แอปเปิลออกอัปเดตระบบปฏิบัติการ iOS 18.1.1, iPadOS 18.1.1 และ macOS Sequoia 15.1.1 ให้กับผู้ใช้งานในวันนี้ โดยบอกว่าเป็นการแก้ไขปรับปรุงด้านความปลอดภัย

รายละเอียดของช่องโหว่ที่แพตช์แก้ไขรอบนี้มีสองรายการคือ JavaScriptCore (CVE-2024-44308) และ WebKit (CVE-2024-44309) โดยบอกว่ามีรายงานการโจมตีโดยอาศัยช่องโหว่ดังกล่าวแล้วกับ Mac ที่เป็นซีพียูอินเทล ผู้ใช้งานจึงควรอัปเดตแพตช์ที่แก้ไขช่องโหว่นี้ทันที

นอกจากนี้แอปเปิลยังอัปเดตความปลอดภัยให้ระบบปฏิบัติการเวอร์ชันก่อนหน้าด้วย รายละเอียดทั้งหมดเป็นดังนี้

แอปเปิลออกอัปเดตระบบปฏิบัติการทั้งหมดได้แก่ iOS 18.1, iPadOS 18.1, macOS Sequoia 15.1 ซึ่งสามตัวแรกนี้มีของใหม่สำคัญคือ Apple Intelligence นอกจากนี้ยังออกอัปเดตระบบปฏิบัติการของอุปกรณ์อื่นด้วย รายละเอียดดังนี้

• iOS 18.1 มี Apple Intelligence (เฉพาะรุ่นที่รองรับ), นักพัฒนาเข้าถึง NFC ได้ (ในไทยยังไม่ได้), iPhone Mirror รองรับ Drag & Drop, Apple Music รองรับ TikTok, ปุ่ม Camera Control สลับไปกล้องหน้าได้, AirPods Pro 2 รองรับเครื่องช่วยฟัง, บันทึกเสียงสนทนาโทรศัพท์ได้ และแก้ไขบั๊กและความปลอดภัยหลายอย่าง รวมทั้งปัญหาเครื่องรีสตาร์ทเอง

แอปเปิลออกอัปเดตย่อยให้กับระบบปฏิบัติการทั้ง iOS, iPadOS, macOS, watchOS เพื่อแก้ไขปัญหาหลายอย่างที่มีรายงานออกมาก่อนหน้านี้ เช่น ปัญหาจอทัชตอบสนองช้าใน iPhone 16 Pro หรือปัญหาเครื่องดับไปเลยสำหรับ iPad Pro ชิป M4

รายละเอียดอัปเดตทั้งหมดมีดังนี้

สัปดาห์นี้มีผู้ใช้ Windows 10/11 ที่ติดตั้งแพตช์ความปลอดภัยรอบเดือนสิงหาคม 2024 รายงานว่าเกิดปัญหาไม่สามารถบูตเข้าลินุกซ์ในระบบที่เป็น dual boot ได้ ล่าสุดไมโครซอฟท์ยืนยันปัญหานี้แล้ว

แพตช์ความปลอดภัยตัวนี้ ตั้งใจออกมาเพื่ออุดช่องโหว่ของ GRUB ระบบเลือกบูตที่ใช้งานแพร่หลายในโลกลินุกซ์ ช่องโหว่นี้เปิดทางให้แฮ็กเกอร์สามารถข้ามระบบ secure boot ได้ มันถูกค้นพบมานาน 2 ปี และมีคะแนนความรุนแรง 8.6/10

แอปเปิลออกอัปเดตย่อยให้กับระบบปฏิบัติการของ iPhone, iPad และ Mac โดยระบุว่ามีการแก้ไขบั๊กและช่องโหว่ความปลอดภัยที่สำคัญ รวมทั้งบั๊กที่ทำให้เปิดหรือปิดการใช้งานตัวเข้ารหัส iCloud แบบ end-to-end Advanced Data Protection ไม่ได้ โดยในตอนนี้ยังไม่ได้เผยแพร่รายละเอียดช่องโหว่ความปลอดภัย

