ក្រុមហ៊ុន Apple បានប្រញាប់បញ្ចេញ Patches សុវត្ថិភាពដើម្បីដោះស្រាយបញ្ហា Zero-day ចំនួន៣ ដែលអាចប៉ះពាល់ដល់ iOS, iPadOS, macOS, watchOS និង Safari បើគិតមកត្រឹមខែនេះ ក្រុមហ៊ុន Apple មានកំហុស Zero-day រហូតដល់ទៅ ១៦។
ខាងក្រោមនេះគឺជាបញ្ជីឈ្មោះនៃបញ្ហារួមមាន៖
– CVE-2023-41991: បញ្ហាសុពលភាព Certificate នៅក្នុង Framework សុវត្ថិភាពដែលអាចអនុញ្ញាតឱ្យកម្មវិធីមេរោគឆ្លងកាត់សុពលភាព Signature បាន។
– CVE-2023-41992: បញ្ហាសុវត្ថិភាពនៅក្នុង Kernel ដែលអាចឱ្យហេគឃ័រនៅក្នុងតំបន់អាចបង្កើនសិទ្ធិរបស់ពួកគេ។
– CVE-2023-41993: បញ្ហា WebKit ដែលបណ្តាលឱ្យមានការបញ្ជាកូដពីចម្ងាយនៅពេលដំណើរការ Crafted web content។
ក្រុមហ៊ុន Apple មិនបានបដិសេដនឹងការកេងចំណេញនោះទេ បញ្ហាប្រហែលជាអាចត្រូវបានកេងចំណេញលើជំនាន់មុន iOS 16.7។ អ្នកអាចស្វែងរកបច្ចុប្បន្នភាពបាននៅពេលនេះ ចំពោះឧបករណ៍ និងប្រព័ន្ធដំណើរការខាងក្រោមនេះ៖
– iOS 16.7 និង iPadOS 16.7: iPhone 8 និងជំនាន់ក្រោយ, iPad Pro (គ្រប់ម៉ូឌែល), iPad Air ជំនាន់ទី៣ និងជំនាន់ក្រោយ, iPad ជំនាន់ទី៥ និងជំនាន់ក្រោយ, iPad mini ជំនាន់ទី៥ និងជំនាន់ក្រោយ
– iOS 17.0.1 និង iPadOS 17.0.1: iPhone XS និងជំនាន់ក្រោយ, iPad Pro 12.9 inch ជំនាន់ទី២ និងជំនាន់ក្រោយ, iPad Pro 10.5inch, iPad Pro 11-inch ជំនាន់ទី១ និងជំនាន់ក្រោយ, iPad Air ជំនាន់ទី៣ និងជំនាន់ក្រោយ, iPad ជំនាន់ទី៦ និងជំនាន់ក្រោយ, iPad mini ជំនាន់ទី៥ និងជំនាន់ក្រោយ។
– macOS Monterey 12.7 និង macOS Ventura 13.6
– watchOS 9.6.3 និង watchOS 10.0.1: នាឡិកាដៃ Apple Watch ស៊េរី ៤ និងជំនាន់ក្រោយ
– Safari 16.6.1: macOS Big Sur និង macOS Monterey
Citizen Lab នៃសកលវិទ្យាល័យ Munk School របស់ Toronto និង Threat Analysis Group (TAG) របស់ក្រុមហ៊ុន Google បានរកឃើញ និងរាយការណ៍ពីបញ្ហានេះ ដែលបានបង្ហាញថាពួកគេត្រូវបានកេងចំណេញលើ Spyware និងមានគោលដៅលើសមាជិកសង្គមស៊ីវិល។ ការបង្ហាញមកដល់ ២សប្តាហ៍ ក្រោយពេលក្រុមហ៊ុន Apple បានដោះស្រាយបញ្ហា Zero-days ចំនួន២ (CVE-2023-41061 និង CVE-2023-41064) ដែលជាផ្នែកមួយនៃ Zero-click iMessages កេញចំណេញ chain មានឈ្មោះថា BLASTPASS ដើម្បីដាក់ពង្រាយមេរោគយកការណ៍ Pagasus។
Google និង Mozilla បានដាក់ចេញនូវការជួសជុលលើបញ្ហាសុវត្ថិភាព (CVE-2023-4863) ដែលអាចបណ្តាលឱ្យមានការបញ្ជាកូដតាមចិត្ត នៅពេលដំណើរការ Image ដែលមានបញ្ហា។ មានភស្តុតាងបង្ហាញថាទាំងបញ្ហា CVE-2023-41064 (ជាបញ្ហាលំហូរដ៏គំហុគនៅក្នុង Image I/O image parsing framework) និងបញ្ហា CVE-2023-4863 (ជាបញ្ហានៃគំនរលំហូរដ៏គំហុគនៅក្នុង WebP image librariy (libwebp)) អាចជាបញ្ហាតែមួយដូចគ្នា បើយោងតាម Isosceles founder និងជាអតីតអ្នកស្រាវជ្រាវ Google Project Zero ឈ្មោះ Ben Hawkes។
អង្គការ Rezilion បានវិភាគកាលពីថ្ងៃព្រហស្បតិ៍ថា libwebp library ត្រូវបានប្រើនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ, software packages, Linux application និង container images ជាច្រើន ហើយបានលើកឡើងថា បញ្ហាមានទំហំធំជាងការស្មាន។ លោក Hawkes បានថ្លែងថា ដំណឹងល្អគឺថាបញ្ហាដូចជាត្រូវបាន patched រួចរាល់ហើយនៅក្នុង upstream libwebp និង patch កំពុងតែត្រូវបានបញ្ជូនចេញទៅកន្លែងដែលគួរទៅ។ រីឯ ដំណឹងអាក្រក់វិញគឺថា libwebp គឺត្រូវបានប្រើនៅក្នុងកន្លែងជាច្រើន និងវាប្រហែលជាត្រូវការពេលរង់ចាំ patch ទៅដល់៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
