Cisco ប្រកាសតឿន ហែកទូរស័ព្ទ iPhone តាមរយៈការបញ្ជូនរូបភាព
Descriptions
អ្នកវិភាគមកពី Talos ក្រុម Threat Intelligence របស់ Cisco បានចេញមកប្រកាសតឿនមានកំហុសឆ្គង Remote Code Execution (RCE) ក្នុងឧបករណ៍ Apple មិនថាជា iPhone ឬ Mac OS X ដែលជួយអោយហែកឃឺអាចលួចទិន្នន័យសម្ងាត់បានដោយគ្រាន់តែបញ្ជូនរូបភាពទៅរកអ្នករងគ្រោះតែប៉ុណ្ណោះ
កំហុសឆ្គង RCE នេះមានលេខកូដ CVE-2016-4631 ជួបក្នុង ImageIO ដែលជា API សម្រាប់ចាត់ការទិន្នន័យរូបភាពក្នុងប្រព័ន្ធប្រតិបត្តិការរបស់ Apple ទាំងអស់មិនថាជា iOS, Mac OS X, tvOS ហើយនិង watch OS ដែល Cisco Talos បានបញ្ជាក់ថាកំហុសឆ្គងនេះស្រដៀងនិងកំហុសឆ្គង Stagefright ដែលជួបក្នុង Android កាលពីឆ្នាំកន្លងមកនេះដែលជួយអោយហែកឃឺអាចលួចមើលឧបករណ៍ Android ជាច្រើនពាន់គ្រឿងបានដោយការបញ្ជូនសារប្រភេទពិសេសទៅរកតែប៉ុណ្ណោះ
បញ្ជូនរូបភាព TIFF តាមរយៈ MMS ឬ iMessage ដើម្បីលួចទិន្នន័យបានភ្លាមៗ
ហែកឃឺអាចប្រើប្រាស់កំហុសឆ្គង RCE នេះបង្កើតរូបភាព TIFF ប្រភេទពិសេសហើយបញ្ជូនទៅកាន់ទូរស័ព្ទរបស់ជនរងគ្រោះតាមរយៈ iMessage ឬ MMS រួមទៅដល់ការបញ្ជូនឯកសារតាមរយៈ Safari បានដូចគ្នា ដោយការបោកបញ្ឆោតអោយអ្នកប្រើប្រាស់ Mac OS X ចូលទៅដល់វ៉ិបសាយដែលបង្កប់ Malicious Payload ផងដែរ
មិនថាការបញ្ជូនតាមរយៈ iMessage ឬ Safari ហែកឃឺក៏មិនចាំបាច់ចូលទៅពាក់ពាន់នឹងឧបករណ៍ Apple អ្វីឡើយដោយសាកម្មវិធីភាគច្រើន ដូចជា iMessage ឬ នឹងធ្វើការ Render ឯកសាររូបភាពភ្លាមពេលដែលទទួលបានក្រោយពីឯកសារត្រូវបាន Execute ហើយទិន្នន័យនឹងចាប់ផ្ដើមធ្វើការពិនិត្យដើម្បីពិសោធន៍ភស្តុតាងផ្សេងៗ ដែលផ្ទុកនៅក្នុង Memory ដូចជា កូដសម្ងាត់ Wi-Fi ទិន្នន័យនៅក្នុងប្រាវស័រឬការចូលប្រើប្រាស់ អ៊ីម៉ែលនឹងត្រូវបានបញ្ជូនត្រឡប់ទៅកាន់ហែកឃឺភ្លាមៗ
ទោះជាយ៉ាងណាក៏ដោយ Apple iOS មានប្រព័ន្ធ Sandbox សម្រាប់ការពារមិនអោយហែកឃឺចូលមកកាន់ប្រព័ន្ធប្រតិបត្តិការដើម្បីគ្រប់គ្រងឧបករណ៍បានទាំងអស់ ហែកឃឺត្រូវប្រើការវាយឡុកតាមរយៈប្រព័ន្ធ iOS Jailbreak ឬ Root បន្ថែមដើម្បីនឹងចូលទៅគ្រប់គ្រង iPhone បានទាំងអស់ក្នុងខណះពេលដែល Mac OS X មិនទាន់មានប្រព័ន្ធ Sandbox ទេធ្វើអោយហែកឃឺអាចចូលទៅកាន់ទិន្នន័យសម្ងាត់បានក្នុង Mac OS X ភ្លាមៗ
បានចេញកំណែជាទីរួចរាល់ហើយសម្រាប់បិទកំហុសឆ្គងនេះដែលមាននៅក្នុង iOS 9.3.3 នេះ
Apple បានបញ្ចេញកំណែសម្រាប់បិទកំហុសឆ្គងហើយក្នុង iOS សេរ៉ី 9.3.3 ដើម្បីបិទកំហុសឆ្គងខាងលើនិងកំហុសឆ្គងផ្សេងៗ រួមមាន 42 របាយការណ៍ដូចជា Memory Corruption ក្នុង CoreGraphics ជាដើម អាចមើលលំអិតបន្ថែមពីខាង Apple Advisory តាមរយៈ https://support.apple.com/en-us/HT206902
ប្រភព៖ http://thehackernews.com/2016/07/iphone-hack-exploit.html
Add a review