Google เตรียมปล่อยแพตช์ช่องโหว่ Zero-day เพิ่มอีก 2 รายการหลังจากมีการติดต่อมาจากนักวิจัยด้านความปลอดภัยนิรนามเกี่ยวกับรายละเอียดของช่องโหว่และความเป็นไปได้ที่ทั้งสองช่องโหว่จะถูกใช้เพื่อโจมตีจริงแล้ว

ช่องโหว่แรกคือ CVE-2020-16013 เป็นช่องโหว่ซึ่งเกิดจากการอิมพลีเมนต์ที่ไม่ถูกต้องของ WebAssembly และเอนจินจาวาสคริปต์ ส่วนอีกช่องโหว่หนึ่งคือ CVE-2020-16017 ซึ่งเป็นช่องโหว่ use-after-free ในฟีเจอร์ Site isolation ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้ ในขณะนี้รายละเอียดของช่องโหว่รวมไปถึงข้อมูลของผู้โจมตีซึ่งใช้ช่องโหว่นั้นยังคงถูกจำกัด คาดว่าจะมีการปล่อยข้อมูลออกมาหลังจากมีการแพตช์ออกซักระยะหนึ่งต่อไป

จากสถิติที่ผ่านมา Google ออกแพตช์ Zero-day ไปทั้งหมดกว่า 5 ช่องโหว่ในช่วงเวลาหนึ่งเดือน ลักษณะดังกล่าวส่อเค้าให้เห็นถึงความเป็นไปได้ว่าอาจมีกลุ่มของผู้โจมตีที่กำลังเคลื่อนไหวและมีการใช้ช่องโหว่ใน Google Chrome ในการโจมตีจริงอยู่ ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์และติดตั้งแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีอย่างใกล้ชิด

ที่มา: bleepingcomputer.

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

Google เตรียมพร้อมเผยแพร่ฟีเจอร์ใหม่ที่จะช่วยให้ผู้ใช้งานสามารถสังเกตความพยายามในการปลอมแปลง URL (URL spoofing) ซึ่งมักเป็นเทคนิคที่ถูกใช้ในการหลอกลวงใน Google Chrome เวอร์ชัน 86

จาการวิจัยโดย Google และมหาวิทยาลัยอิลลินอยส์ ในแคมเปญ Urbana-Champaign พบว่า 60% ของผู้ใช้ที่ถูกหลอกลวงให้ไปยัง URL ที่ทำให้เข้าใจผิดคิดว่าเป็นแบรนด์หรือชื่อที่ถูกต้อง โดยเพื่อป้องกันการโจมตีลักษณะดังกล่าวผู้พัฒนาเว็บเบราว์เซอร์ได้เริ่มทดสอบวิธีการต่างๆ เช่นการแสดงเฉพาะส่วนที่โดเมนได้ทำการลงทะเบียนหรือการไฮไลต์ในแถบ Address Bar แทนที่จะแสดง URL แบบเต็ม

ทั้งนี้ Google ได้วางเเผนเพื่อทำการทดสอบฟีเจอร์ดังกล่าวเพื่อเตรียมความพร้อมสำหรับการใช้งานใน Google Chrome เวอร์ชั่น 86 ที่จะได้รับการเปิดตัวในเดือนตุลาคมที่จะถึงนี้ โดยใน Chrome 86 จะแสดงเฉพาะชื่อโดเมนตามค่าเริ่มต้นและ URL แบบเต็มเมื่อผู้ใช้วางเมาส์ใน Address Bar หรืออีกวิธีหนึ่งคือผู้ใช้สามารถคลิกขวาที่ URL และเลือก “Always show full URLs” หากผู้ใช้งานไม่ชอบฟีเจอร์ที่เพิ่มเข้ามานี้

สำหรับผู้ที่สนใจอยากเข้าร่วมการทดสอบนี้ Google เปิดให้ผู้ใช้ทดสอบและสามารถติดตั้งใน Google Chrome เวอร์ชั่น Canary หรือ Dev โดยสามารถเปิดใช้านได้ใน chrome://flags เพื่อเปิดใช้งานฟีเจอร์ดังกล่าว

ที่มา: securityweek.

