កាលពីថ្ងៃព្រហស្បតិ៍ ក្រុមហ៊ុន Apple បានបញ្ចេញបច្ចុប្បន្នភាពសុវត្ថិភាពជាបន្ទាន់សម្រាប់ iOS, iPadOS, macOS និង watchOS ដើម្បីដោះស្រាយបញ្ហា Zero-day ចំនួន២ ដែលត្រូវបានរកឃើញថាប្រើសម្រាប់ការបញ្ជូនមេរោគលួចទិន្នន័យ Pegasus របស់ក្រុម NSO Group។
បញ្ហារួមមាន CVE-2023-41061 ទាក់ទងនឹងបញ្ហាសុពលភាពនៅក្នងកាបូប (Wallet) ដែលអាចជាលទ្ធផលបណ្តាលឱ្យមានការបំពានប្រតិបត្តិការកូដ នៅពេលមានការកាន់កាប់ទៅលើដំណរភ្ជាប់ជាមួយនឹងឯកសារដែលបានបង្កើត។ CVE-2023-41064 គឺជាបញ្ហាលំហូរដ៏គំហុក នៅក្នុង Image I/O Component ដែលអាចបណ្តាលឱ្យមានការបញ្ជាកូដតាមចិត្ត នៅពេលមានដំណើរទៅលើ Image ដែលបានបង្កើត។ នៅពេលដែលបញ្ហា CVE-2023-41064 ត្រូវបានរកឃើញដោយបន្ទប់ពិសោធន៍ Citizen នៃសកលវិទ្យា Munk School នៃទីក្រុង Toronto រីឯ CVE-2023-41061 វិញត្រូវបានរកឃើញដោយក្រុមហ៊ុន Apple ផងដែរជាមួយនឹងជំនួយការពីបន្ទប់ពិសោធន៍ Citizen។
អ្នកអាចស្វែងរកបច្ចុប្បន្នបានសម្រាប់ឧបករណ៍ប្រើប្រាស់ខាងក្រោមរួមមាន៖
- iOS 16.6.1 និង iPadOS 16.6.1 រាប់ចាប់ពីជំនាន់ iPhone 8 និងជំនាន់ក្រោយ (later), iPad Pro (គ្រប់ម៉ូឌែល), iPad Air ជំនាន់ទី៣ និងជំនាន់ក្រោយ (later), iPad ជំនាន់ទី៥ និងជំនាន់ក្រោយ (later) និង iPad mini ជំនាន់ទី៥ និងជំនាន់ក្រោយ (later)។
- macOS Ventura 13.5.2 រាប់ចាប់ពីឧបករណ៍ macOS ដែលដំណើរការប្រព័ន្ធ macOS Ventura
- watchOS 9.6.2 រាប់ចាប់ពីនាឡិកា Apple ស៊េរី៤ និងជំនាន់ក្រោយ (later)
ក្រៅពីនេះ បន្ទប់ពិសោធន៍ Citizen បានបង្ហាញថា បញ្ហាទាំង២ អាចត្រូវបានប្រើជាផ្នែកមួយនៃ Zero-Click iMessage ដែលជាទំនាក់ទំនងនៃការជ្រៀតចូលមានឈ្មោះថា BLASTPASS ដើម្បីដាក់ពង្រាយមេរោគ Pegasus នៅលើ fully-patched iPhones ដែលដំណើរការប្រព័ន្ធ iOS 16.6។
បន្ទប់ពិសោធន៍ក៏បានបន្ថែមថា ខ្សែច្រវាក់នៃការវាយប្រហារអាចមានសមត្ថភាពកេងចំណេញលើទូរស័ព្ទជំនាន់ក្រោយ (16.6) ដោយមិនចាំបាច់មានអត្តរាគមន៍ពីជនរងគ្រោះទេ។ ការវាយប្រហារអាចពាក់ព័ន្ធទៅនឹងឯកសារភ្ជាប់ PassKit មានផ្ទុកនូវ Image របស់មេរោគ ហើយត្រូវបានផ្ញើចេញពីគណនី Attacker iMessage ទៅកាន់ជនរងគ្រោះ។