อัปเดตนี้ยังรวมไปถึง iOS และ macOS เวอร์ชันเก่าสำหรับอุปกรณ์ที่ไม่สามารถอัปเดตเป็นระบบปฏิบัติการเวอร์ชันล่าสุดได้ด้วย มีรายละเอียดดังนี้

แอปเปิลออกอัปเดตระบบปฏิบัติการทั้งหมดในเครือ สำหรับผู้ใช้งานทั่วไป โดยทั้งหมดเป็นการแก้ไขบั๊กและปรับปรุงความปลอดภัยต่าง ๆ เนื่องจากมีการแก้ไขช่องโหว่หลายรายการรวมทั้งเคอร์เนล Siri และ WebKit ผู้ใช้งานจึงควรอัปเดต

รายละเอียดอัปเดตทั้งหมดมีดังนี้

• iOS 17.6 และ iPadOS 17.6
• iOS 16.7.9 และ iPadOS 16.7.9 สำหรับอุปกรณ์รุ่นเก่า
• iOS 15.8.3 and iPadOS 15.8.3 สำหรับอุปกรณ์รุ่นเก่า

OpenSSH ออกเวอร์ชั่น 9.8 แก้ไช่องโหว่ความปลอดภัย CVE-2024-6387 ชื่อเล่นว่า regreSSHion เปิดทางให้คนร้ายสามารถยิงแพ็กเก็ตพิเศษเพื่อยิงเข้ามารันโค้ดในเครื่องของเหยื่อได้

ที่น่าสนใจคือช่องโหว่นี้กระทบเวอร์ชั่นเก่ามาก ก่อน 4.4p1 ที่ออกมาตั้งแต่ปี 2006 และกระทบอีกทีในเวอร์ชั่น 8.5p1 ที่ออกมาเมื่อปี 2021 เป็นที่มาของชื่อช่องโหว่ regreSSHion โดยเบื้องต้นพบช่องโหว่นี้กับ OpenSSH ที่คอมไพล์ร่วมกับ glibc เท่านั้น ทาง Qualys ผู้พบช่องโหว่นี้ยืนยันว่า OpenBSD ไม่ได้รับผลกระทบ

บริษัท 0patch (อ่านว่า zero patch) ที่ทำธุรกิจด้านดูแลแพตช์ความปลอดภัยซอฟต์แวร์ ประกาศออกบริการซัพพอร์ต Windows 10 ต่อให้อีกอย่างน้อย 5 ปี ในราคาที่ถูกกว่าการซื้อบริการจากไมโครซอฟท์

Windows 10 จะหมดระยะซัพพอร์ตในเดือนตุลาคม 2025 ถ้าองค์กรต้องการแพตช์ความปลอดภัยต่อ สามารถซื้อ Extended Security Updates (ESU) ต่อจากไมโครซอฟท์ได้อีก 3 ปี ในราคารวม 427 ดอลลาร์

หลัง​ Samsung วางจำหน่าย Galaxy A51 5G, A41 และ M01 ช่วงเมษายน - มิถุนายน ปี2020 ล่าสุด Samsung ประกาศเลิกซัพพอร์ต Galaxy ทั้งสามรุ่นตั้งแต่มิถุนายนนี้เป็นต้นไป เนื่องจากครบสัญญาอัปเดตระบบความปลอดภัยที่ให้ไว้ทั้งหมด 4 ปีเรียบร้อยแล้ว

Galaxy ทั้งสามรุ่นเริ่มต้นด้วย Android 10 โดย Galaxy A51 5G อัปเดตได้จนถึง Android 13 ส่วน Galaxy A41 และ M01 อัปเดตได้จนถึง Android 12

อย่างไรก็ตามหากค้นพบช่องโหว่ร้ายแรง Samsung ระบุว่าก็จะมีการพิจารณาอัพเดตแพตช์ให้

