ក្រុមហ៊ុន Apple បានបញ្ចេញបច្ចុប្បន្នភាពបន្ទាន់ ដើម្បី Patch ភាពងាយរងគ្រោះ Zero-day ដែលត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារ “ដ៏ទំនើបបំផុត”។
បញ្ហា CVE-2025-43300 គឺជាកំហុសផ្នែកសុវត្ថិភាពដែលបណ្តាលមកពីភាពទន់ខ្សោយ Out-of-bounds Write ដែលរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខ Apple នៅក្នុង Image I/O Framework ដែលបើកឱ្យកម្មវិធីអាចអាន និងសរសេរក្នុងទម្រង់ជារូបភាពភាគច្រើន។ Out-of-bounds Write កើតឡើងនៅពេលហេគឃ័របានកេងចំណេញលើភាពងាយរងគ្រោះដោយការផ្តល់នូវ Input ទៅក្នុងកម្មវិធី ហើយបណ្តាលឱ្យវាសរសេរទិន្នន័យនៅខាងក្រៅអង្គចងចាំ ដែលបានបម្រុងទុក (Buffer) ហើយអាចនាំឱ្យកម្មវិធីគាំង ខូចទិន្នន័យ ឬករណីអាក្រក់នោះអាចជាការអនុញ្ញាតឱ្យមានដំណើរការកូដពីចម្ងាយ។
ក្រុមហ៊ុន Apple ដឹងពីរបាយការណ៍មួយថា បញ្ហានេះប្រហែលជាត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារដ៏ទំនើបបំផុតប្រឆាំងនឹងបុគ្គលដែលជាគោលដៅជាក់លាក់ បើយោងតាមក្រុមហ៊ុនបានបង្ហាញ។ បញ្ហា Out-of-bounds Write ត្រូវបានដោះស្រាយជាមួយនឹងការត្រួតពិនិត្យដែន (Bounds) ដែលត្រូវបានជំរុញ។ ការដំណើរការឯកសាររូបភាពព្យាបាទប្រហែលជាបណ្តាលឱ្យគាំងអង្គចងចាំ។ ក្រុមហ៊ុនបានដោះស្រាយបញ្ហានេះដោយបានជំរុញការត្រួតពិនិត្យដែន (Bounds) ដើម្បីការពារការកេងចំណេញនៅក្នុងជំនាន់ iOS 18.6.2 និង iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 និង macOS Ventura 13.7.8។ បញ្ជីនៃឧបករណ៍ដែលរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះ Zero-day ថ្ងៃនេះមានភាពទូលំទូលាយ ដោយសារបញ្ហានេះប៉ះពាល់ដល់ទាំងជំនាន់ចាស់ និងជំនាន់ថ្មីរួមមាន៖
- iPhone XS និងជំនាន់ក្រោយ
- iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation និងជំនាន់ក្រោយ, iPad Pro 11-inch 1st generation និងជំនាន់ក្រោយ, iPad Air 3rd generation និងជំនាន់ក្រោយ, iPad 7th generation និងជំនាន់ក្រោយ, iPad mini 5th generation និងជំនាន់ក្រោយ, iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, និង iPad 6th generation,
- Macs running macOS Sequoia, Sonoma, និង Ventura
ក្រុមហ៊ុនមិនទាន់ចែកចាយរបកគំហើញណាមួយទៅកាន់អ្នកស្រាវជ្រាវរបស់ខ្លួននៅឡើយទេ ហើយក៏មិនទាន់បានចេញផ្សាយលម្អិតទាក់ទងនឹងការវាយប្រហារដែលខ្លួនបានរៀបរាប់ថា “ទំនើបបំផុត” នោះដែរ។ ខណៈ បញ្ហានេះទំនងជាត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារកំណត់គោលដៅនោះ ក្រុមហ៊ុនបានណែនាំឱ្យដំឡើងបច្ចុប្បន្នភាពសុវត្ថិភាពថ្ងៃនេះភ្លាមៗ ដើម្បីការពារការវាយប្រហារដែលអាចកើតមាន។ ជាមួយនឹងភាពងាយរងគ្រោះនេះ ក្រុមហ៊ុនបានដោះស្រាយបញ្ហា Zero-days ដែលត្រូវបានកេងចំណេញចំនួន៦ តាំងពីដើមឆ្នាំមក ដោយលើកទី១នៅខែមករា (EVE-2025-24085) លើកទី២ នៅក្នុងខែកុម្ភៈ (CVE-2025-24200) លើកទី៣ នៅក្នុងខែមីនា (CVE-2025-24201) និង២ទៀតនៅក្នុងខែមេសា (CVE-2025-31200 និង CVE-2025-31201)។ កាលពីឆ្នាំ២០២៤ ក្រុមហ៊ុនបាន Patch បញ្ហា Zero-days ដែលត្រូវបានកេងចំណេញយ៉ាងសកម្មចំនួន៦ ផ្សេងទៀតរួចមកហើយ ដោយបញ្ហាចំនួន១នៅក្នុងខែមករា ចំនួន២នៅក្នុងខែមីនា ចំនួន១នៅក្នុងខែឧសភា និង២ផ្សេងទៀតនៅក្នុងខែវិច្ឆិកា។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២០ ខែសីហា ឆ្នាំ២០២៥
