Apple แพทช์ zero-day สองเท่าในเบราว์เซอร์และเคอร์เนล – อัปเดตทันที!

Apple เพิ่งเปิดตัวการอัปเดตฉุกเฉินสำหรับข้อบกพร่องซีโร่เดย์สองตัวที่เห็นได้ชัด ถูกเอาเปรียบอย่างแข็งขัน.

มีรูสำหรับเรียกใช้โค้ดจากระยะไกล (RCE) ขนานนามว่า CVE-20220-32893 ในซอฟต์แวร์แสดงผล HTML ของ Apple (WebKit) โดยที่หน้าเว็บที่มีช่องโหว่สามารถหลอกให้ iPhone, iPad และ Mac เรียกใช้โค้ดซอฟต์แวร์ที่ไม่ได้รับอนุญาตและไม่น่าเชื่อถือได้

พูดง่ายๆ ก็คือ อาชญากรไซเบอร์สามารถฝังมัลแวร์บนอุปกรณ์ของคุณได้ แม้ว่าคุณจะทำเพียงแค่ดูหน้าเว็บที่ไร้เดียงสาก็ตาม

โปรดจำไว้ว่า WebKit เป็นส่วนหนึ่งของเอ็นจิ้นเบราว์เซอร์ของ Apple ที่อยู่ภายใต้ซอฟต์แวร์การเรนเดอร์เว็บทั้งหมดบนอุปกรณ์มือถือของ Apple

Mac สามารถเรียกใช้ Chrome, Chromium, Edge, Firefox และเบราว์เซอร์ "ที่ไม่ใช่ Safari" อื่น ๆ ได้โดยใช้กลไก HTML และ JavaScript ทางเลือก (เช่น Chromium ใช้ กะพริบตา และ V8; Firefox ขึ้นอยู่กับ Geco,en และ แรด).

แต่สำหรับ iOS และ iPadOS กฎ App Store ของ Apple ยืนยันว่าซอฟต์แวร์ใดๆ ที่มีฟังก์ชันการท่องเว็บทุกประเภท ต้องเป็นไปตาม WebKitรวมถึงเบราว์เซอร์ต่างๆ เช่น Chrome, Firefox และ Edge ที่ไม่ต้องใช้โค้ดการท่องเว็บของ Apple บนแพลตฟอร์มอื่นๆ ที่คุณอาจใช้

นอกจากนี้ แอพ Mac และ iDevice ที่มีหน้าต่างป๊อปอัปเช่น การช่วยเหลือ or เกี่ยวกับเรา หน้าจอใช้ HTML เป็น "ภาษาที่แสดง" ซึ่งเป็นความสะดวกทางโปรแกรมซึ่งเป็นที่นิยมในหมู่นักพัฒนาซอฟต์แวร์

แอพที่ทำเช่นนี้เกือบจะใช้ Apple's . อย่างแน่นอน เว็บวิว การทำงานของระบบ และ WebView เป็นพื้นฐาน ตรงด้านบนของ WebKitดังนั้นจึงได้รับผลกระทบจากช่องโหว่ใน WebKit

พื้นที่ CVE-2022-32893 ช่องโหว่จึงอาจส่งผลกระทบกับแอพและส่วนประกอบของระบบมากกว่าแค่เบราว์เซอร์ Safari ของ Apple ดังนั้นการหลีกเลี่ยง Safari จึงไม่ถือว่าเป็นวิธีแก้ปัญหา แม้แต่ใน Mac ที่อนุญาตให้ใช้เบราว์เซอร์ที่ไม่ใช่ WebKit

แล้วก็มีซีโร่เดย์ครั้งที่สอง

นอกจากนี้ยังมีรูเรียกใช้โค้ดเคอร์เนลที่ขนานนามว่า CVE-2022-32894โดยที่ผู้โจมตีได้ตั้งหลักบนอุปกรณ์ Apple ของคุณแล้วโดยใช้ประโยชน์จากจุดบกพร่อง WebKit ที่กล่าวถึงข้างต้น...