PuTTY แจ้งเตือนช่องโหว่ CVE-2024-31497 ที่ถูกค้นพบโดยทีมวิจัยจาก Ruhr University Bochum เกิดจากความผิดพลาดในการสร้างค่าสุ่มประจำข้อความ หรือ nonce จนทำให้ค่าสุ่มไม่สมบูรณ์และคนร้ายคาดเดากุญแจลับได้หากเห็นข้อความที่เซ็นไปแล้วมากพอ โดยทั่วไปประมาณ 60 ข้อความ

ช่องโหว่นี้เกิดจาก PuTTY พัฒนามาก่อนที่วินโดวส์จะมีระบบสุ่มค่าอย่างปลอดภัยทำให้ต้องสร้างกระบวนการสุ่มขึ้นมาใช้งานเอง PuTTY อาศัยการแฮชข้อความด้วย SHA512 แล้ว mod q ให้เหลือค่าประมาณ 160 บิต แต่หากใช้ NIST P521 ค่าที่ได้ 9 บิตสูงสุดกลับเป็น 0 เสมอ ทำให้ค่า nonce อ่อนแอลงมาก เปิดทางให้แฮกเกอร์ที่มองเห็นข้อความที่เซ็น (เช่น แพ็กเก็ตเริ่มต้นการเชื่อมต่อ SSH) เพียงประมาณ 60 ข้อความ ก็จะกู้คืนกุญแจลับออกมาได้

ไมโครซอฟท์อัปเดตแพตช์ Patch Tuesday ของเดือนเมษายน 2024 ซึ่งแก้ไขช่องโหว่ทั้งหมด 150 รายการ เป็นช่องโหว่ระดับ Zero-Day ที่มีการเปิดเผยรายละเอียดแล้ว 2 รายการ แก้ไขบั๊กช่องโหว่ที่สามารถโจมตีระยะไกลได้ (RCE) 67 รายการ

ช่องโหว่ Zero-Day สองรายการได้แก่ CVE-2024-26234 แก้ไขไดรเวอร์ที่มีช่องโหว่ให้เจาะเข้ามาได้ และ CVE-2024-29988 ซึ่งทำให้ไฟล์แนบสามารถผ่านคำเตือน Microsoft Defender Smartscreen เมื่อเปิดไฟล์ได้

ที่มา: Bleeping Computer

เมื่อต้นปีที่ผ่านมา Jenkins โครงการซอฟต์แวร์ CI/CD แบบโอเพนซอร์สปล่อยแพตช์ช่องโหว่ความปลอดภัยออกมา และตอนนี้ก็เริ่มมีรายงานรวมถึงตัวอย่างโค้ดสำหรับโจมตีออกมาแล้ว ทำให้ผู้ที่ใช้ Jenkins โดยเฉพาะผู้ที่เปิดเซิร์ฟเวอร์ออกสู่อินเทอร์เน็ตควรเร่งแพตช์โดยเร็ว

ช่องโหว่นี้เกิดจากการใช้ไลบรารี args4j ซึ่งมีฟีเจอร์สามารถใช้เครื่องหมาย @ เพื่ออ้างอิงไฟล์อื่นๆ ได้ ในกรณีนี้ทางโครงการ Jenkins ไม่ได้ตระหนักว่ามีฟีเจอร์นี้และไม่ได้ปิดไว้ ทำให้คนร้ายสามารถส่งโค้ดเข้ามารันในเครื่องได้ ผ่านทางช่องทางต่างๆ เช่น Remote Root URLs หรือ Cookie

แอปเปิลออกอัพเดตระบบปฏิบัติการรอบใหญ่ iOS 17.3 และ iPadOS 17.3 สำหรับคนใช้ iPhone และ iPad ตามที่ประกาศก่อนหน้านี้ สามารถอัพเดตแบบ OTA โดยไปที่ Settings > General > Software Update

ในอัพเดต iOS 17.3 นี้ มีฟีเจอร์สำคัญคือ Stolen Device Protection ที่เพิ่มความปลอดภัยให้กับ iPhone ที่ถูกขโมย เช่น เพิ่มการใช้ Face ID ยืนยันตัวตนถ้าเปลี่ยนรหัสผ่าน, มีการหน่วงเวลาเปลี่ยนรหัสผ่าน หากพบอุปกรณ์อยู่ในพิกัดที่ไม่คุ้นเคย เป็นต้น

