เราไม่ได้คาดหวังสิ่งนี้!
iPhone 6+ ที่เราชื่นชอบมาก ตอนนี้อายุเกือบแปดขวบแล้ว แต่อยู่ในสภาพเหมือนใหม่จนถึง UDI ล่าสุด (เหตุการณ์ไม่ตั้งใจลงจากรถหรือที่เรียกว่าจักรยานปรางค์ซึ่งทุบหน้าจอแต่ปล่อยให้อุปกรณ์ทำงานได้ดีอย่างอื่น) ไม่ได้รับการอัปเดตความปลอดภัยใด ๆ จาก Apple มาเกือบหนึ่งปีแล้ว
การอัปเดตล่าสุดที่เราได้รับคือ กลับมาเมื่อ 2021-09-23เมื่อเราอัปเดตเป็น iOS 12.5.5
ทุกการอัปเดตที่ตามมาสำหรับ iOS และ iPadOS 15 ได้ตอกย้ำสมมติฐานของเราอย่างเข้าใจแล้วว่า Apple เลิกรองรับ iOS 12 อีกต่อไปแล้ว ดังนั้นเราจึงผลักไส iPhone เครื่องเก่าให้ทำงานเบื้องหลัง เป็นเพียงอุปกรณ์ฉุกเฉินสำหรับแผนที่หรือการโทรขณะอยู่บนท้องถนน
(เราคิดว่าการชนอีกครั้งไม่น่าจะทำให้หน้าจอเสียหายอีกต่อไป ดังนั้นจึงดูเหมือนเป็นการประนีประนอมที่มีประโยชน์)
แต่เราเพิ่งสังเกตว่า Apple ได้ตัดสินใจอัปเดต iOS 12 อีกครั้งหลังจากทั้งหมด
การอัพเดทใหม่นี้ใช้กับรุ่นต่อไปนี้: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch รุ่นที่ 6 (ก่อนที่ iOS 13.1 และ iPadOS 13.1 จะออก iPhone และ iPad จะใช้ระบบปฏิบัติการเดียวกัน ซึ่งเรียกว่า iOS สำหรับอุปกรณ์ทั้งสองเครื่อง)
เราไม่ได้รับอีเมลคำแนะนำด้านความปลอดภัยจาก Apple แต่มีผู้อ่าน Naked Security ที่รู้ว่าเรายังมี iPhone 6+ รุ่นเก่าอยู่แจ้งให้เราทราบ กระดานข่าวความปลอดภัยของ Apple HT213428. (ขอบคุณ!)
พูดง่ายๆ ก็คือ Apple ได้เผยแพร่แพตช์สำหรับ CVE-2022-32893ซึ่งเป็นหนึ่งในไฟล์ บั๊กซีโร่เดย์ XNUMX ตัว ที่ได้รับแพตช์ฉุกเฉินบนแพลตฟอร์มอื่นๆ ของ Apple เมื่อต้นเดือนสิงหาคม 2022:
การฝังมัลแวร์
ดังที่คุณจะเห็นในบทความด้านบน มีข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลของ WebKit คือ CVE-2022-32893 โดยที่ผู้เจลเบรก คนขายสปายแวร์ หรืออาชญากรไซเบอร์ที่หลอกลวงอาจหลอกล่อคุณให้เข้าสู่เว็บไซต์ที่ติดกับดักและ ฝังมัลแวร์บนอุปกรณ์ของคุณ แม้ว่าคุณจะเหลือบมองหน้าหรือเอกสารที่ดูไร้เดียงสาก็ตาม
จากนั้นมีจุดบกพร่องที่สองในเคอร์เนล CVE-2022-32894 โดยกล่าวว่ามัลแวร์สามารถขยายหนวดของมันนอกเหนือจากแอปที่มันเพิ่งถูกบุกรุก (เช่นเบราว์เซอร์หรือโปรแกรมดูเอกสาร) และควบคุมอวัยวะภายในของปฏิบัติการ ตัวระบบเอง ทำให้มัลแวร์สามารถสอดแนม แก้ไข หรือแม้แต่ติดตั้งแอพอื่น ๆ ได้ โดยข้ามการควบคุมความปลอดภัยที่เข้มงวดและฉาวโฉ่ของ Apple
นี่เป็นข่าวดี: iOS 12 ไม่มีความเสี่ยงต่อ CVE-2022-32894 . ระดับเคอร์เนลระดับเคอร์เนลซึ่งเกือบจะหลีกเลี่ยงความเสี่ยงที่ระบบปฏิบัติการจะประนีประนอมทั้งหมดได้อย่างแน่นอน
แต่นี่คือข่าวร้าย: iOS 12 มีความเสี่ยงต่อข้อบกพร่องของ WebKit CVE-2022-32893เพื่อให้แต่ละแอพในโทรศัพท์ของคุณมีความเสี่ยงที่จะถูกประนีประนอมอย่างแน่นอน
เราเดาว่า Apple จะต้องเจอผู้ใช้โทรศัพท์รุ่นเก่าที่มีความเสี่ยงสูง (หรือมีความเสี่ยงสูง หรือทั้งสองอย่าง) ซึ่งถูกบุกรุกในลักษณะนี้ และตัดสินใจที่จะผลักดันการป้องกันสำหรับทุกคนเพื่อเป็นการป้องกันไว้ก่อนเป็นพิเศษ
อันตรายของ WebKit
โปรดจำไว้ว่ามีข้อบกพร่องของ WebKit อยู่ที่เลเยอร์ซอฟต์แวร์ด้านล่าง Safari ดังนั้นเบราว์เซอร์ Safari ของ Apple จึงไม่ใช่แอปเดียวที่มีความเสี่ยงจากช่องโหว่นี้
เบราว์เซอร์ทั้งหมดบน iOS แม้แต่ Firefox, Edge, Chrome และอื่นๆ ใช้ WebKit (นั่นเป็นข้อกำหนดของ Apple หากคุณต้องการให้แอปของคุณเข้าสู่ App Store)
และแอพใดๆ ที่แสดงเนื้อหาเว็บเพื่อวัตถุประสงค์อื่นนอกเหนือจากการท่องเว็บทั่วไป เช่น ในหน้าวิธีใช้ ของมัน เกี่ยวกับเรา หน้าจอหรือแม้กระทั่งใน "มินิเบราว์เซอร์" ในตัวก็มีความเสี่ยงเช่นกันเพราะจะใช้ WebKit ใต้หน้าปก
กล่าวอีกนัยหนึ่งเพียงแค่ "หลีกเลี่ยง Safari" และการใช้เบราว์เซอร์ของบุคคลที่สามไม่ใช่วิธีแก้ปัญหาที่เหมาะสมในกรณีนี้
จะทำอย่างไร?
ตอนนี้เราทราบแล้วว่าการไม่มีการอัปเดตสำหรับ iOS 12 เมื่อแพตช์ฉุกเฉินล่าสุดออกมาสำหรับ iPhone ที่ใหม่กว่านั้นไม่ได้ขึ้นอยู่กับความจริงที่ว่า iOS ปลอดภัยอยู่แล้ว
มันเป็นเพียงความจริงที่ว่าการอัพเดทยังไม่พร้อมใช้งาน
เนื่องจากตอนนี้เรารู้แล้วว่า iOS 12 is ตกอยู่ในความเสี่ยง และการเอารัดเอาเปรียบกับ CVE-2022-32893 นั้นกำลังถูกใช้ในชีวิตจริง และมีแพตช์ให้ใช้งาน...
…จากนั้นก็เป็นเรื่องเร่งด่วนของ แพทช์ก่อน/แพทช์บ่อย!
ไปที่ การตั้งค่า > General > การปรับปรุงซอฟต์แวร์และตรวจสอบว่าคุณมี iOS 12.5.6.
หากคุณยังไม่ได้รับการอัปเดตโดยอัตโนมัติ ให้แตะ ดาวน์โหลดและติดตั้ง เพื่อเริ่มกระบวนการทันที:
- Apple
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- CVE-2022-32893
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- iOS
- Kaspersky
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- สปายแวร์
- VPN
- เว็บคิท
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
- ศูนย์วัน