ช่องโหว่ CVE-2025-24201
Apple ได้ประกาศเปิดตัวการอัปเดตด้านความปลอดภัยที่สำคัญเพื่อแก้ไขช่องโหว่ zero-day ที่ระบุได้ว่าเป็น CVE-2025-24201 ช่องโหว่นี้ซึ่งถูกใช้ประโยชน์อย่างแข็งขันในการโจมตีที่ "ซับซ้อนมาก" ส่งผลกระทบต่อเอ็นจิ้นเว็บเบราว์เซอร์ WebKit ปัญหาเกี่ยวข้องกับช่องโหว่การเขียนนอกขอบเขตที่อาจทำให้ผู้โจมตีสามารถข้ามแซนด์บ็อกซ์เนื้อหาเว็บได้ ซึ่งอาจส่งผลกระทบต่อความปลอดภัยของอุปกรณ์
สารบัญ
CVE-2025-24201: รายละเอียดทางเทคนิค
ช่องโหว่ CVE-2025-24201 จัดอยู่ในประเภทการเขียนนอกขอบเขต ซึ่งเป็นประเภทของข้อบกพร่องที่ทำให้ผู้โจมตีสามารถสร้างเนื้อหาเว็บที่ไม่ปลอดภัยซึ่งสามารถดำเนินการที่ไม่ได้รับอนุญาตได้ โดยการใช้ประโยชน์จากปัญหานี้ ผู้โจมตีอาจสามารถฝ่าด่านแซนด์บ็อกซ์ของ WebKit และเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้ Apple ได้ตอบสนองด้วยการนำการตรวจสอบความปลอดภัยที่ปรับปรุงดีขึ้นมาใช้เพื่อป้องกันไม่ให้เกิดการดำเนินการที่ไม่ได้รับอนุญาตเหล่านี้ แพตช์นี้ยังทำหน้าที่เป็นการแก้ไขเพิ่มเติมสำหรับการโจมตีก่อนหน้านี้ที่ถูกบล็อกใน iOS 17.2 อีกด้วย
การใช้ประโยชน์อย่างแข็งขันในการโจมตีแบบกำหนดเป้าหมาย
Apple ยอมรับว่าช่องโหว่ดังกล่าวอาจถูกนำไปใช้ในการโจมตีที่ซับซ้อนมากโดยกำหนดเป้าหมายบุคคลเฉพาะ อย่างไรก็ตาม บริษัทไม่ได้เปิดเผยรายละเอียด เช่น แหล่งที่มาของการโจมตี ฐานผู้ใช้ที่เป็นเป้าหมาย หรือระยะเวลาที่การโจมตีเกิดขึ้น นอกจากนี้ ยังไม่ชัดเจนว่าข้อบกพร่องดังกล่าวถูกค้นพบโดยทีมรักษาความปลอดภัยของ Apple ภายในหรือรายงานโดยนักวิจัยภายนอก
อุปกรณ์และเวอร์ชันซอฟต์แวร์ที่ได้รับผลกระทบ
การอัปเดตความปลอดภัยจะพร้อมใช้งานสำหรับอุปกรณ์และซอฟต์แวร์เวอร์ชันต่อไปนี้:
- iOS 18.3.2 และ iPadOS 18.3.2: iPhone XS และใหม่กว่า, iPad Pro รุ่น 13 นิ้ว (รุ่นที่ 3 ขึ้นไป), iPad Pro รุ่น 12.9 นิ้ว (รุ่นที่ 3 ขึ้นไป), iPad Pro รุ่น 11 นิ้ว (รุ่นที่ 1 ขึ้นไป), iPad Air (รุ่นที่ 3 ขึ้นไป), iPad (รุ่นที่ 7 ขึ้นไป) และ iPad mini (รุ่นที่ 5 ขึ้นไป)
- macOS Sequoia 15.3.2: Mac ที่ใช้ macOS Sequoia
- Safari 18.3.1: Mac ที่ใช้ macOS Ventura และ macOS Sonoma
- visionOS 2.3.2: Apple Vision Pro
ความพยายามอย่างต่อเนื่องของ Apple ในการแก้ไขช่องโหว่ Zero-Day
นี่เป็นช่องโหว่ zero-day ครั้งที่ 3 ที่ Apple ได้ทำการแพตช์ในปี 2025 ก่อนหน้านี้ Apple ยังได้แก้ไข CVE-2025-24085 และ CVE-2025-24200 ซึ่งเน้นย้ำถึงความซับซ้อนที่เพิ่มมากขึ้นของการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายไปที่ระบบนิเวศของ Apple แพตช์ที่ทันท่วงทีเหล่านี้เน้นย้ำถึงความสำคัญของการอัปเดตการแก้ไขด้านความปลอดภัยล่าสุด
วิธีการปกป้องตนเอง
Apple ขอแนะนำให้ผู้ใช้อัปเดตอุปกรณ์ของตนทันทีเพื่อป้องกันช่องโหว่นี้ หากต้องการอัปเดตอุปกรณ์ ให้ทำดังนี้:
- iPhone และ iPad : ไปที่การตั้งค่า > ทั่วไป > อัปเดตซอฟต์แวร์ และติดตั้งอัปเดตล่าสุด
- Mac : เปิดการตั้งค่าระบบ > ทั่วไป > อัปเดตซอฟต์แวร์ เพื่อใช้อัปเดต macOS ล่าสุด
- Safari : ผู้ใช้ Mac บน Ventura หรือ Sonoma ควรอัปเดต Safari ผ่านการตั้งค่าระบบ > อัปเดตซอฟต์แวร์
- Apple Vision Pro : อัปเดต visionOS ผ่านการตั้งค่า > ทั่วไป > อัปเดตซอฟต์แวร์
การติดตามอัปเดตล่าสุดจะช่วยให้ผู้ใช้สามารถลดความเสี่ยงในการถูกโจมตีจากช่องโหว่แบบ zero-day ได้ และเพิ่มความปลอดภัยให้กับอุปกรณ์ Apple ของตนได้
การตอบสนองอย่างรวดเร็วของ Apple ต่อข้อบกพร่องด้านความปลอดภัยนี้สะท้อนให้เห็นถึงความพยายามอย่างต่อเนื่องในการปกป้องผู้ใช้จากการโจมตีแบบ zero-day ที่ซับซ้อน แม้ว่าการขาดความโปร่งใสเกี่ยวกับขอบเขตและแหล่งที่มาของการโจมตีจะทำให้เกิดความกังวล แต่แพตช์นี้ให้การป้องกันที่สำคัญสำหรับอุปกรณ์ที่ได้รับผลกระทบ ผู้ใช้ควรให้ความสำคัญกับการอัปเดตตามเวลาที่เหมาะสมเพื่อให้แน่ใจว่าจะรักษาความปลอดภัยอย่างต่อเนื่องจากภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป
ช่องโหว่ CVE-2025-24201 วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
