Google ได้ประกาศเปิดตัวฟีเจอร์ความปลอดภัยที่เรียกว่า Device Bound Session Credentials (DBSC) ในเวอร์ชัน open beta เพื่อให้มั่นใจว่าผู้ใช้จะได้รับการป้องกันจากการโจมตีด้วยการขโมยคุกกี้เซสชัน

DBSC ซึ่งเปิดตัวครั้งแรกในฐานะต้นแบบในเดือนเมษายน 2024 ได้รับการออกแบบมาเพื่อเชื่อมโยงเซสชันการยืนยันตัวตนกับอุปกรณ์ เพื่อป้องกันไม่ให้ผู้โจมตีใช้คุกกี้ที่ขโมยมาไปเข้าสู่บัญชีของเหยื่อ และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากอุปกรณ์อื่นที่อยู่ภายใต้การควบคุมของพวกเขา

Andy Wen ผู้อำนวยการอาวุโสฝ่ายการจัดการผลิตภัณฑ์ที่ Google Workspace ระบุว่า "ฟีเจอร์นี้พร้อมใช้งานในเบราว์เซอร์ Chrome บน Windows โดย DBSC จะเสริมความปลอดภัยหลังจากที่ผู้ใช้เข้าสู่ระบบ และช่วยเชื่อมโยงคุกกี้เซสชัน ซึ่งเป็นไฟล์ขนาดเล็กที่ใช้โดยเว็บไซต์เพื่อจดจำข้อมูลของผู้ใช้ เข้ากับอุปกรณ์ที่ผู้ใช้ยืนยันตัวตน"

DBSC ไม่ได้ถูกออกแบบมาเพื่อรักษาความปลอดภัยของบัญชีผู้ใช้เพียงหลังจากการยืนยันตัวตนเท่านั้น แต่ยังทำให้การใช้งานคุกกี้เซสชันซ้ำโดยผู้โจมตียากขึ้น และช่วยเพิ่มความสมบูรณ์ของเซสชัน

บริษัทยังได้ระบุเพิ่มเติมว่า การรองรับ Passkey ขณะนี้เปิดใช้งานทั่วไปสำหรับลูกค้า Google Workspace กว่า 11 ล้านราย พร้อมทั้งขยายการควบคุมสำหรับผู้ดูแลระบบ เพื่อทำการตรวจสอบการลงทะเบียน และจำกัดการใช้ Passkey ให้เฉพาะกับ physical security keys

สุดท้าย Google มีแผนที่จะเปิดตัว Shared Signals Framework (SSF) receiver ในเวอร์ชัน closed beta สำหรับลูกค้าบางราย เพื่อเปิดโอกาสในการแลกเปลี่ยนสัญญาณด้านความปลอดภัยที่สำคัญได้แบบเรียลไทม์โดยใช้มาตรฐาน OpenID

Wen ระบุว่า "Framework นี้ทำหน้าที่เป็นระบบที่แข็งแกร่งสำหรับ 'transmitters' เพื่อแจ้ง 'receivers' เกี่ยวกับเหตุการณ์สำคัญอย่างรวดเร็ว ซึ่งช่วยอำนวยความสะดวกในการประสานงานรับมือกับภัยคุกคามด้านความปลอดภัย"

"นอกเหนือจากการตรวจจับ และตอบสนองต่อภัยคุกคามแล้ว การแบ่งปันสัญญาณยังช่วยในการแบ่งปันคุณสมบัติต่าง ๆ เช่น ข้อมูลอุปกรณ์หรือผู้ใช้ ซึ่งจะช่วยเสริมสร้างการรักษาความปลอดภัยโดยรวม และกลไกการป้องกันร่วมกัน"

Google Project Zero เปิดตัว Reporting Transparency

การพัฒนานี้เกิดขึ้นเมื่อ Google Project Zero ซึ่งเป็นทีมด้านความปลอดภัยภายในบริษัทที่มีหน้าที่ในการตรวจหาช่องโหว่ zero-day ได้ประกาศนโยบายการทดลองใหม่ที่เรียกว่า Reporting Transparency เพื่อจัดการกับสิ่งที่ถูกเรียกว่า Upstream Patch Gap