Google เปิดให้อัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Google Chrome ก่อนเวอร์ชั่น 80.0.3987.149 ช่องโหว่ค้นพบโดย David Manouchehri นักล่าเงินรางวัลและเป็นผู้ค้นพบช่องโหว่ CVE-2020-6422 ที่เป็นช่องโหว่ Use After Free (UAF) ใน WebGL และรับเงินรางวัล $8,500 จากโคงการ bug bounty ของ Google

รายละเอียดช่องโหว่

CVE-2020-6422 เป็นช่องโหว่โจมตีจากระยะไกล (REC) ที่จะอนุญาติให้ผู้โจมตีฯ heap ทำให้เกิด heap corruption ผ่าน HTML ที่ผู้โจมตีสร้างขึ้น

การอัปเดตความปลอดภัย

Google ยังระบุการเเก้ไขช่องโหว่ความปลอดภัยอีกจำนวน 13 รายการ และได้เปิดอัปเดต Chrome เวอร์ชั่น 80.0.3987.149 ที่สามารถใช้งานและดาวน์โหลดได้ใน Windows, Mac OS และ Linux

ที่มา : google-chrome-bugs

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

Google ได้ปล่อยอัพเดท Google Chrome เวอร์ชัน 71.0.3578.98 สำหรับ Windows, Mac และ Linux แล้ว โดยเวอร์ชันนี้ได้ปิดช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถใช้เพื่อเข้ามาควบคุมระบบ รวมทั้งมีความสามารถใหม่ๆ สำหรับอุปกรณ์ Google Pixel Slate ด้วย

The National Cybersecurity and Communications Integration Center (NCCIC) ซึ่งเป็นส่วนหนึ่งของหน่วยงานด้านความปลอดภัยระบบรักษาความปลอดภัยบนอินเทอร์เน็ตและเครือข่าย (CISA) แนะนำให้ผู้ใช้และผู้ดูแลระบบ ติดตามประกาศต่างๆ จาก Google และทำการอัพเดทเวอร์ชันใหม่อยู่เสมอ

ที่มา : us-cert

Google มีการเปิดตัวเวอร์ชันใหม่สำหรับ Google Chrome ในรุ่น 62 ซึ่งนอกจากจะมีฟีเจอร์ใหม่ๆ จำนวนมาก Google Chrome ในเวอร์ชันนี้ยังมีการปรับปรุงและการเพิ่มฟีเจอร์ความปลอดภัยใหม่ๆ กว่าอีก 35 รายการ

ฟีเจอร์ใหม่ที่น่าสนใจคือ การรองรับ Fonts แบบ OpenType, การจับภาพ stream DOM และการแจ้งเตือน HTTP สำหรับเมื่อมีการใช้งานในโหมดระบุตัวตนและ Payment API สำหรับ iOS เป็นต้น ในส่วนของแพตช์ด้านความปลอดภัยนั้นมีแพตช์ที่มีความเสี่ยงสูงจำนวน 8 รายการ, ความเสี่ยงปานกลาง 7 รายการ และความเสี่ยงต่ำ 5 รายการ

แนะนำให้ผู้ใช้งานทำการดาวโหลดและติดตั้งเวอร์ชันล่าสุดในทันที

ที่มา : bleepingcomputer

Google Chrome 63 เพิ่มฟีเจอร์ด้านความปลอดภัยใหม่ที่จะตรวจจับเมื่อ third-party software ทำการโจมตี Man-in-the-Middle (MitM) เพื่อเข้าถึงทราฟิกหรือการเชื่อมต่ออินเทอร์เน็ตของผู้ใช้
การโจมตีแบบ MitM นี้จะเกิดขึ้นได้จากการที่มี Application บนเครื่องของผู้ใช้งานหรือเครื่องอื่นๆ ภายใน Local Network เดียวกันพยายามดักฟังและแก้ไขหรือเปลี่ยนแปลง Traffic ของผู้ใช้งาน
สำหรับการโจมตีแบบ MitM ส่วนที่ยากที่สุดคือจัดการกับทราฟิิกบน HTTPS ซึ่งการโจมตีลักษณะนี้มักไม่สามารถทำการ Rewrite การเชื่อมต่อที่เข้ารหัสของผู้ใช้งานได้อย่างสมบูรณ์ ทำให้เกิด SSL Error ที่ Google Chrome สามารถตรวจจับได้ ซึ่งฟีเจอร์ใหม่บน Chrome 63 สามารถทำการตรวจจับและแจ้งเตือนเหตุการณ์ลักษณะนี้ได้ชัดเจนมากขึ้น ทำให้ผู้ใช้งานรู้ตัวว่าการเชื่อมต่อของตนเองนั้นกำลังตกอยู่ในอันตราย
โดย Google จะทำการเปิดตัว Chrome 63 ในวันที่ 5 ธันวาคม โดยในระหว่างนี้ผู้ใช้สามารถดูตัวอย่างได้จาก Google Canary

ที่มา : bleepingcomputer

นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software

เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ

ที่มา : TheHackerNews