อัปเดตด่วน! iPhone, iPad, Mac พบช่องโหว่ Zero Day ร้ายแรง แค่เปิดภาพก็เสี่ยงโดนแฮกเกอร์เล่นงาน มีการโจมตีจริงแล้ว!
Apple แจ้งเตือนผู้ใช้และออกอัปเดตความปลอดภัยฉุกเฉินสำหรับ iPhone, iPad และ Mac หลังตรวจพบช่องโหว่ Zero-Day รหัส CVE-2025-43300 ที่ถูกใช้โจมตีจริง โดยเป็นปัญหาใน ImageIO Framework ซึ่งจัดการการอ่านและประมวลผลไฟล์ภาพ หากผู้ใช้เปิดไฟล์ที่ถูกออกแบบมาเป็นพิเศษ อาจทำให้เกิดการเขียนข้อมูลนอกขอบหน่วยความจำ (out-of-bounds write) ส่งผลให้ระบบถูกแฮ็กเกอร์แทรกแซงได้
“มีการโจมตีจริงแล้ว”
Apple เปิดเผยว่า ช่องโหว่นี้ถูกใช้ในการโจมตีที่มีความซับซ้อนและมุ่งเป้าเฉพาะบุคคล (targeted attacks) โดยอาจเกี่ยวข้องกับกลุ่มที่อยู่เบื้องหลังสปายแวร์หรือการจารกรรมขั้นสูง และ CISA ได้จัดให้ CVE นี้เป็นหนึ่งในช่องโหว่ที่ “ถูกใช้งานจริง” (Known Exploited Vulnerabilities) ซึ่งควรรีบแก้ไขโดยเร็วที่สุด
อุปกรณ์ที่ได้รับผลกระทบ
Apple ระบุว่าช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์หลายประเภท โดยครอบคลุมทั้ง iPhone, iPad และ Mac รุ่นที่ยังได้รับการสนับสนุน ดังนี้
- iPhone: ตั้งแต่รุ่น iPhone XS ขึ้นไป
- iPad: รวมถึง iPad Pro ทุกรุ่น, iPad Air (รุ่นที่ 3 และใหม่กว่า), iPad (รุ่นที่ 6 และใหม่กว่า), และ iPad mini (รุ่นที่ 5 และใหม่กว่า)
- Mac: ทุกเครื่องที่รัน macOS เวอร์ชันล่าสุด
- Apple Vision Pro: ที่ใช้ visionOS 1.2.1
- Safari บน macOS Monterey และ macOS Ventura: ผู้ที่ยังไม่ได้อัปเกรดเป็น macOS Sonoma
ผู้ใช้ทุกกลุ่มควรตรวจสอบการอัปเดตระบบปฏิบัติการ และติดตั้งแพตช์ล่าสุดทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี
ทำไมแค่เปิดภาพจึงมีอันตราย – รายละเอียดช่องโหว่และความเสี่ยง
ช่องโหว่นี้ถือว่า มีความร้ายแรงสูง เพราะสามารถนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution) เพียงแค่ผู้ใช้เปิดดูภาพที่แฝงโค้ดการโจมตีไว้ ไม่จำเป็นต้องคลิกลิงก์หรือดาวน์โหลดไฟล์เพิ่มเติม
Apple ระบุว่า การโจมตีมีความซับซ้อนสูงและมุ่งเป้าไปยัง “บุคคลเฉพาะกลุ่ม” มากกว่าการโจมตีแบบวงกว้าง ทำให้มีความเป็นไปได้สูงว่าถูกใช้ในแคมเปญสอดแนมหรือการโจมตีแบบ APT (Advanced Persistent Threat)
แม้ไฟล์ภาพจะดูเหมือนข้อมูลธรรมดา แต่ในความจริงไฟล์เหล่านี้มีโครงสร้างข้อมูลที่ซับซ้อน หากแฮกเกอร์สร้างไฟล์ภาพที่แฝงการโจมตีไว้ เมื่อระบบ ImageIO ทำการประมวลผล เช่น แสดงตัวอย่างภาพหรืออ่านค่า metadata โปรแกรมอาจเจอข้อมูลที่ทำให้เกิดการเขียนเกินขอบหน่วยความจำ ส่งผลให้โค้ดอันตรายถูกเรียกใช้งานได้ทันที โดยที่ผู้ใช้แทบไม่ต้องทำอะไรนอกจากเปิดหรือรับไฟล์ภาพนั้น
ยิ่งไปกว่านั้น ไฟล์ภาพที่ฝังโค้ดอันตรายอาจถูกส่งมาถึงเหยื่อได้หลายช่องทาง เช่น การโจมตีแบบ Phishing ผ่านอีเมลหรือแอปแชตอย่าง Line, WhatsApp และ iMessage การใช้ Social Engineering หลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่ดูน่าเชื่อถืออย่าง “บัตรเชิญ” หรือ “ใบเสร็จ” รวมถึงการฝังในเว็บไซต์และโฆษณา (malvertising) ที่เบราว์เซอร์ต้อง render ภาพโดยอัตโนมัติ ทำให้การโจมตีเกิดขึ้นได้โดยที่เหยื่อไม่รู้ตัว
เพื่อแก้ไขปัญหานี้ Apple ได้ปรับปรุงระบบ bounds checking ภายใน ImageIO เพื่อป้องกันปัญหาดังกล่าว พร้อมยืนยันว่าการอัปเดตครั้งนี้สามารถปิดช่องโหว่ได้อย่างสมบูรณ์
อุปกรณ์และเวอร์ชันที่ได้รับอัปเดต
แพตช์ฉุกเฉินครั้งนี้ครอบคลุมอุปกรณ์และระบบปฏิบัติการหลากหลายรุ่น ได้แก่
- iPhone: iOS 18.6.2 สำหรับ iPhone XS และรุ่นใหม่กว่า
- iPad: iPadOS 18.6.2 และ iPadOS 17.7.10 ครอบคลุม iPad Pro ทุกรุ่น, iPad Air รุ่นที่ 3 ขึ้นไป, iPad Mini รุ่นที่ 5 ขึ้นไป และ iPad รุ่นที่ 7 ขึ้นไป
- Mac: macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 และ macOS Ventura 13.7.8
ผู้ใช้งานสามารถอัปเดตได้ทันทีผ่านเมนู Settings > General > Software Update บนอุปกรณ์ iPhone/iPad และ System Settings > General > Software Update บน Mac สำหรับผู้ที่เปิดใช้งานการอัปเดตอัตโนมัติ อุปกรณ์จะติดตั้งแพตช์โดยอัตโนมัติในไม่กี่วันข้างหน้า
อย่างไรก็ตาม เราควร “ตรวจสอบและอัปเดตเองทันที” โดยไม่รอระบบ เพราะ Zero-Day ครั้งนี้ถูกโจมตีจริงแล้ว และมีความเสี่ยงสูง โดยเฉพาะผู้ใช้ที่อาจเป็นเป้าหมายของการโจมตีแบบเจาะจง (targeted attack)