พบช่องโหว่ในเบราว์เซอร์ที่ใช้ในโทรศัพท์มือถือ 7 รายการมีความเสี่ยงต่อการใช้ช่องโหว่ “Address Bar Spoofing”

ในรายงานที่เผยแพร่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Rapid7 และ Rafay Baloch นักวิจัยด้านความปลอดภัยจากปากีสถานได้เปิดเผยถึงช่องโหว่การปลอมแปลง address bar หรือ “Address bar spoofing” ในเว็บเบราว์เซอร์ที่จะอนุญาตให้เว็บไซต์ที่เป็นอันตรายสามารถแก้ไข URL ที่เเท้จริงและจะแสดง URL ของปลอมแทนได้

โดยรายงานที่ถูกเปิดเผยนั้นพบว่ามีช่องโหว่จำนวนสิบรายการและอยู่ในแอปพลิเคชันเบราว์เซอร์บนอุปกรณ์เคลื่อนที่เจ็ดรายการถูกติดตามด้วยรหัส CVE-2020-7363, CVE-2020-7364, CVE-TBD-Opera (3 รายการ), CVE-2020-7369, CVE-2020-7370, CVE-2020-7371, CVE-2020-9987 ซึ่งเว็บบราว์เซอร์ที่ได้รับผลกระทบในช่องโหว่นี้คือ Apple Safari , Opera Touch และ Opera Mini, Bolt, RITS, UC Browser และ Yandex Browser ทั้งนี้ช่องโหว่ทั้งหมดถูกรายงานไปยังผู้ผลิตเบราว์เซอร์แล้วในเดือนสิงหาคมที่ผ่านมาและผู้ผลิตเบราว์เซอร์บางส่วนได้ทำการเเก้ไขแล้ว

นักวิจัยด้านความปลอดภัยจาก Rapid7 กล่าวว่าช่องโหว่ทั้งหมดใช้ประโยชน์จากช่องโหว่ใน "JavaScript shenanigans” ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแอปพลิเคชันเบราว์เซอร์ที่ใช้ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet.

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet