ช่องโหว่ด้านความปลอดภัยที่มีความรุนแรงสูงใน iOS 18.6.1 ได้ถูกเปิดเผย แสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ Apple ผ่านไฟล์รูปภาพ DNG ที่ถูกสร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ซึ่งได้รับการแก้ไขแล้วใน iOS 18.6.2 แสดงให้เห็นว่าแม้แต่มาตรการรักษาความปลอดภัยขั้นสูงของ Apple ก็สามารถถูกเจาะผ่านช่องทางการโจมตีที่ไม่คาดคิด
ช่องโหว่นี้อยู่ลึกภายในระบบประมวลผลภาพของ Apple โดยเฉพาะในโค้ด JPEG Lossless Decompression ที่ใช้สำหรับรูปแบบไฟล์ DNG ของ Adobe นักวิจัยด้านความปลอดภัยค้นพบว่าการแก้ไขเพียงสองไบต์ในไฟล์รูปภาพ DNG ที่ถูกต้องตามกฎหมายสามารถทำให้เกิดการล่มที่อาจนำไปสู่การรันโค้ดจากระยะไกลได้
ข้อมูล CVE:
- CVE ID: CVE-2025-43300
- ระดับความรุนแรง: วิกฤต (การดำเนินโค้ดระยะไกลแบบ 0-click)
- สถานะ: ถูกใช้ประโยชน์อย่างแข็งขันในสภาพแวดล้อมจริงก่อนการแพตช์
- คำแนะนำด้านความปลอดภัยของ Apple: เอกสารสนับสนุน 124925
การตอบสนองเร่งด่วนของ Apple บ่งบอกถึงความรุนแรง
การตอบสนองของ Apple ต่อช่องโหว่นี้รวดเร็วและมีจุดมุ่งหมายเฉพาะอย่างผิดปกติ บริษัทได้ปล่อยอัปเดตความปลอดภัยเร่งด่วนทั่วทุกระบบปฏิบัติการ - iOS, iPadOS, macOS, tvOS และ watchOS โดยมีเพียงช่องโหว่เดียวนี้ที่ได้รับการแก้ไข การเบี่ยงเบนจากแนวปฏิบัติทั่วไปของ Apple ที่มักจะรวมการแก้ไขความปลอดภัยหลายรายการเข้าด้วยกัน แสดงให้เห็นว่าบริษัทมองว่าภัยคุกคามนี้มีความร้ายแรงเป็นพิเศษ
ความเร่งด่วนจะชัดเจนขึ้นเมื่อพิจารณาว่าช่องโหว่นี้ถูกใช้ประโยชน์อย่างแข็งขันในโลกจริงก่อนที่จะได้รับการแก้ไข ซึ่งแตกต่างจากข้อบกพร่องด้านความปลอดภัยหลายๆ อย่างที่ยังคงเป็นเพียงทฤษฎี ช่องโหว่นี้ถูกใช้โดยผู้โจมตีเพื่อบุกรุกอุปกรณ์จริงแล้ว
ระบบที่ได้รับผลกระทบและเวอร์ชันที่แก้ไขแล้ว:
- iOS 18.6.2 (แก้ไขแล้ว)
- iPadOS 17.7.10 และ 18.6.2 (แก้ไขแล้ว)
- macOS Ventura 13.7.8 (แก้ไขแล้ว)
- macOS Sonoma 14.7.8 (แก้ไขแล้ว)
- macOS Sequoia 15.6.1 (แก้ไขแล้ว)
- tvOS และ watchOS (มีเวอร์ชันที่แก้ไขแล้ว)
ความท้าทายทางเทคนิคของการประมวลผลภาพ
การประมวลผลภาพเป็นจุดอ่อนในความปลอดภัยของมือถือมาเป็นเวลานาน ความซับซ้อนของการรองรับรูปแบบไฟล์หลายประเภทร่วมกับความต้องการประสิทธิภาพสูง สร้างโอกาสมากมายสำหรับข้อบกพร่อง เฟรมเวิร์ก ImageIO ของ Apple ซึ่งจัดการการแยกวิเคราะห์ภาพทั่วทั้งระบบนิเวศ เป็นเป้าหมายที่นักวิจัยด้านความปลอดภัยมุ่งเน้นบ่อยครั้ง
สิ่งที่ทำให้ช่องโหว่นี้น่าเป็นห่วงคือความเรียบง่าย การใช้ประโยชน์ต้องการการแก้ไขเพียงสองไบต์เฉพาะในไฟล์ DNG - เปลี่ยนไบต์ 0x2FD00 จาก 01 เป็น 02 และไบต์ 0x3E40B จาก 02 เป็น 01 เมื่อแก้ไขแล้ว ไฟล์ที่เป็นอันตรายสามารถส่งผ่าน AirDrop หรือวิธีการแชร์ไฟล์อื่นๆ ได้
DNG (Digital Negative) เป็นมาตรฐานเปิดของ Adobe สำหรับไฟล์ภาพดิบ ซึ่งมักใช้โดยช่างภาพมืออาชีพและได้รับการรองรับโดยธรรมชาติโดย iOS