GitLab ประกาศออกแพตช์แก้ไขช่องโหว่ CVE-2023-7028 ช่องโหว่ร้ายแรงระดับวิกฤติที่เปิดทางให้คนร้ายสามารถยึดบัญชีของเหยื่อได้ทันที เพราะคนร้ายสามารถสั่งให้ส่งอีเมลรีเซ็ตรหัสผ่านไปยังอีเมลของคนร้ายได้

ช่องโหว่นี้สามารถป้องกันได้ด้วยการเปิดการล็อกอินสองขั้นตอนเอาไว้ อย่างไรก็ดีแพตช์ชุดใหม่นี้ยังมีการแก้ไขช่องโหว่อื่นๆ ด้วย

ทาง GitLab แนะนำให้องค์กรที่ติดตั้ง GitLab รุ่นที่ได้รับรีบอัพเดตแพตช์, เปิดการล็อกอินสองขั้นตอน, และเปลี่ยน secret ทั้งหมด ได้แก่ รหัสผ่านต่างๆ, API token, ใบรับรอง, ตลอดจน secret อื่นๆ

ช่องโหว่นี้กระทบ GitLab ตั้งแต่ 16.1 จนถึง 16.7 ตอนนี้ทางโครงการก็ออกเวอร์ชั่นแพตช์ช่องโหว่ออกมาทั้งหมดแล้ว

ไมโครซอฟท์ออกมาแจ้งเตือนว่าผู้ใช้บางส่วนที่ติดตั้งแพตช์เดือนมกราคมที่ผ่านมา ปรากฎว่าแพตช์นี้พยายามปรับขนาด partition สำหรับกู้ระบบ (Windows Recovery Environment - WinRE) แต่ในกรณีที่เครื่องคอมพิวเตอร์ที่มีพื้นที่เหลือไม่พอ จะทำให้การติดตั้งค้างและไปต่อไม่ได้

แอปเปิลออกอัพเดตระบบปฏิบัติการเพื่อแก้ไขช่องโหว่ระดับ Zero-Day สองรายการ ซึ่งมีรายงานการใช้ช่องโหว่ดังกล่าวแล้ว จึงแนะนำให้ผู้ใช้งานอัพเดตทันที

โดยอัพเดตที่แก้ไขช่องโหว่นี้แล้วได้แก่ iOS 17.1.2 สำหรับ iPhone, iPadOS 17.1.2 สำหรับ iPad และ macOS Sonoma 14.1.2 สำหรับ Mac

ช่องโหว่ทั้งหมดเป็นของเอ็นจิน WebKit CVE-2023-42916 และ CVE-2023-42917 ที่ผู้โจมตีสามารถเข้าถึงข้อมูลได้ผ่านเว็บเพจที่ปรับแต่งเฉพาะ ซึ่งสำหรับ iOS แอปเปิลบอกว่าช่องโหว่นี้พบได้ใน iOS เวอร์ชันก่อน 16.7.1

ที่มา: 9to5Mac

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนพฤศจิกายน 2023 โดยแพตช์รอบเดือนนี้ นอกจากเป็นแพตช์ความปลอดภัยตามปกติแล้ว ยังมีอัพเดตฟีเจอร์ Windows 11 23H2 ที่รวมฟีเจอร์รอบเดือนกันยายน 2023 มาด้วย คนที่ยังไม่ได้กดอัพเดตช่วงก่อนหน้านี้ หากมากดอัพเดตแพตช์เดือนพฤศจิกายนตามรอบปกติ ก็จะได้ทุกอย่างไปด้วย

ส่วนคนที่อัพเดตฟีเจอร์ไปหมดแล้ว รวมถึงคนที่ใช้ Windows 10 ก็จะได้แพตช์ความปลอดภัยอย่างเดียว

โครงการ curl ออกเวอร์ชั่น 8.4.0 แก้ไข่ช่องโหว่ CVE-2023-38545 และ CVE-2023-38546 ตามที่ประกาศไว้ โดยช่องโหว่ CVE-2023-38545 นั้นเป็นช่องโหว่ระดับร้ายแรงสูงสามารถรันโค้ดในเครื่องของเหยื่อได้

