Adobe ปล่อยแพทช์ประจำเดือนเมษายน แก้ไขช่องโหว่ทั้งหมด 43 รายการ ที่รวมถึงช่องโหว่สำคัญ (Critical) 24 รายการในผลิตภัณฑ์ 8 รายการด้วย

ช่องโหว่สำคัญ 24 รายการ เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ (code execution) บนผลิตภัณฑ์หลายรายการ ยกตัวอย่างเช่น Acrobat Reader, Adobe Flash และ Adobe Shockwave Player เป็นต้น สำหรับในรอบนี้ผลิตภัณฑ์ที่มีจำนวนช่องโหว่ที่ได้รับการแก้ไขมากที่สุด คือ Acrobat Reader มีทั้งหมด 21 รายการ และ 11 รายการเป็นช่องโหว่สำคัญ (Critical) ประกอบด้วย Acrobat DC (2019.010.20098 และก่อนหน้า), Acrobat Reader 2017 (2017.011.30127 และก่อนหน้า), Acrobat Reader DC Classic 2015 (2015.006.30482 และก่อนหน้า) ทั้งบน Windows และ macOS

นอกจากนี้ยังแก้ไขช่องโหว่การรันคำสั่งอันตรายใน Adobe Shockwave Player (เวอร์ชั่น 12.3.4.204 และก่อนหน้า) ทั้งหมด 7 รายการ, ใน Adobe Flash 1 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูล (information disclosure) อีก 1 รายการ, ใน Adobe XD 2 รายการ, ใน InDesign 1 รายการ, ใน Adobe Bridge CC 2 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูลอีก 6 รายการ และแก้ไขช่องโหว่ความรุนแรงระดับกลาง (Moderate) ใน Adobe Dreamweaver

ผู้ใช้งานที่มีการใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ ควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุด และติดตามข้อมูลเกี่ยวกับความปลอดภัยของผลิตภัณฑ์อย่างสม่ำเสมอ

ที่มา: threatpost

Adobe ได้ทำการแก้ไขช่องโหว่ที่มีสำคัญและร้ายแรง 75 รายการ ครอบคลุม Acrobat Reader DC, Adobe Flash Player, Adobe Coldfusion และ Creative Cloud Desktop

แพทช์ที่ออกมาเป็นการแก้ไขช่องโหว่ระดับร้ายแรง (Critical) 43 รายการใน Acrobat Reader ซึ่งรวมถึงแก้ไข ข้อผิดพลาด zero-day ที่ 0patch ได้ปล่อยแพทช์ชั่วคราวออกมาก่อนหน้านี้ ข้อผิดพลาดดังกล่าวทำให้ผู้โจมตีสามารถขโมยข้อมูลชื่อผู้ใช้งาน และรหัสผ่านที่อยู่ในรูปแบบของค่า hash นอกจากนี้ยังมีช่องโหว่อื่นๆ เช่น
- CVE-2018-19725 และ CVE-2019-7041 เป็นช่องโหว่ที่ทำให้ผู้ใช้งานสามารถเพิ่มระดับสิทธิ์ตัวเองได้ (Privilege Escalation)
- CVE-2019-7030 เป็นช่องโหว่ที่ทำให้มีการเปิดเผยข้อมูล

นอกจากนี้ยังมีช่องโหว่อื่นๆ อย่างเช่น ช่องโหว่ที่ทำให้สามารถสั่งรันคำสั่งได้ตามต้องการ และช่องโหว่ที่เกี่ยวกับการจัดการหน่วยความจำของข้อมูล (buffer, out of bound และ use-after-free) โดยเวอร์ชันที่ได้รับผลกระทบ ได้แก่ Acrobat DC และ Acrobat Reader DC Continuous (เวอร์ชั่น 2019.010.20069 และรุ่นก่อนหน้า) Acrobat และ Acrobat Reader Classic 2017 (เวอร์ชั่น 2017.011.30113 ขึ้นไป) และ Acrobat DC และ Reader DC Classic 2015 (รุ่น 2015.006.30464 และรุ่นก่อนหน้า) ทั้งบน Windows และ macOS

รวมทั้งช่องโหว่ใน ColdFusion (CVE-2019-7091) ส่งผลให้มีการเปิดเผยข้อมูลโดยไม่ตั้งใจ และช่องโหว่อื่นที่ได้รับการแก้ไข ได้แก่ ช่องโหว่การยกระดับสิทธิ์ (CVE-2019-7093) ใน Creative Cloud Desktop (รุ่น 4.7.0.400 และรุ่นก่อนหน้า), ช่องโหว่การเปิดเผยข้อมูล (CVE-2019-7090) ใน Adobe Flash (รุ่น 32.0.0.114 และก่อนหน้า บน Desktop Runtime, Google Chrome, Microsoft Edge และ IE 11)

แนะนำให้ผู้ใช้งานทำการอัพเดตแพทช์ที่ออกมาประจำเดือนกุมภาพันธ์นี้ เพื่อแก้ไขช่องโหว่ที่เกิดขึ้น

ที่มา: threatpost.

