GitHub rolls out new token scanning, security alert features

GitHub ได้นำเสนอความสามารถใหม่เพื่อช่วยสแกนโทเค็นใน repository สาธารณะและแจ้งเตือน

GitHub ประกาศคุณลักษณะด้านความปลอดภัยใหม่ๆ เมื่อวันอังคารที่ผ่านมา ซึ่งมีจุดมุ่งหมายเพื่อช่วยให้นักพัฒนาซอฟต์แวร์ปลอดภัยจากช่องโหว่ และช่วยให้เก็บข้อมูลที่สำคัญ เช่น โทเค็นการเข้าถึง และ code ที่ไม่เปิดเผยต่อสาธารณะได้ปลอดภัยขึ้น ล่าสุดบริษัทได้ประกาศความสามารถใหม่ที่จะช่วย scan โทเค็น และ credential ใน repository สาธารณะ ที่ใช้สำหรับบริการของ cloud อย่างเช่น AWS, Azure, Google, Slack และ GitHub เอง โดยอาจจะเป็น private key ที่เกี่ยวข้องกับบัญชีผู้ใช้งานของ GitHub ที่ยังไม่ถูกเข้ารหัส ซึ่งเพิ่มเติมมาจากของเดิมที่ช่วย scan เพียงแค่โทเค็นของ GitHub OAuth และโทเค็นส่วนตัวเท่านั้น

การเปิดเผยโทเค็นไว้ในแหล่งข้อมูลสาธารณะนั้นถือว่าเป็นปัญหาใหญ่มาก เนื่องจากผู้ที่ได้ไปนั้นจะสามารถเข้าถึงข้อมูลที่ไม่ต้องการเปิดเผยได้อย่างง่ายดาย ซึ่งประเด็นนี้ถูกหยิบยกมาพูดถึงหลังจากเมื่อเดือนที่แล้ว Facebook พบกับปัญหาด้านความปลอดภัย ที่ส่งผลให้แฮกเกอร์สามารถขโมยโทเค็นสำหรับเข้าถึงบัญชีไปได้อย่างมากมาย นักพัฒนาซอฟต์แวร์ที่ใช้ GitHub อาจเผลอใส่ข้อมูลโทเค็นสำคัญไว้ใน code ที่เปิดเป็นสาธารณะเอาไว้ เมื่อ scan เจอจะมีการแจ้งให้ผู้ให้บริการของโทเค็นรับทราบ เพื่อสร้างโทเค็นใหม่ และแจ้งให้แก่ผู้ใช้งาน

นอกจากนี้ยังมีการประกาศ Security Advisory API ซึ่งจะรวมข้อมูลความปลอดภัยจากแหล่งต่างๆ และช่วยในการอัพเดตให้หากเป็นปัญหาที่เกี่ยวข้อง Project ต่างๆ บนแพลตฟอร์มของ GitHub โดย API จะช่วยให้ผู้ใช้สามารถทำการอัพเดตความปลอดภัยต่างๆ บน Project ของตนเองได้ง่ายขึ้น นอกจากนี้ยังได้เพิ่มเติมการแจ้งช่องโหว่ด้านความปลอดภัยสำหรับภาษา Java และ .NET ซึ่งก่อนหน้านี้รองรับแค่ JavaScript, Ruby และ Python เท่านั้น

ที่มา:cyberscoop

Researcher Discloses New Zero-Day Affecting All Versions of Windows

ทีมนักวิจัย security เปิดเผยช่องโหว่ zero-day ที่ยังไม่ได้รับการแพตช์ของระบบปฏิบัติการ windows หลังจากที่ Microsoft ไม่สามารถออกแพตช์เพื่อแก้ไขได้ทันภายใน 120 วันที่ทีมนักวิจัยตั้งเส้นตายไว้

จากการค้นพบของ Lucas Leong ทีมวิจัยของ Trend Micro ช่องโหว่ zero-day ดังกล่าวอยู่ภายใน Microsoft Jet Database Engine มันสามารถทำให้ผู้โจมตีสามารถโจมตีแบบ Remote execution ได้ Microsoft JET Database Engine หรือที่เรียกง่ายๆ ว่า simply JET (Joint Engine Technology) คือเครื่องมือที่คอยจัดการฐานข้อมูลที่มีความซับซ้อนอยู่ภายในหลายผลิตภัณฑ์ของ Microsoft รวมไปถึง Microsoft Access และ Visual Basic จากคำแนะนำของ Zero Day Initiative (ZDI) ช่องโหว่ดังกล่าวเป็นปัญหาเกี่ยวกับการจัดการ index ภายใน Jet database engine ถ้าสามารถ exploit สำเร็จจะทำให้สามารถเขียน out-of-bounds memory ได้ ทำให้เกิดการ remote code execution ทั้งนี้ผู้โจมตีจะต้องโน้มน้าวเหยื่อให้เปิดไฟล์ JET database ที่ถูกสร้างมาเพื่อใช้โจมตีช่องโหว่

นักวิจัย ZDI อ้างว่าช่องโหว่มีอยู๋ใน Windows ทุกเวอร์ชันที่ยังได้รับการ support อยู่ นั่นคือ Windows 10, Windows 8.1, Windows 7 และ Windows Server Edition 2008 ถึง 2016 ทั้งนี้มีการเผยแพร่ Proof of concept โค้ดแล้วบน GitHub อย่างไรก็ตาม Microsoft กำลังพัฒนาแพตช์ของช่องโหว่ แต่เนื่องจากไม่ได้อยู่ในแพตช์เดือนกันยายน จึงคาดวาช่องโหว่จะถูกแก้ไขในแพตช์เดือนตุลาคมแทน ซึ่ง Trend Micro แนะนำให้ผู้ที่ได้รับผลกระทบทุกคนใช้งานเฉพาะไฟล์ที่เชื่อถือได้เท่านั้นจนกว่า Microsoft จะทำการออกแพตช์

ที่มา : thehackernews

Hacker leaks Snapchat’s source code on Github

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread

GitHub เผยรายละเอียดการโดนยิง DDoS จากจีน, Baidu ปฏิเสธไม่เกี่ยวข้อง

เว็บไซต์ในประเทศจีนที่มีการลงโฆษณาจากเว็บ Baidu เมื่อเข้าเว็บไซต์ดังกล่าวจากนอกประเทศจีน จะพบหน้าจอป๊อบอัพขึ้นมาทุกๆ 5 วินาที เบื้องต้นคาดว่าน่าจะเป็นการโจมตีประเภท Cross-Site Scripting (XSS) จึงได้ตรวจสอบโค้ดดังกล่าวแล้วพบว่ามีการเรียกไปยัง URL ของ GitHub จำนวนสอง URL คือ github.