แม้จะเป็นช่องโหว่รันโค้ด แต่เงื่อนไขการเจาะก็นับว่าเฉพาะพอสมควร คนร้ายต้องสามารถกระตุ้นให้เซิร์ฟเวอร์เชื่อมต่อไปยังโดเมนใดๆ เช่น การโพสลิงก์ให้แล้วเซิร์หเวอร์โหลดข้อมูลทำ preview และตัวเซิร์ฟเวอร์ต้องอยู่หลัง SOCKS5 proxy อีกชั้นหนึ่ง ช่องโหว่อาศัยบั๊กการจัดการหน่วยความจำเมื่อชื่อเครื่องปลายทางยาวเกิน 255 ตัวอักษร

แอปเปิลออกอัพเดตระบบปฏิบัติการให้อุปกรณ์รุ่นเก่า หรืออุปกรณ์ที่เลือกไม่อัพเดตเป็นซอฟต์แวร์ระบบปฏิบัติการเวอร์ชันล่าสุด ได้แก่ iOS 16.7.1 สำหรับ iPhone และ iPadOS 16.7.1

ผู้ใช้งานสามารถอัพเดตได้โดยไปที่ Settings > General > Software Update

สำหรับ iOS และ iPadOS เวอร์ชันเก่า แอปเปิลจะอัพเดตเฉพาะแพตช์ความปลอดภัยเท่านั้น ซึ่งอัพเดตนี้แก้ไขช่องโหว่เคอร์เนลและ WebRTC รายการเดียวกับใน iOS 17.0.3 จึงแนะนำผู้ใช้งานให้อัพเดตโดยเร็ว

ที่มา: MacRumors

แอปเปิลออกอัพเดตซอฟต์แวร์ระบบปฏิบัติการในเครือวันนี้ ได้แก่ iOS 17.0.1 สำหรับ iPhone, iOS 17.0.2 สำหรับตระกูล iPhone 15, iPadOS 17.0.1 สำหรับ iPad, watchOS 10.0.1 สำหรับ Apple Watch, macOS Ventura 13.6 สำหรับ Mac ทั้งนี้ macOS เวอร์ชันใหม่ Sonoma จะออกอัพเดตทั่วไปในสัปดาห์หน้า

นอกจากนี้แอปเปิลยังอัพเดตระบบปฏิบัติการสำหรับอุปกรณ์รุ่นเก่า หรืออุปกรณ์ที่ยังไม่อัพเดตไประบบปฏิบัติการเวอร์ชันใหม่ด้วย ได้แก่ iOS 16.7, iPadOS 16.7, watchOS 9.6.3, macOS Monterey 12.7

แอปเปิลออกอัพเดตระบบปฏิบัติการให้กับอุปกรณ์รุ่นเก่า ที่ไม่สามารถอัพเดตเป็นซอฟต์แวร์เวอร์ชันล่าสุดได้ ทั้ง iOS, iPadOS และ macOS

โดยระบบปฏิบัติการที่อัพเดตได้แก่ iOS 15.7.9 สำหรับ iPhone, iPadOS 15.7.9 สำหรับ iPad, macOS Monterey‌‌ 12.6.9 และ macOS Big Sur 11.7.10 สำหรับ Mac ซึ่งสามารถอัพเดตตามวิธีการอัพเดตปกติ

อัพเดตนี้แอปเปิลระบุว่าแก้ไขช่องโหว่ความปลอดภัยของ ImageIO ที่มีรายงานว่าใช้ในสปายแวร์ Pegasus ซึ่งแอปเปิลได้อัพเดตไปก่อนหน้านี้ใน iOS 16.6.1, iPadOS 16.6.1, macOS Ventura 13.5.2 และ watchOS 9.6.2 จึงแนะนำให้อัพเดตทันที

