เตือนภัย! Apple OS ถูกโจมตีผ่านช่องโหว่ Zero-Day

Last updated: 18 Apr 2025

275 Views

สรุปข้อมูล

Apple ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day จำนวน 2 รายการ ในระบบต่าง ๆ ไม่ว่าจะเป็น iOS, macOS, iPadOS, tvOS และ visionOS โดยการโจมตีได้มุ่งเป้าไปที่ผู้ใช้งาน iPhone อย่างไรก็ตาม ทาง Apple ยังไม่ได้มีการเปิดเผยรายละเอียดเกี่ยวกับผู้โจมตีหรือวิธีการโจมตีครั้งนี้ เพื่อความปลอดภัยแนะนำให้ผู้ใช้งานทำการอัปเดต Apple OS ของตนเองให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการโจมตีผ่านช่องโหว่

รายละเอียดช่องโหว่

CVE-2025-31200 (คะแนน CVSS 7.5/10 ระดับความรุนแรง High) เป็นช่องโหว่ Memory Corruption ใน CoreAudio ซึ่งเป็นระบบประมวลผลเสียงของ Apple ที่เปิดโอกาสให้ผู้โจมตีสามารถฝังโค้ดอันตรายไว้ในไฟล์เสียงหรือสื่อมัลติมีเดีย หากเหยื่อเปิดไฟล์ดังกล่าวผ่านแอปพลิเคชัน เช่น Safari, แอปข้อความ หรือแอปอื่น ๆ ที่เกี่ยวข้อง CoreAudio จะประมวลผลข้อมูลโดยไม่ตรวจสอบ ทำให้เกิด Memory Corruption ที่เปิดโอกาสให้ผู้โจมตีสามารถ Remote Code Execution ได้
CVE-2025-31201 (คะแนน CVSS 6.8/10 ระดับความรุนแรง Medium) เป็นช่องโหว่ใน RPAC ที่เปิดช่องให้ผู้โจมตีที่มีสิทธิ์ในการ Read หรือ Write ข้อมูล สามารถหลีกเลี่ยง Pointer Authentication Codes เพื่อโจมตีหน่วยความจำ และควบคุมอุปกรณ์หรือรันโค้ดอันตราย อีกทั้งยังสามารถยกระดับสิทธิ์ได้อีกด้วย

เวอร์ชันที่ได้รับผลกระทบ

iOS, iPadOS และ tvOS ก่อนเวอร์ชัน 18.4.1
macOS Sequoia ก่อนเวอร์ชัน 15.4.1
visionOS ก่อนเวอร์ชัน 2.4.1

เวอร์ชันที่ได้รับการแก้ไข

iOS, iPadOS และ tvOS เวอร์ชัน 18.4.1 หรือใหม่กว่า
macOS Sequoia เวอร์ชัน 15.4.1 หรือใหม่กว่า
visionOS เวอร์ชัน 2.4.1 หรือใหม่กว่า

ผลกระทบจากช่องโหว่

ผลกระทบจากการโจมตีด้วยช่องโหว่เหล่านี้ ทำให้ผู้โจมตีสามารถหลีกเลี่ยง Pointer Authentication Codes เพื่อโจมตีหน่วยความจำ และควบคุมอุปกรณ์หรือรันโค้ดอันตราย อีกทั้งยังสามารถยกระดับสิทธิ์ได้อีกด้วย ซึ่งส่งผลกระทบอย่างรุนแรงต่อความปลอดภัย และความพร้อมใช้งานของระบบ นอกจากนี้ การโจมตีดังกล่าวยังเปิดช่องให้มีการโจรกรรมข้อมูลที่มีความสำคัญต่อองค์กรได้อีกด้วย

คำแนะนำ