โดยทั่วไปแล้ว Patch Gap หมายถึงระยะเวลาระหว่างที่การแก้ไขสำหรับช่องโหว่ได้รับการเผยแพร่ และผู้ใช้ทำการติดตั้งอัปเดตที่เหมาะสม แต่ Upstream Patch Gap หมายถึงระยะเวลาที่ผู้จำหน่ายต้นทางมีวิธีการแก้ไขที่พร้อมใช้งานแล้ว แต่ผู้ให้บริการยังไม่ได้รวบรวมแพตช์นั้น และส่งต่อให้ผู้ใช้งาน

เพื่อปิดแอปพลิเคชัน Upstream Patch นี้ Google ระบุว่า จะเพิ่มขั้นตอนใหม่ที่มีแผนจะแบ่งปันข้อมูลการค้นพบช่องโหว่สู่สาธารณะภายในหนึ่งสัปดาห์หลังจากการรายงานให้กับผู้ให้บริการที่เกี่ยวข้อง

ข้อมูลนี้คาดว่าจะรวมถึงผู้ให้บริการ หรือโครงการโอเพ่นซอร์สที่ได้รับการรายงาน, ผลิตภัณฑ์ที่ได้รับผลกระทบ, วันที่ยื่นรายงาน และวันที่หมดเขตการเปิดเผยข้อมูล 90 วัน รายการปัจจุบันประกอบด้วยช่องโหว่ใน Microsoft Windows 2 รายการ ช่องโหว่ใน Dolby Unified Decoder 1 รายการ และปัญหา 3 ข้อใน Google BigWave

Tim Willis จาก Project Zero ระุบว่า "เป้าหมายหลักของการทดลองนี้คือการลด Upstream Patch Gap โดยการเพิ่มความโปร่งใส (Transparency)" "การให้สัญญาณล่วงหน้าว่าช่องโหว่ได้รับการรายงานไปยังผู้ให้บริการแล้ว เราสามารถแจ้งข้อมูลให้กับผู้ใช้ปลายทางได้ดีขึ้น พวกเขาจะมีแหล่งข้อมูลเพิ่มเติมในการตรวจสอบปัญหาที่อาจส่งผลกระทบต่อผู้ใช้"

Google ระบุเพิ่มเติมว่า มีแผนที่จะใช้หลักการนี้กับ Big Sleep ซึ่งเป็นปัญญาประดิษฐ์ (AI) ที่เปิดตัวเมื่อปีที่แล้วในฐานะส่วนหนึ่งของความร่วมมือระหว่าง DeepMind และ Google Project Zero เพื่อเพิ่มความสามารถในการค้นพบช่องโหว่

Google ยังได้เน้นย้ำว่า จะไม่มีการเผยแพร่รายละเอียดทางเทคนิค, POC code หรือข้อมูลอื่นใดที่อาจ "ช่วยเหลือ" ผู้โจมตีได้อย่างมีนัยสำคัญจนกว่าจะถึงเดตไลน์

ด้วยแนวทางใหม่ล่าสุดนี้ Google Project Zero หวังว่าจะสามารถผลักดันการอัปเดตแพตช์ให้กับอุปกรณ์, ระบบ และบริการที่ผู้ใช้ปลายทางใช้งานในเวลาอันเหมาะสม และเสริมสร้างระบบรักษาความปลอดภัยโดยรวม

ที่มา : thehackernews

Tavis Ormandy นักวิจัยจาก Google Project Zero ได้เปิดเผยถึงช่องโหว่ใน Libgcrypt เวอร์ชั่น 1.9.0 ที่ได้รับการเปิดตัวเวอร์ชันใหม่ในวันที่ 19 มกราคมที่ผ่านมา

Libgcrypt เป็นไลบรารีการเข้ารหัสแบบโอเพ่นซอร์สและมีโมดูลภายในคือ GNU Privacy Guard (GnuPG) ช่องโหว่ที่ถูกค้นพบใน libgcrypt เวอร์ชั่น 1.9.0 เป็นช่องโหว่ Heap buffer overflow ซึ่งเกิดจากการตรวจสอบการจัดการหน่วยความจำที่ไม่ถูกต้อง ผู้โจมตีสามารถใช้ข้อผิดพลาดนี้โดยการส่งข้อมูลให้ผู้ที่ตกเป็นเป้าหมายทำการถอดรหัส เมื่อผู้ที่ตกเป็นเป้าหมายทำการถอดรหัสผู้โจมตีจะสามารถรันโค้ดที่เป็นอันตรายที่ถูกแอบแฝงไปกับข้อมูลที่ส่งไปได้

