ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนบริษัท Apple เผยแพร่การอัพเดต firmware ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความร้ายแรง จำนวน 42 รายการ
14 ธ.ค.64
Executive Summary
ศูนย์ TTC-CERT ขอแจ้งเตือนกรณีบริษัท Apple เผยแพร่การอัพเดต firmware ด้านความปลอดภัยของ iOS 15.2 และ iPadOS 15.2 เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับร้ายแรง จำนวน 42 รายการ ซึ่งมีช่องโหว่กว่า 24 รายการ ที่หากโจมตีสำเร็จจะส่งผลให้ผู้โจมตีสามารถรัน code หรือคำสั่งต่าง ๆ บนเครื่องเป้าหมายได้จากระยะไกลโดยไม่ได่รับอนุญาต (remote code execution)
ช่องโหว่บางรายการเป็นปัญหาที่เกี่ยวข้องกับ memory corruption, buffer overflows, และ user-after-free bugs ซึ่งส่งผลกระทบไปยังการทำงานในส่วนของ ColorSync, CoreAudio, ImageIO, Model I/O, และ WebKit ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้ตามต้องการ
ช่องโหว่เหล่านี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (unacceptable risk) ต่อองค์กรที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน
ศูนย์ TTC-CERT แนะนำให้ผู้ใช้งานและผู้ดูแลระบบตรวจสอบรายละเอียดจากบริษัท Apple สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบ และดำเนินการอัปเดต firmware เพื่อลดความเสี่ยงจากการถูกโจมตีตามข้อมูลในหัวข้อ วิธีแก้ปัญหา
ซอฟต์แวร์ที่ได้รับผลกระทบ
ผลิตภัณฑ์ต่อไปนี้ที่มี iOS ที่เป็นเวอร์ชันต่ำกว่า 15.2 และ iPadOS ที่เป็นเวอร์ชันต่ำกว่า 15.2
- iPhone 6s และใหม่กว่า
- iPad Pro (ทุกรุ่น)
- iPad Air 2 และใหม่กว่า
- iPad รุ่นที่ 5 และใหม่กว่า
- iPad mini 4 และใหม่กว่า
- iPod touch (รุ่นที่ 7)
วิธีแก้ปัญหา
อัพเดต firmware จากบริษัทเจ้าของผลิตภัณฑ์ (Apple) เป็น iOS 15.2 และ iPadOS 15.2 โดยบริษัท Apple ได้เผยแพร่การอัพเดต firmware เพื่อแก้ไขช่องโหว่นี้ รายละเอียดที่ https://support.apple.com/en-us/HT212976
ข้อมูลอ้างอิง
- https://support.apple.com/en-us/HT212976
- https://www.securityweek.com/apple-patches-42-security-flaws-latest-ios-refresh
/