Microsoft ได้เปิดตัว Publish API สำหรับนักพัฒนา Edge extension เวอร์ชันอัปเดต ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีนักพัฒนา และการอัปเดต extension ของเบราว์เซอร์

เมื่อมีการเผยแพร่ extension เบราว์เซอร์ใน Microsoft Edge ใหม่เป็นครั้งแรก นักพัฒนาจะต้องส่ง extension ดังกล่าวผ่าน Partner Center เมื่อได้รับการอนุมัติแล้ว การอัปเดตจะดำเนินการผ่าน Partner Center หรือ Publish API

ในส่วนของ Microsoft's Secure Future Initiative ทาง Microsoft กำลังเพิ่มระดับความปลอดภัยให้กับกลุ่มผลิตภัณฑ์ทั้งหมด รวมทั้งกระบวนการ browser extension publishing เพื่อป้องกันไม่ให้ extensions ถูกฝังด้วยโค้ดที่เป็นอันตราย

โดย Publish API ใหม่ที่เป็นความลับจะถูกสร้างเป็นคีย์ API แบบไดนามิกสำหรับนักพัฒนาแต่ละคน ซึ่งช่วยลดความเสี่ยงที่ข้อมูล static credentials จะถูกเปิดเผยภายในโค้ด หรือถูกการละเมิดอื่น ๆ

ขณะนี้ API keys เหล่านี้จะถูกเก็บไว้ในฐานข้อมูลของ Microsoft ในรูปแบบ hashes แทนที่จะเป็น keys โดยตรง ซึ่งจะช่วยป้องกันไม่ให้ API keys รั่วไหลได้

เพื่อเพิ่มความปลอดภัยให้มากขึ้น access token URLs จะถูกสร้างขึ้นมา และไม่จำเป็นต้องมีการส่งข้อมูลออกไป ในกรณีที่นักพัฒนามีการอัปเดต extension วิธีนี้ช่วยเพิ่มความปลอดภัย โดยมีการจำกัดความเสี่ยงในการเปิดเผย URL ซึ่งอาจใช้ในการส่งการอัปเดต extension ที่เป็นอันตราย

API ที่มีการเผยแพร่ใหม่นี้ keys จะหมดอายุ ภายใน 72 วัน และเมื่อเทียบกับ 2 ปีก่อนหน้านี้ การ Rotating secrets บ่อยขึ้น จะป้องกันไม่ให้มีการใช้งานในทางที่ผิดในกรณีที่ข้อมูลจะถูกเปิดเผย

นักพัฒนา Edge สามารถลองใช้การจัดการ API key ตัวใหม่ใน Partner Center dashboard ของตนเองได้

ซึ่งนักพัฒนาจะต้องสร้าง ClientId และ secrets รวมไปถึงกำหนดค่าไปป์ไลน์ CI/CD ที่มีอยู่ใหม่

นักพัฒนาซอฟต์แวร์มักตกเป็นเป้าหมายของการโจมตีแบบฟิชชิง และการโจมตีด้วยมัลแวร์เพื่อขโมยข้อมูล credentials อยู่เสมอ

โดยข้อมูล credentials เหล่านี้จะถูกนำไปใช้เพื่อขโมยโค้ดต้นฉบับ หรือเพื่อโจมตีกระบวนการทำงานของระบบ

ในขณะนี้ทาง Microsoft กำลังจัดระเบียบ process ใหม่ในรูปแบบ opt-in เพื่อลดการหยุดชะงักในการย้ายไปใช้ Publish API ใหม่ แต่คงไม่น่าแปลกใจหาก Publish API ที่อัปเดตจะกลายเป็นระบบบังคับในอนาคต

Microsoft ระบุว่า เพื่อลดการหยุดชะงักในการย้ายไปยัง Publish API ใหม่ จำเป็นต้องมีการทำ opt-in experience ซึ่งจะช่วยให้สามารถเปลี่ยนไปใช้ new experience ของตนเองได้

หากจำเป็น ผู้ใช้ยังสามารถยกเลิก และกลับไปใช้วิธีการแบบเดิมได้ แม้ว่าจะมีการสนับสนุนให้ผู้พัฒนาเปลี่ยนไปใช้วิธีการใหม่เนื่องจากมีความปลอดภัยมากกว่าก็ตาม

การปรับปรุงด้านความปลอดภัยที่มาพร้อมกับ Publish API ใหม่จะช่วยป้องกัน extension ของผู้ใช้ และเสริมประสิทธิภาพของกระบวนการทำงานมากขึ้น

ที่มา : bleepingcomputer

Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้

ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน

มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น

(more…)

โค้ดสำหรับโจมตีช่องโหว่ CVE-2018-8629 บนเว็บเบราเซอร์ Microsoft Edge ถูกเผยแพร่โดยนักวิจัยที่พบช่องโหว่นั้น โดยโค้ดนี้สามารถถูกใช้เพื่อทำการโจมตีจากระยะไกลบนเครื่องที่ยังไม่มีการแพตช์ได้

ช่องโหว่ CVE-2018-8629 กระทบ Chakra ซึ่งเป็น JavaScript engine ภายใน Edge ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งอันตรายด้วยสิทธิเดียวกับผู้ใช้งานที่เข้าสู่ระบบอยู่ ช่องโหว่นี้ถูกระบุว่ามีผลกระทบร้ายแรง (critical) กับระบบปฏิบัติการแทบทุกรุ่นของ Microsoft ยกเว้น Windows Server 2019 และ 2016 ที่ได้รับผลกระทบจากช่องโหว่นี้ระดับปานกลาง (moderate) ซึ่งทาง MIcrosoft ได้แก้ไขช่องโหว่นี้แล้วในแพตช์ปรับปรุงความปลอดภัยของเดือนธันวาคม 2018

Bruno Keith นักวิจัยผู้เป็นคนค้นพบช่องโหว่ได้ปล่อยตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ออกมาเมื่อวันที่ 28 ธันวาคม 2018 โดยโค้ดที่ถูกปล่อยออกมาโดยนักวิจัยสามารถทำให้เกิดการอ่านข้อมูลในหน่วยความจำเกินกว่าที่ควร (out-of-bounds memory read leak) ซึ่งไม่ทำให้เกิดผลกระทบร้ายแรงโดยตรง แต่สามารถถูกผู้ไม่หวังดีนำไปดัดแปลงต่อได้

ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตระบบเพื่อความปลอดภัยจากการโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer.