เบราว์เซอร์ Arc เปิดตัว Bug Bounty โปรแกรม หลังจากแก้ไขช่องโหว่ RCE

บริษัท The Browser Company ผู้ให้บริการ Arc Browser ได้เปิดตัวโครงการ Arc Bug Bounty เพื่อกระตุ้นให้นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ต่อโครงการ และรับเงินรางวัล

การพัฒนาครั้งนี้เกิดขึ้นเพื่อตอบสนองต่อช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical หมายเลข CVE-2024-45489 ซึ่งอาจทำให้ผู้โจมตีสามารถโจมตีผู้ใช้โปรแกรมในวงกว้างได้

โดยช่องโหว่ดังกล่าว ผู้โจมตีสามารถใช้ประโยชน์จาก Arc ที่ใช้ Firebase สำหรับการยืนยันตัวตน และการจัดการฐานข้อมูลเพื่อรันโค้ดตามที่ต้องการบนเบราว์เซอร์ของเป้าหมายได้

นักวิจัยพบช่องโหว่ระดับ Critical ในฟีเจอร์ Boosts (user-created customizations) ที่อนุญาตให้ผู้ใช้งานใช้ JavaScript ปรับเปลี่ยนเว็บไซต์เมื่อเข้าชมได้

นักวิจัยพบว่าสามารถทำให้โค้ด JavaScript ที่เป็นอันตรายทำงานในเบราว์เซอร์ของผู้ใช้รายอื่นได้ เพียงแค่เปลี่ยน creator ID ของ Boosts เป็น ID ของบุคคลอื่น และเมื่อผู้ใช้ Arc Browser เยี่ยมชมเว็บไซต์ดังกล่าว ก็จะเปิดใช้งานโค้ดที่เป็นอันตรายที่ถูกสร้างขึ้นโดยผู้โจมตี

แม้ว่าช่องโหว่ดังกล่าวจะปรากฏบนเบราว์เซอร์มาระยะหนึ่งแล้ว แต่ก็ได้รับการแก้ไขอย่างรวดเร็วในวันที่ 26 สิงหาคม 2024 หนึ่งวันหลังจากที่นักวิจัยเปิดเผยช่องโหว่ดังกล่าวต่อทีม Arc โดยพวกเขาได้รับรางวัล 2,000 ดอลลาร์

โครงการ Arc Bug Bounty

โครงการ Bug Bounty ที่ประกาศโดย The Browser Company ครอบคลุมถึง Arc บน macOS และ Windows และ Arc Search บนแพลตฟอร์ม iOS

การจ่ายเงินรอบนี้สามารถสรุปได้เป็น 4 หมวดหมู่หลักดังต่อไปนี้ ขึ้นอยู่กับความร้ายแรงของช่องโหว่ที่ค้นพบ

ช่องโหว่ระดับ Critical คือ การเข้าถึงระบบทั้งหมด หรือการใช้ประโยชน์ที่ส่งผลกระทบอย่างมีนัยสำคัญ (เช่น ไม่ต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 10,000 - 20,000 ดอลลาร์
ช่องโหว่ระดับ High คือ ปัญหาร้ายแรงที่ส่งผลต่อความสมบูรณ์ของเซสชัน การเปิดเผยข้อมูลที่สำคัญ หรือการเปิดใช้งานการเข้าควบคุมระบบ (รวมถึงช่องโหว่เบราว์เซอร์ extension บางส่วน) รางวัล: 2,500 - 10,000 ดอลลาร์
ช่องโหว่ระดับ Medium คือ ช่องโหว่ที่ส่งผลต่อ multiple tabs ที่มีผลกระทบต่อเซสชัน และข้อมูลที่จำกัด หรือการเข้าถึงข้อมูลที่สำคัญบางส่วน (อาจต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 500 - 2,500 ดอลลาร์
ช่องโหว่ระดับ Low คือ ปัญหาเล็กน้อยที่จำเป็นต้องมีการโต้ตอบจากผู้ใช้จำนวนมาก หรือมีขอบเขตจำกัด (เช่น ค่าเริ่มต้นที่ไม่ปลอดภัย และช่องโหว่ที่ยากต่อการนำใช้ในการโจมตี) รางวัล: สูงสุด 500 ดอลลาร์

รายละเอียดเพิ่มเติมเกี่ยวกับโครงการ Arc Bug Bounty{}

เกี่ยวกับช่องโหว่หมายเลข CVE-2024-45489 ทีมงาน Arc ระบุในประกาศล่าสุดว่า การซิงค์อัตโนมัติของ Boosts กับ JavaScript จะถูกปิดใช้งาน และมีการเพิ่มปุ่มปิดคุณสมบัติที่เกี่ยวข้องกับ Boost ทั้งหมดลงใน Arc 1.61.2 ซึ่งเป็นเวอร์ชันล่าสุดที่เปิดตัวเมื่อวันที่ 26 กันยายน 2024

