143/68 (IT) ประจำวันศุกร์ที่ 18 เมษายน 2568
Apple ได้เผยแพร่การอัปเดตความปลอดภัยฉุกเฉิน เพื่อแก้ไขช่องโหว่ Zero-Day จำนวน 2 รายการ ซึ่งพบว่าถูกใช้จริงในการโจมตีแบบเจาะจงเป้าหมายบน iPhone โดย Apple ระบุว่าเป็น การโจมตีที่มีความซับซ้อนสูง ช่องโหว่แรก (CVE-2025-31200) อยู่ในระบบ CoreAudio ซึ่งหากผู้ใช้งานเปิดไฟล์สื่อที่ถูกออกแบบมาเป็นพิเศษ อาจทำให้ผู้โจมตีสามารถรันโค้ดระยะไกลบนอุปกรณ์ได้ ส่วนช่องโหว่ที่สอง (CVE-2025-31201) อยู่ในระบบ RPAC ซึ่งเปิดโอกาสให้แฮ็กเกอร์ที่มีสิทธิ์อ่านหรือเขียนข้อมูลสามารถหลีกเลี่ยงการตรวจสอบ Pointer Authentication (PAC) ที่เป็นฟีเจอร์สำคัญด้านความปลอดภัยของ iOS
ทั้งสองช่องโหว่นี้ส่งผลกระทบต่อระบบปฏิบัติการหลักของ Apple ได้แก่ iOS, iPadOS, macOS, tvOS และ visionOS โดยเฉพาะอุปกรณ์ที่ใช้ iOS รุ่น 18.4.1 และระบบอื่น ๆ ที่เพิ่งอัปเดต ได้แก่ macOS Sequoia 15.4.1, tvOS 18.4.1 และ visionOS 2.4.1 รายชื่ออุปกรณ์ที่ได้รับผลกระทบมีทั้งรุ่นเก่าและใหม่ เช่น iPhone XS ขึ้นไป, iPad หลายรุ่นตั้งแต่เจเนอเรชันที่ 3, Apple TV ทุกรุ่น รวมถึงแว่นตา Apple Vision Pro แม้ Apple จะยังไม่เปิดเผยรายละเอียดเชิงเทคนิคของการโจมตี แต่ยืนยันว่าช่องโหว่เหล่านี้มีความเสี่ยงที่จะถูกโจมตีจากกรณีที่พบในการใช้งานจริง
ทั้งนี้ แม้ช่องโหว่ดังกล่าวจะถูกใช้โจมตีเฉพาะกลุ่มเป้าหมาย แต่ผู้ใช้งานทั่วไปก็ได้รับคำแนะนำให้รีบอัปเดตระบบทันทีเพื่อความปลอดภัยสูงสุด โดยช่องโหว่ทั้งสองนี้นับเป็น Zero-Day รายที่ 4 และ 5 ที่ Apple แก้ไขตั้งแต่ต้นปี 2025 ต่อจากกรณีก่อนหน้าที่ตรวจพบในเดือนมกราคม กุมภาพันธ์ และมีนาคม แสดงให้เห็นว่าภัยคุกคามทางไซเบอร์ในระดับเจาะจงเป้าหมายมีแนวโน้มสูงขึ้น และจำเป็นต้องมีการเฝ้าระวังและตอบสนองอย่างต่อเนื่อง
