316/68 (IT) ประจำวันจันทร์ที่ 1 กันยายน 2568
WhatsApp ได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2025-55177 (CVSS 5.4) ที่ถูกใช้โจมตีจริง (Exploitation in the Wild) ร่วมกับช่องโหว่ Zero-Day ของ Apple หมายเลข CVE-2025-43300 โดยช่องโหว่เกิดจาก Insufficient Authorization ในกระบวนการซิงโครไนซ์ข้อความของอุปกรณ์ที่เชื่อมโยง (Linked Device Synchronization) ที่อาจทำให้ผู้โจมตีสั่งประมวลผลเนื้อหาจาก URL ที่ไม่ได้รับอนุญาตบนอุปกรณ์เป้าหมายได้
ช่องโหว่ CVE-2025-55177 ส่งผลกระทบต่อ WhatsApp หลายเวอร์ชัน ได้แก่
– WhatsApp for iOS ก่อนเวอร์ชัน 2.25.21.73
– WhatsApp Business for iOS เวอร์ชัน 2.25.21.78
– WhatsApp for Mac เวอร์ชัน 2.25.21.78
Meta ระบุว่าช่องโหว่นี้อาจถูกนำไปใช้ในรูปแบบ Zero-Click Attack โดยไม่ต้องอาศัยการกดลิงก์หรือการโต้ตอบจากผู้ใช้ โดยนักวิจัยเชื่อว่ามีการนำไปใช้ในแคมเปญ Spyware ขั้นสูงในช่วง 90 วันที่ผ่านมา ที่เจาะจงเป้าหมายบุคคล โดยเฉพาะนักสิทธิมนุษยชนและสื่อมวลชน โดยที่ Amnesty International เปิดเผยว่า WhatsApp ได้แจ้งเตือนบุคคลที่ตกเป็นเป้าหมายและแนะนำให้ทำการ Factory Reset อุปกรณ์ พร้อมอัปเดตระบบปฏิบัติการและแอป WhatsApp ให้เป็นเวอร์ชันล่าสุดเพื่อความปลอดภัย ทั้งนี้ ช่องโหว่นี้ยังเชื่อมโยงกับ CVE-2025-43300 ใน Apple ImageIO Framework ที่ Apple ยืนยันว่าเป็นการโจมตีที่ “ซับซ้อนและเจาะจงเป้าหมายเฉพาะบุคคล” ขณะที่ WhatsApp ระบุว่าผู้ใช้ที่อัปเดตแล้วจะได้รับการป้องกันจากการโจมตีในลักษณะนี้
แหล่งข่าว https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html