VMware ได้อัปเดตเพื่อแก้ไขความปลอดภัยบน AirWatch console ที่มีความรุนแรงอยู่ในระดับ Critical
โดยเป็นช่องโหว่ของการ Bypass SAML authentication
โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีควบคุมระบบที่ได้รับผลกระทบ

ผู้ดูแลระบบหรือผู้ใช้งานสามารถศึกษารายละเอียดได้จาก VMware Security Advisory (VMSA-2018-0024) และควรทำการอัปเดตให้เป็นเวอร์ชั่นปัจจุบัน

ที่มา: us-cert

แจ้งเตือนช่องโหว่ XSRF/CSRF บน phpMyAdmin ความร้ายแรงระดับ Critical

โครงการ phpMyAdmin ได้มีการปล่อยแพตช์ช่องโหว่รหัส PMASA-2017-9 ซึ่งเป็นช่องโหว่ XSRF/CSRF ที่ถูกระบุว่ามีความร้ายแรงระดับสูงสุด (critical) เมื่อช่วงปลายเดือนที่ผ่านมา โดยมีเวอร์ชันที่ได้รับผลกระทบคือเวอร์ชัน 4.7.x (ก่อนหน้า 4.7.7)

ช่องโหว่ Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการไม่ตรวจสอบแหล่งที่มาของข้อมูลที่ถูกส่งมาเว็บแอปพลิเคชันที่ชัดเจน รวมไปถึงไม่มีการป้องกันการส่งข้อมูลในลักษณะดังกล่าวที่เหมาะสม เช่น ผู้โจมตีอาจใช้ช่องโหว่นี้ในการหลอก/บังคับให้ผู้ใช้งานคลิก URL ที่ผู้โจมตีเตรียมไว้เพื่อใช้ประโยชน์จากสิทธิ์หรือการยืนยันตัวตนของผู้ใช้งาน ส่งผลเป็นการโจมตีระบบได้

แพตช์สำหรับช่องโหว่นี้มาแล้ว แนะนำให้ตรวจสอบรายละเอียดแพตช์จากแหล่งที่มา

Recommendation: แพตช์สำหรับช่องโหว่นี้มาแล้ว แนะนำให้ตรวจสอบรายละเอียดแพตช์จากแหล่งที่มา

ที่มา phpmyadmin

Cisco ออก Patch อุดช่องโหว่ WebEx ซึ่งเป็นแพลตฟอร์มของการติดต่อสื่อสารหรือประชุมออนไลน์ ที่มีช่องโหว่ความรุนแรงระดับ Critical ส่งผลให้ผู้โจมตีสามารถทำ Remote Code Execution ได้
ช่องโหว่ 6 รายการ ส่งผลกระทบต่อ WebEx Network Recording Player สำหรับ Advanced Recording Format (ARF) และไฟล์ WebEx Recording Format (WRF) ทำให้ผู้บุกรุกสามารถโจมตีได้จากระยะไกลเพื่อทำให้เกิด Denial-of-Service (DoS) ในซอฟต์แวร์และอาจจะรันโค้ดที่เป็นอันตรายโดยการหลอกให้เหยื่อเปิดไฟล์ ARF หรือ WRF ที่สร้างขึ้นมาเป็นพิเศษ และผู้บุกรุกยังสามารถส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อได้ทางอีเมลล์หรือสั่งให้เปิดเว็บโฮสติ้งได้อีกด้วย

ช่องโหว่ที่ได้รับการแก้ไข ได้แก่ WebEx Business Suite meeting sites, WebEx Meetings sites, WebEx Meetings Server, และ WebEx ARF และ WRF Players Cisco ให้ข้อมูลรายละเอียดเกี่ยวกับเวอร์ชันที่ได้รับผลกระทบและการแก้ไข โดยช่องโหว่ได้รับรหัส CVE ดังต่อไปนี้ : CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371 และ CVE-2017-12372
ช่องโหว่เหล่านี้ถูกรายงานโดย Andrea Micalizzi (rgod) และ Steven Seeley จาก Offensive Security โดยใช้ Zero Day Initiative ของ Trend Micro (ZDI)

