Patrick Wardle นักวิจัยความปลอดภัยเผยแพร่วิดีโอสาธิตช่องโหว่ของ OS X 10.13 High Sierra ทำให้แฮกเกอร์สามารถดึงข้อมูลใน Keychain ออกมาเป็นข้อมูลไม่เข้ารหัสได้ Show ปกติแล้วข้อมูลในไฟล์ Keychain จะถูกเข้ารหัสไว้เสมอ และการเข้าถึงข้อมูลจะต้องได้รับอนุญาตจากผู้ใช้ แต่ด้วยช่องโหว่นี้แฮกเกอร์ที่สามารถรันโค้ดบนเครื่องของผู้ใช้ได้ โดยไม่ต้องมีสิทธิ์ root แต่อย่างใด ข้อมูลที่เปิดเผยออกมามีเพียงวิดีโอสาธิต โดย Wardle ระบุว่าได้แจ้งแอปเปิลไปก่อนหน้านี้แล้ว และทางแอปเปิลกำลังพัฒนาแพตช์ ช่องโหว่นี้เป็นช่องโหว่ใน High Sierra ช่องโหว่ที่สองของ Wardle โดยเขาพบช่องโหว่การโหลดโมดูลเข้าเคอร์เนลที่ข้ามระบบตรวจสอบของ High Sierra ได้ก่อนหน้านี้
Apple ออกอัพเดตความปลอดภัยสำหรับ OS X El Capitan, Yosemite และ SafariBy: nutmos on 3 September 2016 - 10:20Tags: Apple ได้ออกอัพเดตความปลอดภัยใหม่ให้ผู้ใช้ Mac เพื่อปิดช่องโหว่ Pegasus ซึ่งเป็นช่องโหว่เดียวกับที่เพิ่งปิดบน iOS 9.3.5 ซึ่งเป็นช่องโหว่แบบ zero-day ช่องโหว่ Pegasus นี้ อนุญาตให้มีการเจลเบรคและติดตั้งซอฟต์แวร์สำหรับมอนิเตอร์บนอุปกรณ์ของผู้ใช้ได้จากระยะไกลโดยผู้ใช้ไม่รู้ตัว โดยช่องโหว่นี้ส่วนหนึ่งใช้ช่องโหว่ memory corruption บน Safari WebKit ซึ่งอนุญาตให้แฮกเกอร์เริ่มกระบวนการนี้ได้ การอัพเดตนี้ มีสำหรับผู้ใช้ทั้ง OS X El Capitan, OS X Yosemite และ Safari โดยผู้ใช้สามารถอัพเดตได้โดยไปที่ App Store และเข้าไปที่แท็บ Updates เพื่อตรวจสอบการอัพเดต และเนื่องจากเป็นการอัพเดตเพื่อความปลอดภัย จึงแนะนำให้ผู้ใช้อัพเดตทันที
พบช่องโหว่บน FaceTime มีการรับส่งเสียงแม้จะตัดสายไปแล้วมีการค้นพบช่องโหว่ใหม่ของ FaceTime ทั้งบน iOS และ OS X ซึ่งจะมีการฟังและรับส่งต่อเสียงแม้ว่าตัวผู้ใช้จะกดตัดสายไปแล้ว คือฝั่งผู้ใช้จะเห็นว่าสายถูกตัดไปแล้ว แต่ว่าเบื้องหลังยังมีการรับและส่งเสียงอยู่ ซึ่งช่องโหว่นี้มีความเสี่ยงที่จะทำให้เกิดการโจมตีแบบ man-in-the-middle ได้ โดยเฉพาะตามจุดเชื่อมต่อ Wi-Fi สาธารณะ แต่ยังไม่แน่ชัดว่าช่องโหว่นี้เกิดกับ FaceTime แบบวิดีโอหรือเสียง หรือทั้งสองอย่าง นักวิจัยที่รายงานช่องโหว่นี้ไปยัง Apple คือ Martin Vigo เป็นช่องโหว่หมายเลข CVE-2016-4635 ซึ่งได้รับการปิดช่องโหว่แล้วบน iOS 9.3.3 และ OS X 10.11.6 ผู้ใช้สามารถอัพเดตเพื่อปิดช่องโหว่ได้ทันที
Apple ออกอัพเดต iOS 9.3 และ OS X El Capitan 10.11.4Apple ปล่อยอัพเดต iOS 9.3 และ OS X 10.11.4 โดยมีฟีเจอร์ใหม่หลายอย่าง ใน iOS 9.3
พบบั๊กใน Adobe Creative Cloud ลบข้อมูลของผู้ใช้บนแมคบริษัทแบ็คอัพ Backblaze รายงานบั๊กของ Adobe Creative Cloud อัพเดตล่าสุด 3.5.0.206 บนแมค หลังจากผู้ใช้ล็อกอินเข้าระบบแล้ว สคริปต์ของ Adobe จะลบไดเรคทอรีแรก (เรียงตามตัวอักษร) ในไดเรคทอรี root ของระบบทิ้ง กรณีของ Backblaze มีไดเรคทอรีชื่อ .bzvol เป็นไดเรคทอรีซ่อนสำหรับเก็บข้อมูลแบ็คอัพของผู้ใช้ ซึ่งมักเป็นไดเรคทอรีลำดับแรก และโดนลบข้อมูลไปด้วย ส่วนผู้ที่ไม่ได้ใช้ Backblaze มักมีไดเรคทอรี .DocumentRevisions-V100 ที่เก็บข้อมูล autosave และ version history ของระบบแทน Adobe รับทราบปัญหานี้และหยุดอัพเดตแพตช์ตัวนี้ไปก่อน ทางแก้แบบชั่วคราวสำหรับคนที่อยากใช้ Creative Cloud ตอนนี้คือสร้างไดเรคทอรีหลอกขึ้นต้นด้วย .a เพื่อให้โดนลบแทนครับ |