นักวิเคราะห์ด้านความปลอดภัยเผย iOS กับ OS X มีช่องโหว่ SSL/TLS Authentication ตั้งแต่เดือนตุลาคม 2013

เมื่อวานนี้ถ้าทราบกัน เราจะรู้ว่า Apple ปล่อยอัพเดตด่วนให้กับอุปกรณ์ iDevice ทุกตัว โดยไม่ระบุว่าเป็นเพราะอะไร แต่ล่าสุดจากการสืบค้นก็เป็นเพราะว่า Apple อัพเดตแพตช์นี้เป็นการด่วน เพราะอุปกรณ์จาก Apple ทุกตัว มีช่องโหว่ของ SSL/TLS Authentication อยู่ และเป็นปัญหาที่มีมาตั้งแต่เดือนตุลาคม 2013 แล้วด้วย

โดยนักวิเคราะห์ความปลอดภัยได้ระบุต่อว่า ช่องโหว่นี้มีมาตั้งแต่ก่อนเดือนตุลาคม ส่วนสาเหตุก็คือ Apple ใส่คำสั่ง goto fail; เกินมา 1 บรรทัด ผลก็คือทำให้ไม่สามารถตรวจสอบค่า Hostname ที่ผิดพลาดในใบรับรอง SSL ของแต่ละเว็บไซต์ได้ ดังนั้นจึงทำให้ iOS 6.1, iOS 7 และ OS X 10.9 มีช่องโหว่นี้ทั้งหมด

อย่างไรก็ดี มีนักวิเคราะห์ด้านความปลอดภัยเผยว่า วิธีการแก้ไขปัญหานี้ก็คือควรอัพเดต iOS 7.0.6 หรือ iOS 6.1.6 โดยเร็วที่สุด เพราะ Apple ได้แก้ไขปัญหานี้ไปแล้ว ส่วนฝั่ง Macintosh นั้นแนะนำให้ผู้ใช้ย้ายระบบปฏบัติการ หรือหยุดใช้งานชั่วคราวจนกว่า Apple จะออกอัพเดตมาแก้ไขปัญหานี้ให้ เพราะความเสียหายจากช่องโหว่นี้ มันถึงขั้นที่สามารถส่งโค้ดอันตรายมารันบนเครื่องของผู้ใช้ได้เลยทีเดียวครับ

อย่างไรก็ดีถ้าผู้ใช้ OS X คนไหนไม่สะดวกที่จะย้ายระบบปฏิบัติการ หรือต้องหยุดใช้งานชั่วคราว นักวิเคราะห์ยังได้แนะนำต่อว่าให้ผู้ใช้เลือกใช้ Google Chrome แทน Safari ชั่วคราว เนื่องจากตัวบราวเซอร์มีไลบรารี NSS สำหรับใช้ในการตรวจสอบ SSL และไลบรารีตัวนี้ไม่ได้ผูกกับระบบปฏิบัติการด้วย จึงมีความปลอดภัยอยู่บ้าง แต่อย่างไรก็ดี ผู้ใช้ก็ไม่ควรที่จะเปิดโปรแกรม หรือแอปพลิเคชันที่มีการร้องขอการเชื่อมต่อ SSL/TLS และหยุดใช้โปรแกรมประเภท Auto-update ทุกอย่างรวมถึง Auto-update จาก Mac App Store ไปก่อน จนกว่า Apple จะออกอัพเดตเพื่อแก้ไขปัญหานี้ให้ครับ

และสุดท้ายนี้ Apple ได้ทราบปัญหาที่เกิดขึ้น พร้อมกับจะอัปเดตแก้ไขในฝั่ง OS X เร็วๆ นี้ ส่วน iOS ให้อัปเดต iOS 7.0.6 หรือ iOS 6.1.6 (สำหรับ iPhone 3GS / iPod touch 4th) ได้ทันที


ที่มา: MacRumors


ติดตามเราได้ที่ Facebook.com/MacStroke และ Twitter @MacStroke