MITRE เปิดเผยผลการสำรวจ 25 ข้อผิดพลาดและช่องโหว่ที่พบบ่อยที่สุดในซอฟต์แวร์ตลอดปี 2018 ถึง 2019 จากการรวบรวมและวิเคราะห์ข้อมูล CVE จาก National Vulnerability Database (NVD) รวมไปถึงการนำคะแนน CVSS มาประเมินโดยข้อผิดพลาดหรือช่องโหว่ที่มีผลกระทบสูงและพบบ่อยที่สุดในรอบนี้นั้นคือ Cross-site scripting หรือ XSS

Cross-site scripting เป็นลักษณะข้อผิดพลาดหรือช่องโหว่ที่มีรหัสอ้างอิงคือ CWE-79 ตามมาตรฐานของ Common Weakness Enumeration (CWE) โดยเป็นข้อผิดพลาดหรือช่องโหว่ที่มักเกิดจากการรับค่าที่ไม่ปลอดภัยมาประมวลและแสดงผลส่งผลให้ผู้ไม่ประสงค์สามารถแทรกโค้ดที่เป็นอันตรายเพื่อให้นำมาประมวลผลในฝั่งของผู้ใช้งานได้ XSS ได้คะแนน 46.82 มาเป็นอันดับหนึ่งของข้อผิดพลาดและช่องโหว่ที่พบมากที่สุด ในขณะเดียวกันข้อผิดพลาดและช่องโหว่ประเภท Out-of-bounds write นั้นมาเป็นอันดับสองด้วยคะแนนที่ไล่เลี่ยกันคือ 46.17

เราอาจจะคุ้นเคยกับแนวทางของ OWASP ที่ออกมาให้คำแนะนำเกี่ยวกับข้อผิดพลาดและช่องโหว่เหล่านี้ อย่างไรก็ตามไอ-ซีเคียวแนะนำให้ผู้อ่านเข้าไปดูรายละเอียดเพิ่มเติมจาก https://cwe.

รัฐบาลสหรัฐฯกำลังดำเนินการแก้ไขโครงการ CVE : Common Vulnerabilities and Exposures ที่มีปัญหาในช่วงหลายปีที่ผ่านมา

CVE ก่อตั้งมาเพื่อเป็นมาตรฐานกำหนดชื่อช่องโหว่ด้านความปลอดภัยซึ่งได้ยอมรับจากภาครัฐและเอกชน ก่อตั้งโดย MITRE โดยใช้เงินสนับสนุนจากรัฐบาลสหรัฐฯ ซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัยที่สุดทั่วโลกต่างใช้หมายเลข CVE เพื่อระบุและติดตามการโจมตีด้านไซเบอร์ โดยเจาะจงเฉพาะข้อบกพร่องของซอฟต์แวร์

ตั้งแต่ช่วงปลายปี 2015 ระบบ CVE เกิดปัญหาหลายอย่าง เช่น ออกเลข CVE ล่าช้า ซึ่ง MITRE กล่าวว่าสาเหตุความล่าช้าเกิดจากการเพิ่มจำนวนอย่างรวดเร็วของผู้ผลิตซอฟต์แวร์และการเพิ่มของ IOT โดยรายงานเมื่อปลายปี 2016 พบว่าองค์กรล้มเหลวในการออกเลข CVE ให้กับช่องโหว่กว่า 6,000 รายการที่ถูกค้นพบในปี 2015

ในช่วงปลายเดือนมีนาคมปี 2017 คณะกรรมการจากรัฐบาลสหรัฐฯได้เริ่มทำการตรวจสอบระบบ CVE ซึ่งเมื่อวันจันทร์ที่ผ่านมาคณะกรรมการได้สรุปผลการตรวจสอบและแนวทางปฏิบัติที่เสนอเพื่อแก้ไขปัญหาที่พบในระบบ CVE โดยพบปัญหาใหญ่สองข้อคือ 1. เงินทุนที่ได้รับลดลง และ 2. ขาดการกำกับดูแลโครงการ CVE

1. ปัญหาเงินทุนลดลง
คณะกรรมการพบว่าเงินทุนสนับสนุนโครงการ CVE ต่อปีลดลงกว่า 37 เปอร์เซ็นในช่วงปี 2012 ถึง 2015 จึงเสนอให้แก้ด้วยการจัดหาเงินทุนสนับสนุนอย่างต่อเนื่อง เพื่อลดความผันผวนของงบประมาณ น่าจะทำให้ MITER มุ่งเน้นที่จะใช้ฐานข้อมูล CVE แทนการกังวลเกี่ยวกับเงินทุนในอนาคต

2.ปัญหาขาดการกำกับดูแลโครงการ CVE
คณะกรรมการพบว่าแนวทางที่ปฏิบัติในอดีตสำหรับการจัดการโครงการ CVE ยังไม่เพียงพอ จึงเสนอให้ MITER ดำเนินการตรวจสอบเสถียรภาพและประสิทธิภาพของโครงการ CVE ในทุกๆ ปี เพื่อให้พบปัญหาก่อนที่มีปัญหาจะร้ายแรงและกระทบกับภาคอุตสาหกรรมด้านความปลอดภัยไซเบอร์

ที่มา: BLEEPINGCOMPUTER

Oracle ได้ปล่อยแพตช์การรักษาความปลอดภัยเพื่อแก้ไขปัญหาช่องโหว่ที่อาจเกิดจากการโจมตีจากระยะไกล ซึ่งส่งผลกระทบต่อเครื่อง MICROS point-of-sale (POS) ที่ถูกใช้แพร่หลายในอุตสาหกรรมด้านการบริการกว่า 300,000 ร้านค้าทั่วโลก โดยแพตช์ที่ปล่อยออกมาเป็นหนึ่งในแพตช์ Oracle เดือนมกราคม 2018 ซึ่งมีช่องโหว่ด้านความปลอดภัย 238 ช่องโหว่ในผลิตภัณฑ์ต่างๆ ของบริษัท

ช่องโหว่ (CVE-2018-2636) อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลสำคัญ ไฟล์บันทึกการบริการและไฟล์ Configuration ได้จาก MICROS workstation ที่มีช่องโหว่ โดยไม่จำเป็นที่จะต้องมีการตรวจสอบสิทธิ์ใด ๆ นักวิจัยเตือนว่า ผู้บุกรุกสามารถขโมยชื่อผู้ใช้และรหัสผ่านของฐานข้อมูลและเข้าถึงฐานข้อมูลทั้งหมดได้ นอกจากนี้ ERPScan ซึ่งเป็นผู้คนพบ ยังได้ทำการพิสูจน์การใช้ประโยชน์จาก Python ซึ่งถ้ารันบนเซิร์ฟเวอร์ MICROS ที่มีช่องโหว่ จะสามารถรันคำสั่งที่เป็นอันตรายเพื่อดึงไฟล์ข้อมูลสำคัญได้

แพทช์ Oracle ในเดือนมกราคมปีพ. ศ. 2561 ยังมีการแก้ไขปัญหาช่องโหว่ของโปรเซสเซอร์ Spectre และ Meltdown ที่มีผลต่อผลิตภัณฑ์ Oracle บางตัวอีกด้วย

ที่มา : thehackernews

Oracle ออกแพตช์แก้ไขช่องโหว่ของ Oracle Identity Manager เป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกลได้โดยไม่ต้องพิสูจน์ตัวตน

ช่องโหว่นี้มีระดับความรุนแรงตาม CVSS v3 อยู่ที่ระดับ 10 ได้รับรหัส CVE-2017-10151
เวอร์ชันที่ได้รับผลกระทบ คือ 11.1.1.7, 11.1.2.3, 12.2.1.3
แนะนำให้ผู้ใช้รีบทำการอัปเดตแพตช์โดยด่วน

ที่มา : oracle