ทั้งนี้ช่องโหว่จะมีผลกระทบกับ Libgcrypt เวอร์ชั่น 1.9.0 โดยในคำแนะนำผู้พัฒนาหลักของ GnuPG ได้ขอให้ผู้ใช้หยุดการใช้ Libgcrypt เวอร์ชัน 1.9.0 และทำการอัปเดต Libgcrypt ให้เป็นเวอร์ชัน 1.9.1 เพื่อป้องกันการตกเป็นเป้าหมายของการโจมตี

ที่มา: zdnet

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet

Ian Beer นักวิจัยจาก Google Project Zero ได้เปิดเผยรายละเอียดของช่องโหว่ที่สำคัญใน iOS ที่มีลักษณะ "wormable" และได้รับการแก้ไขแล้ว ซึ่งช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลสามารถเข้าควบคุมอุปกรณ์ใดๆ ในบริเวณใกล้เคียงได้ผ่าน Wi-Fi ได้อย่างสมบูรณ์

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3843 ได้รับการแก้ไขช่องโหว่แล้วในชุดการอัปเดตการรักษาความปลอดภัยที่เป็นส่วนหนึ่งของการอัปเดต iOS 13.3.1 , MacOS Catalina 10.15.3 และ watchOS 5.3.7 โดยช่องโหว่เกิดจากข้อผิดพลาดจากการเขียนโปรเเกรม Buffer overflow ในไดรเวอร์ Wi-Fi ที่เชื่อมโยงกับ Apple Wireless Direct Link ( AWDL ) ซึ่งเป็นโปรโตคอลเครือข่ายถูกพัฒนาโดย Apple เพื่อใช้ใน AirDrop, AirPlay และอื่น ๆ ทำให้การสื่อสารง่ายขึ้นระหว่างอุปกรณ์ Apple

นักวิจัยกล่าวว่าช่องโหว่จะทำให้สามารถอ่านและเขียนหน่วยความจำเคอร์เนลได้โดยไม่ต้องรับอนุญาติจากระยะไกล โดยใช้ประโยชน์จากการส่งเพย์โหลดเชลล์โค้ดลงในหน่วยความจำเคอร์เนลผ่านกระบวนการ เพื่อหลีกเลี่ยงการป้องกันแซนด์บ็อกซ์ของกระบวนการในการรับข้อมูลจากผู้ใช้ จากนั้นจะใช้ประโยชน์จาก Buffer overflow ใน AWDL เพื่อเข้าถึงอุปกรณ์และเรียกใช้เพย์โหลด ด้วยวิธีการนี้จะช่วยให้ผู้ประสงค์ร้ายสามารถเข้าควบคุมข้อมูลเครื่องและสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้รวมถึงอีเมล, รูปภาพ, ข้อความ, ข้อมูล iCloud และอื่น ๆ

ทั้งนี้ผู้ใช้ iOS ควรทำการอัปเดต iOS ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้

ที่มา: thehackernews | threatpost

Facebook ประกาศการแก้ไขปัญหาระดับวิกฤติใน Facebook Messenger บน Android หลังจากมีการตรวจพบว่าแอปอนุญาตให้ผู้ที่ทำการโทรผ่านการใช้เสียงนั้นสามารถฟังเสียงของปลายยทางได้แม้ปลายทางจะยังไม่มีการรับสาย ช่องโหว่จะทำการโจมตีเฉพาะบัญชีผู้ใช้งานที่เป็นเพื่อนกันแล้วเท่านั้น