ដើម្បីបន្ថែមទៅលើលក្ខណៈបច្ចេកទេសដែលជាចំណុចខ្វះខាតមួយចំនួនត្រូវបានគេទុកចោល ហើយក៏ជាឱកាសនៃការវាយប្រហារ ដើម្បីឆ្លងកាត់តាម BlastDoor sandbox framework ដែលបានកំណត់ដោយក្រុមហ៊ុន Apple ដើម្បីកាត់បន្ថយហានិភ័យនៃការវាយប្រហារតាមរយៈ Zero-click។ បន្ទប់ពិសោធន៍ Citizen បានបន្តថា ការរកឃើញចុងក្រោយនេះបានបង្ហាញថា សង្គមស៊ីវិលបានក្លាយជាគោលដៅនៃការកេងចំណេញ និងចារកម្ម។ បន្ថែមពីលើបញ្ហាដែលត្រូវបានរកឃើញកាលពីសប្តាហ៍មុន នៅពេលពិនិត្យមើល Device របស់បុគ្គលដែលមិនស្គាល់អត្តសញ្ញាណ ដែលជួលដោយអង្គការអន្តរជាតិសង្គមស៊ីវិលនៅទីក្រុង Washington។
ការិយាល័យកណ្តាលរបស់ក្រុមហ៊ុន Apple ដែលមានទីតាំងនៅ Cupertino បានដោះស្រាយបញ្ហា Zero-day ចំនួន១៣ កំហុស នៅក្នុងកម្មវិធី បើគិតតាំងពីដើមឆ្នាំមក។ បច្ចុប្បន្នភាពចុងក្រោយក៏បានផ្តល់ជូនជាង ១ខែមកហើយ បន្ទាប់ពីក្រុមហ៊ុនបានរៀបចំណោះស្រាយទៅលើ Kernel ដែលមានកំហុស (CVE-2023-38606)។
បញ្ហា Zero-days ថ្មីៗក៏នៅតែកើតមាន ខណៈដែលរដ្ឋាភិបាលចិនត្រូវបានគេជឿថា បានបញ្ជាឲ្យមានការទប់ស្កាត់នៅស្ថាប័នកណ្តាល ព្រមទាំងមន្ត្រីរដ្ឋាភិបាលរបស់រដ្ឋផងដែរ មិនឱ្យប្រើប្រាស់ទូរស័ព្ទ iPhones និង Devices ផ្សេងដែលមានម៉ាកយីហោបរទេស ក្នុងគោលដៅកាត់បន្ថយការពឹងផ្អែកលើបច្ចេកវិទ្យាបរទេស និងចំពេលសង្រ្គាមពាណិជ្ជកម្មចិន អាមេរិក។ អ្នកស្រាវជ្រាវសុវត្ថិភាព Zimperium បានថ្លែងថា ហេតុផលពិតនៃការហាមឃាត់នោះគឺ បញ្ហាសន្តិសុខសាយប័រដ៏គួរឱ្យព្រួយបារម្ភ។ ទូរស័ព្ទ iPhones មើលទៅដូចជាទូរស័ព្ទដែលមានសុវត្ថិភាពជាងគេ ប៉ុន្តែការពិត ទូរស័ព្ទម៉ាកនេះមិនមានសុវត្ថិភាពទប់ស្កាត់នឹងបញ្ហាចារកម្មធម្មតាផង។ សូមងាកទៅមើលក្រុមហ៊ុនពាណិជ្ជកម្មដូចជា NSO ជាច្រើនឆ្នាំមកនេះ បុគ្គល អង្គការ និងរដ្ឋាភិបាលមិនអាចការពារខ្លួនពីចារកម្មតាមអ៊ីនធឺណិត តាមរយៈទូរស័ព្ទ iPhones បានទេ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៨ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
