ນັກຄົ້ນຄວ້າຈາກກຸ່ມ Google Project Zero ໄດ້ຄົ້ນພົບຊ່ອງໂຫວ່ທີ່ເປັນຫນຶ່ງໃນທີ່ໃຫຍ່ທີ່ສຸດໃນປະຫວັດສາດຂອງເວທີ iOS. ມັລແວທີ່ເປັນອັນຕະລາຍໄດ້ຂູດຮີດແມງໄມ້ຢູ່ໃນຕົວທ່ອງເວັບຂອງ Safari ມືຖື.
ຜູ້ຊ່ຽວຊານ Google Project Zero Ian Beer ອະທິບາຍທຸກຢ່າງໃນ blog ຂອງລາວ. ບໍ່ມີໃຜຕ້ອງຫຼີກລ້ຽງການໂຈມຕີໃນຄັ້ງນີ້. ມັນພຽງພໍທີ່ຈະໄປຢ້ຽມຢາມເວັບໄຊທ໌ທີ່ຕິດເຊື້ອເພື່ອຕິດເຊື້ອ.
ນັກວິເຄາະຈາກກຸ່ມການວິເຄາະໄພຂົ່ມຂູ່ (TAG) ໃນທີ່ສຸດໄດ້ຄົ້ນພົບຂໍ້ບົກພ່ອງທັງຫມົດ 10 ທີ່ແຕກຕ່າງກັນທີ່ມີຢູ່ໃນ iOS 12 ຫາ iOS XNUMX. ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ຜູ້ໂຈມຕີສາມາດນໍາໃຊ້ຊ່ອງຫວ່າງຢ່າງຫນ້ອຍສອງປີນັບຕັ້ງແຕ່ລະບົບເຫຼົ່ານີ້ຢູ່ໃນຕະຫຼາດ.
malware ໃຊ້ຫຼັກການງ່າຍດາຍຫຼາຍ. ຫຼັງຈາກການຢ້ຽມຢາມຫນ້າ, ລະຫັດແລ່ນຢູ່ໃນພື້ນຖານທີ່ໄດ້ຮັບການໂອນໄດ້ຢ່າງງ່າຍດາຍກັບອຸປະກອນ. ຈຸດປະສົງຕົ້ນຕໍຂອງໂຄງການແມ່ນເພື່ອເກັບກໍາໄຟລ໌ແລະສົ່ງຂໍ້ມູນສະຖານທີ່ໃນໄລຍະຫນຶ່ງນາທີ. ແລະນັບຕັ້ງແຕ່ໂຄງການໄດ້ຄັດລອກຕົວມັນເອງເຂົ້າໄປໃນຫນ່ວຍຄວາມຈໍາຂອງອຸປະກອນ, ເຖິງແມ່ນວ່າ iMessages ດັ່ງກ່າວບໍ່ປອດໄພຈາກມັນ.
TAG ຮ່ວມກັບ Project Zero ໄດ້ຄົ້ນພົບຊ່ອງໂຫວ່ທັງໝົດສິບສີ່ອັນໃນທົ່ວຫ້າຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພທີ່ສຳຄັນ. ໃນນັ້ນ, ເຈັດອັນເຕັມທີ່ກ່ຽວກັບ Safari ມືຖືໃນ iOS, ອີກຫ້າອັນຕໍ່ກັບແກ່ນຂອງລະບົບປະຕິບັດການຂອງມັນເອງ, ແລະອີກສອງອັນແມ່ນສາມາດຂ້າມ sandboxing ໄດ້. ໃນເວລາຂອງການຄົ້ນພົບ, ບໍ່ມີຊ່ອງໂຫວ່ໄດ້ຖືກແກ້ໄຂ.
Photo: EverythingApplePro
ແກ້ໄຂພຽງແຕ່ໃນ iOS 12.1.4
ຜູ້ຊ່ຽວຊານຈາກໂຄງການ Zero ລາຍງານກ່ຽວກັບ ຄວາມຜິດພາດຂອງ Apple ແລະໃຫ້ພວກເຂົາເຈັດມື້ຕາມກົດລະບຽບ ຈົນກ່ວາການພິມເຜີຍແຜ່. ບໍລິສັດໄດ້ຮັບແຈ້ງໃນວັນທີ 1 ກຸມພາ, ແລະບໍລິສັດໄດ້ແກ້ໄຂຂໍ້ບົກພ່ອງໃນການປັບປຸງທີ່ປ່ອຍອອກມາໃນວັນທີ 9 ກຸມພາໃນ iOS 12.1.4.
ຊຸດຂອງຊ່ອງໂຫວ່ເຫຼົ່ານີ້ເປັນອັນຕະລາຍທີ່ຜູ້ໂຈມຕີສາມາດເຜີຍແຜ່ລະຫັດໄດ້ງ່າຍໂດຍຜ່ານສະຖານທີ່ທີ່ໄດ້ຮັບຜົນກະທົບ. ເນື່ອງຈາກວ່າມັນໃຊ້ເວລາທັງຫມົດໃນການຕິດເຊື້ອອຸປະກອນແມ່ນການໂຫຼດເວັບໄຊທ໌ແລະແລ່ນສະຄິບໃນພື້ນຫລັງ, ເກືອບທຸກຄົນມີຄວາມສ່ຽງ.
ທຸກສິ່ງທຸກຢ່າງແມ່ນໄດ້ຖືກອະທິບາຍດ້ານວິຊາການຢູ່ໃນ blog ພາສາອັງກິດຂອງກຸ່ມ Google Project Zero. ຂໍ້ຄວາມປະກອບດ້ວຍລາຍລະອຽດແລະລາຍລະອຽດທີ່ອຸດົມສົມບູນ. ມັນເປັນການເຮັດໃຫ້ປະລາດໃຈທີ່ພຽງແຕ່ຕົວທ່ອງເວັບສາມາດເຮັດຫນ້າທີ່ເປັນປະຕູສູ່ອຸປະກອນຂອງທ່ານ. ຜູ້ໃຊ້ບໍ່ໄດ້ບັງຄັບໃຫ້ຕິດຕັ້ງຫຍັງ.
ດັ່ງນັ້ນ, ຄວາມປອດໄພຂອງອຸປະກອນຂອງພວກເຮົາແມ່ນບໍ່ແມ່ນສິ່ງທີ່ດີທີ່ຈະປະຕິບັດຢ່າງເບົາບາງ.
ທີ່ມາ: 9to5Mac