นอกจากนี้ ยังมีการตรวจสอบจากผู้เชี่ยวชาญด้าน auditing ซึ่งอยู่ระหว่างการตรวจสอบ โดยจะครอบคลุมระบบที่ได้รับการสนับสนุนของ Arc

MDM configuration แบบใหม่ที่ใช้เพื่อปิดการใช้งาน Boosts สำหรับองค์กรจะเปิดตัวในอีกไม่กี่สัปดาห์ข้างหน้านี้

บริษัท The Browser Company เปิดเผยว่า ขณะนี้กำลังมีการร่างแนวปฏิบัติการเข้ารหัสใหม่ โดยเน้นไปที่การตรวจสอบ และทบทวนการทำงานเป็นพิเศษ รวมไปถึงกระบวนการตอบสนองต่อเหตุการณ์ที่มีการปรับปรุงใหม่เพื่อให้มีประสิทธิภาพมากขึ้น

Arc เปิดตัวเมื่อปีก่อน และได้รับความนิยมอย่างรวดเร็วด้วยการออกแบบอินเทอร์เฟซของผู้ใช้ที่มีความสร้างสรรค์ รวมไปถึงตัวเลือกการปรับแต่งที่ผสานรวมกับ uBlock Origin ทำให้มีประสิทธิภาพการทำงานที่รวดเร็ว ซึ่งทำให้ผู้โจมตีใช้ความนิยมของเบราว์เซอร์เพื่อส่งมัลแวร์ไปยังผู้ใช้งาน Windows

ที่มา : bleepingcomputer

เทคนิคการโจมตีใหม่ Dependency Confusion ใช้แฮกไปแล้ว 35 บริษัท Tech ไมโครซอฟต์ออก Whitepaper แจ้งเตือน

นักวิจัยด้านความปลอดภัย Alex Birsan และ Justin Gardner ได้มีการเผยแพร่เทคนิคการโจมตีใหม่ภายใต้ชื่อ Dependency Confusion ซึ่งอาศัยช่องโหว่ของการดาวน์โหลดและติดตั้งแพ็คเกจของนักพัฒนาในการลักลอบนำแพ็คเกจซึ่งเป็นอันตรายไปรันใน Environment ภายในของนักพัฒนา วิธีการนี้ถูกใช้ทดสอบกับกว่า 35 บริษัท Tech ซึ่งรวมไปถึง Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, และ Uber และสามารถใช้โจมตีได้จริง

คีย์หลักของการโจมตีนั้นอยู่ในจุดที่ว่า หากผู้โจมตีทราบถึงชื่อของไลบรารีหรือแพ็คเกจที่นักพัฒนาจะใช้งานภายในกระบวนการพัฒนาแอป ผู้โจมตีจะใช้ข้อมูลดังกล่าวในการนำไปสร้างเป็นไลบรารีหรือแพ็คเกจที่มีชื่อเหมือนกันใน Public repository แทนและสอดแทรกโค้ดที่เป็นอันตรายเข้าไปในลักษณะที่คล้ายกับ Supply-chain attack การโจมตีในลักษณะนี้ส่วนหนึ่งเกิดขึ้นได้เนื่องจากพฤติกรรมของ Package manager ที่จะใช้ความสำคัญกับแพ็คเกจที่อยู่บน Public repository มากกว่าที่อยู่ในระบบภายใน

สองนักพัฒนาได้ทำการทดสอบช่องโหว่นี้กับ Package manager อย่าง npm, RubyGems, PyPI, JFrog และ NuGet พบว่าสามารถใช้การโจมตีนี้ได้ทั้งหมด

การค้นพบช่องโหว่ดังกล่าวนำไปสู่การแจ้งเตือนยังบริษัทที่ได้รับผลกระทบ และส่งผลให้นักวิจัยทั้งสองได้รับรางวัลจากโครงการ Bug Bounty ไปกว่า 130,000 ดอลลาร์สหรัฐฯ หรือประมาณเกือบ 4 ล้านบาท

หลังจากมีการแจ้งช่องโหว่ ไมโครซอฟต์ได้มีการจัดทำ Whitepaper ขึ้นมาเพื่อให้คำแนะนำและระบุความเสี่ยงของเทคนิคการโจมตีนี้ เราขอแนะนำให้นักพัฒนาศึกษารายละเอียดเพิ่มเติมจาก azure เพื่อลดความเสี่ยงในการถูกโจมตี