แอปเปิลออกอัพเดตระบบปฏิบัติการของอุปกรณ์ได้แก่ iOS 16.6.1 สำหรับ iPhone, iPadOS 16.6.1 สำหรับ iPad, macOS Ventura 13.5.2 สำหรับ Mac และ watchOS 9.6.2 สำหรับ Apple Watch โดยสามารถอัพเดตได้ทันทีผ่านช่องทางเดิม

แอปเปิลระบุในรายละเอียดของอัพเดตว่าแก้ไขบั๊กและปรับปรุงความปลอดภัย โดยไม่ได้ให้ข้อมูลเพิ่มเติม อย่างไรก็ตามในหน้า Apple security ได้ให้รายละเอียดช่องโหว่ที่แก้ไขว่าเป็น ImageIO ซึ่งผู้โจมตีอาจใช้ไฟล์ที่ปรับแต่งในการเข้าถึงอุปกรณ์ได้

แอปเปิลยังบอกว่าช่องโหว่นี้อาจมีการโจมตีแล้ว จึงแนะนำให้ผู้ใช้งานอัพเดตทันที

แอปเปิลออกอัพเดตระบบปฏิบัติการในเครือ โดยมีทั้งการแก้ไขบั๊ก ปัญหาที่พบ ตลอดจนปิดช่องโหว่ความปลอดภัย รายละเอียดดังนี้

• iOS 16.6 และ iPadOS 16.6 แก้ไขบั๊ก และปรับปรุงความปลอดภัยหลายรายการ ทั้งส่วนเคอร์เนล, WebKit (รายละเอียด)
• macOS Ventura 13.5 แก้ไขบั๊ก ปรับปรุงความปลอดภัย และแก้ปัญหาดิสก์ SATA ไม่เชื่อมต่อใน Mac Pro
• watchOS 9.6 แก้ไขบั๊ก และปรับปรุงความปลอดภัย
• tvOS 16.6 เป็นการปรับปรุงทั่วไป

ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday ของเดือนกรกฎาคม 2023 ซึ่งเดือนนี้มีการแก้ไขช่องโหว่ 123 รายการ มีรายงานช่องโหว่ระดับ Zero-Day ที่มีการเผยแพร่รายละเอียดแล้ว 6 รายการ เป็นช่องโหว่ที่สามารถโจมตีระยะไกลได้ (RCE) 37 รายการ จึงควรอัพเดตโดยเร็วที่สุด

อย่างไรก็ตามตามอัพเดตล่าสุดตอนนี้ ไมโครซอฟท์ยังไม่มีแพตช์แก้ไขช่องโหว่ Zero-Day อยู่ 1 รายการคือ CVE-2023-36884 โดยผู้โจมตีสามารถสร้างไฟล์ Microsoft Office ที่มีการออกแบบมาโดยเฉพาะให้โจมตีระยะไกลได้ ในตอนนี้ไมโครซอฟท์มีเฉพาะคำแนะนำป้องกันปัญหาเบื้องต้นเท่านั้น (ดูจากส่วน Mitigations ในลิงก์ข้างต้น)

แอปเปิลออกแพตช์ฉุกเฉิน Rapid Security Response (RSR) ใหม่ หลังจากที่แอปเปิลออกแพตช์ (a) เมื่อวันก่อน แล้วเกิดปัญหาค่า User-Agent เปลี่ยน จนทำให้ไม่สามารถเข้าหลายเว็บไซต์ใน Safari ได้ ซึ่งแอปเปิลใช้วิธีถอนแพตช์ออกไปก่อน

แพตช์ฉุกเฉินใหม่ที่ออกมาใช้ตัว (c) โดยสำหรับ iOS เป็นเวอร์ชัน 16.5.1 (c) และ macOS Ventura‌ เวอร์ชัน 13.4.1 (c) ผู้ใช้งานสามารถอัพเดตได้ตามขั้นตอน Software Update เป็นไฟล์ขนาดเล็กใช้เวลาไม่นานมาก

แอปเปิลระบุว่าในอัพเดตนี้ได้แก้ไขปัญหา Safari เข้าบางเว็บไซต์ไม่ได้ ตามที่มีรายงานก่อนหน้านี้