช้ iPhone หรือ iPad รุ่นเก่าควรติดตั้งการอัปเดตความปลอดภัยล่าสุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น
นอกเหนือจากแพตช์เหล่านี้แล้ว iOS 17.5 ล่าสุดยังมาพร้อมกับแพตช์ล่าสุดอีกด้วย การอัปเดตรวมถึงการรองรับการแจ้งเตือนการติดตามที่ไม่ต้องการ การแจ้งเตือนเหล่านี้จะแจ้งให้ผู้ใช้ทราบว่ามีการใช้อุปกรณ์ติดตามบลูทูธ เช่น AirTags หรือตัวติดตามอื่นๆ ที่เข้ากันได้เพื่อติดตามตำแหน่งของตนหรือไม่