บล็อกงานวิจัยต้นฉบับ: medium

ที่มา: zdnet, bleepingcomputer

TikTok ประกาศเปิดตัวโครงการ Bug Bounty ร่วมกับ HackerOne

TikTok ได้ประกาศเข้าร่วมโครงการ bug bounty ร่วมกับแพลตฟอร์ม HackerOne เพื่อเปิดโอกาสให้แฮ็กเกอร์และนักวิจัยด้านความปลอดภัยสามารถทำการให้ค้นหาช่องโหว่ในเว็บไซต์หลักซึ่งรวมถึงโดเมนย่อยต่างๆ และแอปพลิเคชันบน Android และ iOS

โดยช่องโหว่และข้อบกพร่องที่มีความรุนแรงสูง TikTok จะจ่ายให้กับผู้ค้นพบเป็นเงินรางวัลตั้งเเต่ 1,700 ถึง 6,900 ดอลลาร์(ประมาณ 53,074 ถึง 215,418 บาท) ทั้งนี้ช่องโหว่ที่มีความสำคัญและมีความรุนเเรงสูงผู้ค้นพบจะสามารถได้รับรางวัลสูงถึง 14,800 ดอลลาร์ (ประมาณ 461,959 บาท) ซึ่งจะพิจารณาจากคะแนนความรุนเเรง CVSS ของช่องโหว่

Luna Wu จากทีม TikTok Global Security ได้กล่าวว่าความร่วมมือในการหาช่องโหว่และข้อบกพร่องครั้งนี้จะช่วยให้ TikTok ได้รับข้อมูลเชิงลึกจากนักวิจัยด้านความปลอดภัยชั้นนำของโลก, นักวิชาการและผู้เชี่ยวชาญอิสระเพื่อเปิดเผยภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นได้ในแอปพลิเคชัน ซึ่งจะทำให้การป้องกันความปลอดภัยของ TikTok แข็งแกร่งยิ่งขึ้น

ที่มา: securityweek.

Singapore Ministry of Defence Announces Bug Bounty Program

กระทรวงกลาโหมสิงคโปร์ (MINDEF) ได้มีการประกาศเชิญชวนเหล่าแฮกเกอร์ทั่วโลกให้มาทำการเจาะระบบในโครงการ bug bounty ซึ่งจะกินเวลา 2 อาทิตย์ โดยจำกัดจำนวนผู้เข้าร่วมถึง 300 คน

ภายใต้โครงการดังกล่าว MINDEF ได้มีการประกาศผ่านทางแพลตฟอร์ม bug bounty ชื่อดัง HackerOne โดยระบุรายละเอียดไว้ว่า โครงการ bug bounty นี้นั้นจะมุ่งไปที่เป้าหมายที่เป็นระบบของทางภาครัฐและระบบด้านความมั่นคงที่สามารถเข้าถึงได้จากอินเตอร์เน็ต โดยมีมูลค่ารางวัลตั้งแต่ 110-15,000 ดอลลาร์สหรัฐฯ ตามความร้ายแรงและคุณภาพของช่องโหว่ที่เจอ

การแข่งขันจะเริ่มตั้งแต่วันที่ 15 มกราคมจนถึง 4 กุมภาพันธ์ 2018 และสามารถตรวจสอบรายละเอียดการแข่งขันเพิ่มเติมได้ที่ https://www.

Google adds its Chrome apps and extensions to Bug Bounty Program

ในปี 2010 Google ได้เริ่มโครงการแจกรางวัลให้ผู้ค้นพบบั้คทางด้านความปลอดภัย (bug bounty program) ใน Chrome และได้ขยายการแจกเงินรางวัลมายัง Chrome OS ในปี 2012 และล่าสุด Google ได้ประกาศขยายโครงการอีกรอบ โดยรอบนี้จะรวมถึงส่วนเสริม (extension) และแอพ (Chrome apps) รายการส่วนเสริมจาก Chrome Web Store ที่สร้างโดย Google เอง โดย Google กล่าวว่าส่วนเสริมหลายตัวอย่าง Hangouts หรือ Gmail Checker ที่มีผู้ใช้งานเป็นหลักล้านคน ถ้ามีบั้คความปลอดภัย อาจจะมีโอกาสสูงที่จะส่งผลกระทบต่อผู้ใช้จำนวนมาก ดังนั้น Google จึงตัดสินใจขยายโครงการ bug bounty ให้ครอบคลุมในส่วนนี้ โดย Google กำหนดอัตราการจ่ายเงินรางวัลอยู่ที่ 500 - 10,000 ดอลลาร์ โดยเงินรางวัลขึ้นอยู่กับความยาก-ง่ายของบั้คที่เจอและผลกระทบที่เกิดจากบัคนั้นๆ ถ้าหากผู้ใดพบปัญหาด้านความปลอดภัย สามารถแจ้งได้ที่ (https://www.