Apple ออกอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day จำนวน 2 รายการ หลังยืนยันว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงในลักษณะ “ซับซ้อนมาก” และมุ่งเป้าไปที่บุคคลเฉพาะกลุ่ม โดยผู้โจมตีใช้ประโยชน์จากช่องโหว่ใน WebKit ซึ่งเป็นเอนจินเว็บหลักของระบบปฏิบัติการ Apple
Apple ระบุว่า บริษัทได้รับรายงานว่าช่องโหว่ทั้งสองรายการอาจถูกใช้ในปฏิบัติการโจมตีระดับสูงกับอุปกรณ์ที่ยังใช้งาน iOS เวอร์ชันก่อนหน้า iOS 26 ซึ่งถือเป็นการยืนยันอย่างชัดเจนว่าภัยคุกคามครั้งนี้ไม่ใช่แค่เชิงทฤษฎี แต่เกิดขึ้นจริงแล้ว
รายละเอียดช่องโหว่ Zero-day ทั้งสองรายการ
ช่องโหว่ที่ Apple แก้ไขในครั้งนี้ถูกติดตามด้วยรหัส CVE สองรายการ และเกี่ยวข้องกับ WebKit โดยตรง
CVE-2025-43529
เป็นช่องโหว่ประเภท use-after-free ซึ่งอาจเปิดทางให้ผู้โจมตีรันโค้ดจากระยะไกลได้ ผ่านการประมวลผลเนื้อหาเว็บที่ถูกออกแบบมาอย่างเป็นอันตราย Apple ระบุว่าช่องโหว่นี้ถูกค้นพบโดยทีม Google Threat Analysis Group ซึ่งเป็นทีมที่เชี่ยวชาญด้านการติดตามการโจมตีขั้นสูงและสปายแวร์
CVE-2025-14174
เป็นช่องโหว่ด้าน memory corruption ใน WebKit ซึ่งอาจนำไปให้ระบบเกิดความเสียหายของหน่วยความจำ และถูกใช้เป็นส่วนหนึ่งของการโจมตีได้เช่นกัน ช่องโหว่นี้ถูกค้นพบร่วมกันโดย Apple และ Google Threat Analysis Group
แม้ Apple จะไม่เปิดเผยรายละเอียดเชิงเทคนิคของการโจมตี แต่การที่ช่องโหว่ทั้งสองอยู่ใน WebKit ทำให้รูปแบบการโจมตีสอดคล้องกับการใช้งานสปายแวร์หรือเครื่องมือเจาะระบบระดับสูง ที่มักถูกใช้กับเป้าหมายเฉพาะ เช่น นักกิจกรรม นักข่าว หรือบุคคลสำคัญ
อุปกรณ์ที่ได้รับผลกระทบ
Apple ระบุว่าอุปกรณ์ต่อไปนี้ได้รับผลกระทบจากช่องโหว่ทั้งสองรายการ
- iPhone 11 ขึ้นไป
- iPad Pro 12.9 นิ้ว (รุ่นที่ 3 ขึ้นไป)
- iPad Pro 11 นิ้ว (รุ่นแรกขึ้นไป)
- iPad Air (รุ่นที่ 3 ขึ้นไป)
- iPad (รุ่นที่ 8 ขึ้นไป)
- iPad mini (รุ่นที่ 5 ขึ้นไป)
ผู้ใช้ที่อยู่ในกลุ่มอุปกรณ์เหล่านี้ควรตรวจสอบเวอร์ชันระบบและอัปเดตทันทีเพื่อหลีกเลี่ยงความเสี่ยง
เวอร์ชันระบบที่ได้รับการแก้ไขแล้ว
Apple แก้ไขช่องโหว่ดังกล่าวผ่านอัปเดตระบบหลายแพลตฟอร์ม ได้แก่
- iOS 26.2 และ iPadOS 26.2
- iOS 18.7.3 และ iPadOS 18.7.3
- macOS Tahoe 26.2
- tvOS 26.2
- watchOS 26.2
- visionOS 26.2
- Safari 26.2
การปล่อยแพตช์พร้อมกันในหลายระบบ แสดงให้เห็นว่าช่องโหว่นี้มีความรุนแรงและกระทบในวงกว้าง ไม่ได้จำกัดเฉพาะ iPhone หรือ iPad เท่านั้น
ความเชื่อมโยงกับ Google Chrome และการเปิดเผยแบบประสานงาน
ในช่วงเวลาใกล้เคียงกัน Google ได้ออกแพตช์แก้ไขช่องโหว่ Zero-day บน Google Chrome โดยในช่วงแรกยังไม่เปิดเผยรายละเอียด และระบุเพียงว่าเป็นบั๊กที่อยู่ระหว่างการประสานงาน
ต่อมา Google ได้อัปเดตข้อมูลและยืนยันว่าช่องโหว่นั้นคือ CVE-2025-14174: Out-of-bounds memory access ใน ANGLE ซึ่งเป็น CVE เดียวกับที่ Apple แก้ไขใน WebKit บนแพลตฟอร์มของตนเอง นี่เป็นหลักฐานว่าทั้งสองบริษัทมีการประสานงานด้านความปลอดภัย เพื่อปิดช่องโหว่เดียวกันในหลายระบบพร้อมกัน
เนื่องจาก Chrome บน iOS ต้องใช้ WebKit ตามข้อกำหนดของ Apple จึงไม่ใช่เรื่องแปลกที่ช่องโหว่นี้จะส่งผลกระทบข้ามแพลตฟอร์ม
ภาพรวม Zero-day ของ Apple ในปี 2025
จากข้อมูลล่าสุด Apple ได้แก้ไขช่องโหว่ Zero-day ที่ถูกใช้โจมตีจริงแล้วอย่างน้อย 7 รายการในปี 2025 เริ่มตั้งแต่ช่วงต้นปี และมีการอัปเดตอย่างต่อเนื่องในหลายเดือนที่ผ่านมา
ก่อนหน้านี้ Apple ยังเคย backport แพตช์ Zero-day บางรายการไปยังอุปกรณ์รุ่นเก่าที่ยังใช้งาน iOS และ iPadOS เวอร์ชันก่อนหน้า เพื่อขยายความปลอดภัยให้ผู้ใช้ที่ยังไม่สามารถอัปเกรดเครื่องได้
ผู้ใช้ควรทำอย่างไร
แม้ Apple จะระบุว่าการโจมตีเป็นลักษณะเจาะจงเป้าหมาย ไม่ได้กระจายในวงกว้าง แต่ช่องโหว่ Zero-day ใน WebKit ถือเป็นความเสี่ยงระดับสูง ผู้ใช้ทุกคนควรอัปเดตระบบเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เพื่อป้องกันการถูกโจมตีในอนาคต
สำหรับผู้ใช้ทั่วไป การเปิดอัปเดตอัตโนมัติ และหลีกเลี่ยงการเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือ ยังคงเป็นแนวทางพื้นฐานที่ช่วยลดความเสี่ยงได้ดีที่สุดในระยะยาว
ที่มา: bleepingcomputer