…สามารถข้ามจากการควบคุมเพียงแอพเดียวบนอุปกรณ์ของคุณไปจนถึงการแทนที่เคอร์เนลของระบบปฏิบัติการ ดังนั้นจึงได้รับ "พลังพิเศษด้านการดูแลระบบ" ซึ่งปกติสงวนไว้สำหรับ Apple เอง

นี่เกือบจะหมายความว่าผู้โจมตีสามารถ:

• สอดแนมแอพใด ๆ และทั้งหมดที่ทำงานอยู่ในปัจจุบัน
• ดาวน์โหลดและเริ่มแอพเพิ่มเติมโดยไม่ต้องผ่าน App Store
• เข้าถึงข้อมูลเกือบทั้งหมดบนอุปกรณ์
• เปลี่ยนการตั้งค่าความปลอดภัยของระบบ
• เรียกตำแหน่งของคุณ
• ถ่ายภาพหน้าจอ
• ใช้กล้องในเครื่อง
• เปิดใช้งานไมโครโฟน
• คัดลอกข้อความ
• ติดตามการท่องเว็บของคุณ...

…และอื่น ๆ อีกมากมาย

Apple ไม่ได้บอกว่าข้อบกพร่องเหล่านี้ถูกค้นพบได้อย่างไร (นอกเหนือจากการให้เครดิต “นักวิจัยนิรนาม”) ไม่ได้บอกว่าพวกเขาถูกเอารัดเอาเปรียบที่ไหนในโลก และไม่ได้บอกว่าใครใช้พวกเขาหรือเพื่อวัตถุประสงค์อะไร

อย่างไรก็ตาม การพูดอย่างหลวมๆ WebKit RCE ที่ใช้งานได้ตามด้วยการใช้ประโยชน์จากเคอร์เนลที่ใช้งานได้ดังที่เห็นในที่นี้มักจะให้ฟังก์ชันการทำงานทั้งหมดที่จำเป็นสำหรับ ติดตั้งอุปกรณ์เจลเบรค (ดังนั้นจึงจงใจเลี่ยงการจำกัดความปลอดภัยที่ Apple กำหนดเกือบทั้งหมด) หรือto ติดตั้งสปายแวร์พื้นหลัง และให้คุณอยู่ภายใต้การเฝ้าระวังที่ครอบคลุม

จะทำอย่างไร?

แพทช์ทันที!

ในขณะที่เขียน Apple ได้เผยแพร่คำแนะนำสำหรับ iPad OS 15 และ iOS 15ซึ่งทั้งคู่ได้รับการอัปเดตหมายเลขเวอร์ชันของ 15.6.1และสำหรับ macOS มอนเทอเรย์ 12ซึ่งได้รับหมายเลขเวอร์ชันที่อัปเดตของ 12.5.2.

• บน iPhone หรือ iPad ของคุณ: การตั้งค่า > General > การปรับปรุงซอฟต์แวร์
• บน Mac ของคุณ: เมนู Apple > เกี่ยวกับ Mac เครื่องนี้ > อัพเดตซอฟต์แวร์…

นอกจากนี้ยังมีการอัปเดตที่ใช้เวลา watchOS เป็นเวอร์ชัน 8.7.1แต่การอัปเดตนั้นไม่ได้ระบุหมายเลข CVE ใดๆ และไม่มีคำแนะนำด้านความปลอดภัยของตัวเอง

ไม่มีคำว่า macOS รุ่นเก่าที่รองรับ (Big Sur และ Catalina) ได้รับผลกระทบแต่ยังไม่มีการอัปเดต หรือว่า tvOS มีช่องโหว่แต่ยังไม่ได้รับการแก้ไข

สำหรับข้อมูลเพิ่มเติม ดูพื้นที่นี้ และจับตาดูหน้าพอร์ทัล Security Bulletin อย่างเป็นทางการของ Apple HT201222.