ที่มา: securityweek

Cisco ได้ทำการ patch ช่องโหว่ความรุนแรงระดับสูง(High) และสูงมาก(Critical) ที่พบในผลิตภัณฑ์ ซึ่งประกอบไปด้วย Cloud Services Platform (CSP), Firepower Extensible Operating System (FXOS), NX-OS และ Small Business IP phones ช่องโหว่ที่ร้ายแรงที่สุดในครั้งนี้คือ CVE-2017-12251, เป็นการเข้าถึงโดยไม่ได้รับอนุญาติซึ่งส่งผลต่อ Cloud Services Platform 2100

Cloud Services Platform(CSP) เป็นบริการที่ถูกใช้ในหลายองค์กร เพื่อที่จะนำบริการของ Cisco หรือบริการ Virtual Network รายอื่นๆ มาใช้งาน ช่องโหว่นี้ถูกพบใน Web Console ของ CSP หากโจมตี และสามารถ Authenticate ได้สำเร็จ จะสามารถเข้าถึงบริการ หรือแม้กระทั่ง virtual machines (VMs) บนอุปกรณ์ CSP ที่ได้รับผลกระทบ รายงานได้ระบุว่ายังไม่พบว่ามีการโจมตีช่องโหว่นี้เกิดขึ้น โดยเวอร์ชันที่ได้รับผลกระทบ คือ 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 และ 2.2.2

นอกจากนี้ Cisco ยังได้แจ้งไปยังลูกค้าเกี่ยวกับเรื่องช่องโหว่ความรุนแรงระดับสูงของ DoS(CVE-2017-3883) ซึ่งส่งผลกระทบต่อการ Authentication, การ Authorization และ Accounting(AAA) บน FXOS และ NX-OS ผู้โจมตีสามารถทำการ brute-force login กับตัวเครื่องที่มีการตั้งค่าด้วยระบบป้องกัน AAA หากสำเร็จจะสามารถทำการ remote เข้ามาสั่งรีโหลดตัวเครื่องได้ โดยช่องโหว่มีผลกระทบต่อ Firepower appliances, Nexus, Multilayer Director switches, และ Unified Computing System บางตัว

Cisco ยังมีการะบุเพิ่มเติมถึงช่องโหว่อีกสองตัว CVE-2017-12260 และ CVE-2017-12259 ซึ่งส่งผลกระทบต่อ Small Business IP phones โดยช่องโหว่ตัวแรกส่งผลกระทบต่อการทำงานของ Session Initiation Protocol (SIP) ใน IP Phones รุ่น SPA50x, SPA51x และ SPA52x, ตัวที่สองส่งผลกระทบต่อการทำงานเช่นเดียวกัน แต่เป็น IP Phones รุ่น SPA51x เท่านั้น ช่องโหว่สองตัวนี้ทำให้เกิด DoS จากการส่งคำขอพิเศษที่ถูกดัดแปลงแล้ว(specially crafted SIP requests) ไปยังเครื่องเป้าหมาย

ที่มา: securityaffairs

Jenkins ออกแพตช์ด้านความปลอดภัยครอบคลุมหลาย 10 ช่องโหว่

Jenkins ประกาศแพตช์ด้านความปลอดภัยวันนี้โดยมีช่องโหวที่ถูกปิดโดยแพตช์ดังกล่าวหลายช่องโหว่ ได้แก่ ช่องโหว่ CSRF ทั้งหมด 22 ช่องโหว่ ช่องโหว่รันโค้ดจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตน 1 ช่องโหว่ซึ่งเป็นปัญหาในกระบวนการ serialization มีความร้ายแรงระดับ critical และช่องโหว่ปลอมแปลงชื่อผู้ใช้งานบน CLI หนึ่งช่องโหว่

สำหรับเวอร์ชันของ Jenkins ที่ได้รับผลกระทบจากใน main line คือเวอร์ชันน้อยกว่า 2.57 และใน LTS คือน้อยกว่าเวอร์ชัน 2.46.2 แนะนำให้อัพเดตเพื่อลดความเสี่ยงของช่องโหว่โดยด่วน

ที่มา: jenkins

เมื่อวันที่ 9 เมษายน 2013 ที่ผ่านมาไมโครซอฟท์ได้ออกแพทช์แก้ไข 9 ช่องโหว่ ซึ่ง 2 ช่องโหว่นั้นอยู่ในระดับ Critical ส่วน 7 ช่องโหว่ที่เหลืออยู่ในระดับ Important
สำหรับช่องโหว่ในระดับ Critical นั้นเป็นช่องโหว่ที่อนุญาตให้ผู้ไม่หวังดีสามารถโจมตีเครื่องของเหยื่อที่เข้าเว็บไซต์ที่ฝังมัลแวร์ มีผลกระทบต่อ Microsoft Windows และ Internet Explorer

ที่มา: thehackernews