Apple อุดช่องโหว่ Zero-day บน iOS ที่ฝังตัวมานานนับสิบปี หลังถูกใช้โจมตีจริง
Apple ได้ออกอัปเดตความปลอดภัยครั้งสำคัญสำหรับระบบปฏิบัติการ iOS 26.3 หลังค้นพบช่องโหว่ที่มีระยะเวลานานหลายปี และถูกนำไปใช้งานจริงในแคมเปญโจมตีแบบเฉพาะเจาะจงที่มีความซับซ้อนสูง ช่องโหว่นี้เกี่ยวข้องกับส่วนสำคัญของระบบที่ชื่อว่า dyld ซึ่งเป็นตัวเชื่อมและจัดสรรการรันแอปพลิเคชันบนอุปกรณ์ iPhone และ iPad
รายงานจากแหล่งข่าวระบุว่าช่องโหว่ CVE-2026-20700 นี้ทำให้ผู้โจมตีที่สามารถเขียนข้อมูลลงในหน่วยความจำของระบบได้ สามารถสั่งให้โค้ดอันตรายทำงานบนอุปกรณ์ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยตามปกติ และมีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้เป็นส่วนหนึ่งของโซ่การโจมตีจริงในอดีตก่อนที่จะถูกอุดด้วยแพตช์ใหม่ล่าสุดของ Apple
Apple ระบุว่าจากช่องโหว่นี้ ผู้โจมตีสามารถ “แทรกตัวเข้ามาเหมือน ‘กุญแจหลัก’ ที่ได้รับอนุญาตก่อนการตรวจสอบด้านความปลอดภัย” ทำให้แอปใด ๆ ที่ถูกติดตั้งบนอุปกรณ์อาจถูกจัดการหรือรันในแบบที่ไม่ได้รับอนุญาต และในแง่นี้ช่องโหว่ dyld จึงเสมือนเป็น “ประตูที่เปิดไว้” มานานหลายปีตั้งแต่สมัย iOS รุ่นแรกจนถึงเวอร์ชันปัจจุบันก่อนการแก้ไข
นอกจากช่องโหว่ dyld แล้ว บักอื่น ๆ ในแพตช์ iOS 26.3 ยังรวมถึงการแก้ไขช่องโหว่ใน WebKit ซึ่งเป็นเอนจินของเว็บเบราว์เซอร์ที่ใช้แสดงผลหน้าเว็บบน Safari และเบราว์เซอร์อื่น ๆ บนอุปกรณ์ของ Apple ด้วย ช่องโหว่ใน WebKit เหล่านี้สามารถถูกใช้เป็นทางเข้าสู่การโจมตีแบบ “zero-click” หรือ “one-click” ที่แม้เพียงการเยี่ยมชมเว็บเพจอันตรายก็อาจทำให้โค้ดแปลกปลอมถูกรันบนระบบได้