276/66 (IT) ประจำวันพุธที่ 24 พฤษภาคม 2566
US Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ zero-day ที่ส่งผลกระทบต่อ iPhone, Mac และ iPads ใน Known Exploited Vulnerabilities catalog จำนวน 3 รายการที่หมายเลข CVE-2023-32409, CVE-2023-28204 และ CVE-2023-3237
รายละเอียดของช่องโหว่ของ Apple
– CVE-2023-32409 เป็นช่องโหว่ WebKit Sandbox Escape ของผลิตภัณฑ์ Apple หลายรายการ Apple iOS, iPadOS, macOS, tvOS, watchOS และ Safari WebKit มีช่องโหว่ที่ไม่ได้ระบุซึ่งอาจทำให้ผู้โจมตีจากระยะไกล break out of Web Content sandbox ได้
– CVE-2023-28204 เป็นช่องโหว่ WebKit Out-of-Bounds สำหรับผลิตภัณฑ์ Apple หลายรายการ Apple iOS, iPadOS, macOS, tvOS, watchOS และ Safari WebKit มีช่องโหว่ในการอ่าน out-of-bounds ที่อาจเปิดเผยข้อมูลที่ละเอียดอ่อน
– CVE-2023-32373 เป็นช่องโหว่ WebKit Use-After-Free ของ Apple หลายผลิตภัณฑ์ Apple iOS, iPadOS, macOS, tvOS, watchOS และ Safari WebKit มีช่องโหว่แบบ Use-after-free ซึ่งนำไปสู่การใช้ code execution
ซึ่งบริษัทได้ออก iOS และ iPadOS 16.5, tvOS 16.5, watchOS 9.5, Safari 16.5 และ macOS Ventura 13.4 เพื่อแก้ไขช่องโหว่
โดยที่ CISA สั่งให้หน่วยงานของ Federal Civilian Executive Branch Agencies (FCEB) แก้ไขช่องโหว่ในอุปกรณ์ iOS, iPadOS และ macOS ภายในวันที่ 12 มิถุนายน 2023 เพื่อป้องกันจากการถูกโจมตีหรือใช้ประโยชน์จากช่องโหว่จาก catalog
แหล่งข่าว (https://securityaffairs.com/146531/security/cisa-iphone-bugs-known-exploited-vulnerabilities-catalog.html)