รายละเอียดทางเทคนิคของการโจมตี:
- ตำแหน่งช่องโหว่: โค้ด JPEG Lossless Decompression ของ Apple ใน RawCamera.bundle
- รูปแบบไฟล์: ไฟล์ Adobe DNG (Digital Negative)
- วิธีการโจมตี: แก้ไขสองไบต์เฉพาะในไฟล์ DNG
- ไบต์ 0x2FD00: เปลี่ยนจาก 01 เป็น 02
- ไบต์ 0x3E40B: เปลี่ยนจาก 02 เป็น 01
- วิธีการส่งมอบ: AirDrop , iMessage หรือการแชร์ไฟล์อื่นๆ
- ผลกระทบ: การเขียนข้อมูลนอกขอบเขตที่อาจนำไปสู่การรันโค้ดจากระยะไกล
เกินกว่าการล่มง่ายๆ
แม้ว่าการพิสูจน์แนวคิดที่เผยแพร่จะแสดงเพียงการล่ม แต่ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าการใช้ประโยชน์ในโลกจริงที่ใช้ช่องโหว่นี้น่าจะบรรลุผลมากกว่านั้น การแปลงการล่มง่ายๆ ให้เป็นการบุกรุกอุปกรณ์อย่างสมบูรณ์ต้องใช้เทคนิคที่ซับซ้อนเพื่อหลีกเลี่ยงคุณสมบัติความปลอดภัยสมัยใหม่เช่น Address Space Layout Randomization (ASLR) และ Pointer Authentication Codes (PAC)
ข้อเท็จจริงที่ว่า Apple แก้ไขเพียงส่วนประกอบการประมวลผลภาพเท่านั้น แทนที่จะเป็นส่วนประกอบระบบหลายส่วน ทำให้เกิดคำถามเกี่ยวกับวิธีที่ผู้โจมตีบรรลุการยึดครองอุปกรณ์อย่างสมบูรณ์ สิ่งนี้บ่งบอกว่าส่วนอื่นๆ ของห่วงโซ่การใช้ประโยชน์ได้รับการแก้ไขแล้ว หรือวิธีการโจมตีแบบเต็มยังคงไม่เป็นที่รู้จักบางส่วน
การตรวจจับและการป้องกันของชุมชน
ชุมชนความปลอดภัยได้ตอบสนองอย่างรวดเร็วเพื่อช่วยผู้ใช้ปกป้องตนเอง เครื่องมือตรวจจับใหม่ได้เกิดขึ้นที่สามารถสแกนการสำรองข้อมูล iOS เพื่อหาสัญญาณของการใช้ประโยชน์นี้ ทำให้ผู้ใช้สามารถตรวจสอบว่าอุปกรณ์ของพวกเขาถูกบุกรุกหรือไม่ เครื่องมือเหล่านี้ใช้การวิเคราะห์โครงสร้างแทนการตรวจจับแบบลายเซ็นแบบดั้งเดิม ทำให้มีประสิทธิภาพมากขึ้นต่อการโจมตีที่มีรูปแบบแตกต่างกัน
สำหรับการป้องกันทันที ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้เปิดใช้งาน iOS Lockdown Mode และรีสตาร์ทอุปกรณ์ทุกวันเพื่อล้างมัลแวร์ที่ไม่คงอยู่ แม้ว่ามาตรการเหล่านี้อาจดูรุนแรง แต่ก็ให้การป้องกันที่แข็งแกร่งต่อการใช้ประโยชน์แบบ zero-click ที่ไม่ต้องการการโต้ตอบของผู้ใช้
สำหรับการป้องกัน iOS ให้เปิดใช้งาน Lockdown Mode และรีบูตทุกวันเพื่อขับไล่มัลแวร์ที่ไม่คงอยู่
การค้นพบนี้เน้นย้ำถึงความท้าทายอย่างต่อเนื่องในความปลอดภัยของมือถือ ที่ความสะดวกของการแชร์ไฟล์ที่ราบรื่นและการรองรับสื่อที่หลากหลายสร้างพื้นผิวการโจมตีที่ยากจะขจัดได้อย่างสมบูรณ์ เนื่องจากรูปแบบภาพยังคงมีความเสถียรค่อนข้างมากเมื่อเวลาผ่านไป ผู้เชี่ยวชาญบางคนแนะนำให้ย้ายไปใช้ parser ที่ได้รับการตรวจสอบอย่างเป็นทางการซึ่งเขียนด้วยภาษาที่ปลอดภัยจากหน่วยความจำเพื่อป้องกันช่องโหว่ทั้งหมวดหมู่
เหตุการณ์นี้เป็นเครื่องเตือนใจว่าแม้แต่ระบบรักษาความปลอดภัยที่ซับซ้อนที่สุดก็อาจมีจุดอ่อนที่ไม่คาดคิด และการแข่งขันด้านอาวุธระหว่างผู้โจมตีและผู้ป้องกันยังคงพัฒนาไปในทิศทางที่น่าแปลกใจ
อ้างอิง: iOS 18.6.1 0-click RCE POC