ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

พบช่องโหว่ Zero-Click บนแอป macOS Calendar เปิดช่องให้แฮกเกอร์รันโค้ดอันตรายได้

พบช่องโหว่ Zero-Click บนแอป macOS Calendar เปิดช่องให้แฮกเกอร์รันโค้ดอันตรายได้
ภาพจาก : https://support.apple.com/th-th/guide/calendar/welcome/mac
เมื่อ :
|  ผู้เข้าชม : 1,516
เขียนโดย :
0 %E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+Zero-Click+%E0%B8%9A%E0%B8%99%E0%B9%81%E0%B8%AD%E0%B8%9B+macOS+Calendar+%E0%B9%80%E0%B8%9B%E0%B8%B4%E0%B8%94%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B8%A3%E0%B8%B1%E0%B8%99%E0%B9%82%E0%B8%84%E0%B9%89%E0%B8%94%E0%B8%AD%E0%B8%B1%E0%B8%99%E0%B8%95%E0%B8%A3%E0%B8%B2%E0%B8%A2%E0%B9%84%E0%B8%94%E0%B9%89
A- A+
แชร์หน้าเว็บนี้ :

macOS นั้นโดยดั้งเดิมจะได้รับความเชื่อถือในด้านความปลอดภัยสูงมาก จากฟีเจอร์การป้องกันต่าง ๆ แต่ในปัจจุบันความเชื่อเหล่านั้นอาจไม่เป็นจริงแล้ว ด้วยการมาของมัลแวร์จำนวนมาก รวมถึงการค้นพบช่องโหว่ความปลอดภัยมากมายหลายตัว บางตัวก็ซ่อนอยู่ในจุดที่คาดไม่ถึง

จากรายงานโดยเว็บไซต์ Cyber Security News นักวิจัยด้านความปลอดภัยไซเบอร์รายหนึ่งได้มีการตรวจพบถึงการมีอยู่ของช่องโหว่ความปลอดภัย CVE-2022-46723 ซึ่งเป็นช่องโหว่ที่อยู่ในส่วนของแอปพลิเคชันปฏิทิน หรือ Calendar ที่เปิดโอกาสให้แฮกเกอร์สามารถเขียนทับ หรือ ลบไฟล์ที่อยู่ในส่วน Filesystems ของแอปพลิเคชันตัวดังกล่าวได้ โดยแฮกเกอร์สามารถใช้ช่องโหว่จุดนี้เพื่อทำการยิงโค้ดในรูปแบบไฟล์สำหรับ Calendar โดยตั้งเวลาให้โค้ดทำการรันเมื่อ macOS ทำการอัปเกรดได้ โดยโค้ดที่อยู่ในไฟล์เหล่านี้นั้นมักจะถูกเขียนให้ทำการรันไฟล์สำหรับการติดตั้ง (.DMG) หรือ ไฟล์ Internet Shortcut (.URL) ขึ้นมา

บทความเกี่ยวกับ Apple อื่นๆ

พบช่องโหว่ Zero-Click บนแอป macOS Calendar เปิดช่องให้แฮกเกอร์รันโค้ดอันตรายได้
ภาพจาก : https://cybersecuritynews.com/zero-click-macos-calendar-app/

อันจะนำไปสู่การเปิดทางให้แฮกเกอร์สามารถทำการยิงโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ได้ในท้ายที่สุด ซึ่งทางนักวิจัยได้ทำการสาธิตการใช้งานช่องโหว่ดังกล่าว โดยปรากฎว่าสามารถทำการหลบเลี่ยง (Bypass) ผ่านระบบยืนยันตัวตนเพื่อรักษาความปลอดภัยของ macOS ชื่อว่า Transparency, Consent, and Control (TCC) ได้ นำไปสู่การลักลอบขโมยรูปที่ฝากไว้บน iCloud ได้ในท้ายที่สุด

สำหรับทางฝั่ง Apple นั้นได้ออกมาเปิดเผยว่า ได้รับทราบถึงช่องโหว่ดังกล่าวมานานนับปีแล้ว และทำได้ทำการออกอัปเดตเพื่ออุดช่องโหว่ดังกล่าวอย่างต่อเนื่องมาตั้งแต่เดือนตุลาคม ค.ศ. 2022 (พ.ศ. 2565) ถึงเดือนกันยายน ค.ศ. 2023 (พ.ศ. 2566) ซึ่งนอกจากจะอุดช่องโหว่ดังกล่าวแล้ว ยังได้มีการพัฒนาระบบความปลอดภัยในส่วนของ Calendar ให้มีความแน่นหนามากขึ้นอีกด้วย ทางแหล่งข่าวยังได้แนะนำให้ผู้ใช้งานทำการอัปเดตความปลอดภัย และอัปเดตเวอร์ชันของระบบปฏิบัติการและแอปพลิเคชันต่าง ๆ อย่างสม่ำเสมอ เพื่อความปลอดภัย ถึงแม้จะยังไม่มีข่าวใดออกมาเตือนก็ตาม


ที่มา : cybersecuritynews.com

0 %E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+Zero-Click+%E0%B8%9A%E0%B8%99%E0%B9%81%E0%B8%AD%E0%B8%9B+macOS+Calendar+%E0%B9%80%E0%B8%9B%E0%B8%B4%E0%B8%94%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B8%A3%E0%B8%B1%E0%B8%99%E0%B9%82%E0%B8%84%E0%B9%89%E0%B8%94%E0%B8%AD%E0%B8%B1%E0%B8%99%E0%B8%95%E0%B8%A3%E0%B8%B2%E0%B8%A2%E0%B9%84%E0%B8%94%E0%B9%89
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น