การโจมตีดังกล่าวสามารถทำได้หากผู้โจมตีมีการส่งข้อความแบบพิเศษที่เรียกว่า SdpUpdate ซึ่งทำให้เกิดการเชื่อมต่อสายก่อนที่ผู้ใช้งานจะกดรับ หรือในอีกความหมายหนึ่งคือบังคับให้เกิดการส่งข้อมูลเสียงในทันทีที่ปลายทางได้รับข้อความดังกล่าว ช่องโหว่ดังกล่าวถูกค้นพบโดย Natalie Silvanovich จาก Google Project Zero ซึ่งสามารถดูรายละเอียดการค้นพบและการโจมตีช่องโหว่ได้ที่ project-zero

เราขอแนะนำให้ผู้ใช้งานทำการอัปเดตแอป Facebook Messenger ให้เป็นเวอร์ชันล่าสุดโดยทันที เนื่องจากมีการเปิดเผยวิธีการโจมตีออกมาแล้ว มีโอกาสสูงที่อาจมีผู้ไม่ประสงค์นำวิธีการโจมตีมาสร้างการโจมตีจริงและโจมตีผู้ใช้งานที่ยังไม่ได้มีการอัปเดตแอป

ที่มา: bleepingcomputer | thehackernews

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Apple ประกาศแพตช์ด้านความปลอดภัยเมื่ออาทิตย์ที่ผ่านมา โดยแพตช์ซึ่งออกมานั้นมีการปิดการโจมตีช่องโหว่ zero-day ทั้ง 3 รายการใน iOS ซึ่งตรวจพบว่าถูกใช้โดยผู้ไม่ประสงค์ดีแล้วโดย Google Project Zero

Google Project Zero ตรวจพบว่ามีผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ 3 รายการได้แก่ CVE-2020-27930, CVE-2020-27932 และ CVE-2020-27950 ในการโจมตีจริง ช่องโหว่แรกนั้นเป็นช่องโหว่ memory corruption ในไลบรารี FontParser ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากไฟล์ฟอนต์แบบพิเศษได้ สองช่องโหว่ที่เหลือเป็นช่องโหว่สำหรับยกระดับสิทธิ์ และช่องโหว่ที่ช่วยข้ามผ่านมาตราการด้านความปลอดภัย

อุปกรณ์ที่ได้รับการแพตช์ได้แก่ iOS, iPadOS, macOS และ watchOS ซึ่งสามารถทำได้อัปเดตได้ทันทีจากหน้าต่างการตั้งค่าของอุปกรณ์ ขอให้ทำการอัปเดตทันทีเพื่อลดความเสี่ยงจากช่องโหว่

ที่มา: thehackernews

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

Felix Wilhelm จาก Google Project Zero เปิดเผยช่องโหว่ใหม่รหัส CVE-2020-15228 ใน Github Actions ที่ได้มีการแจ้งเตือนไปตั้งแต่ปลายเดือนกรกฎาคม โดยช่องโหว่ดังกล่าวเกิดจากการคำสั่งในกลุ่ม workflow commands ที่ทำให้ Actions runner สามารถรันคำสั่ง shell ใน runner machine ได้ ซึ่งทำให้ช่องโหว่นี้มีความเสี่ยงที่จะถูกโจมตีเพื่อทำ command injection

ช่องโหว่จริงๆ อยู่ที่วิธีการที่ Action runner ประมวลผล workflow commands โดยปกตินั้นหากต้องการเรียกใช้ workflow command เราจะทำการเรียกใช้โดยใช้คำสั่ง echo ของ Linux จากนั้นให้ใส่ workflow commands ที่ครอบด้วย marker ลงไป โดย marker แตกต่างกันตามเวอร์ชันของ Action runner เช่นหากเป็นรุ่นแรกนั้น marker คือตัวอักษร ## และสำหรับรุ่นที่ 2 จะมี marker คือ :: ตามตัวอย่างเช่น echo '::set-output name=SELECTED_COLOR::green'

Action runner จะมองหา workflow commands จาก STDOUT ของคำสั่ง echo หรือคำสั่งใดๆ ก็ตามและนำข้อมูลทั้งหมดไปรัน Felix ระบุว่ากระบวนการตรงนี้มีโอกาสที่สูงมากที่จะถูกทำ command injection หากภายใน echo นั้นมี untrusted code อยู่ หรือมีการรับข้อมูลจากผู้ใช้มารัน ผู้ไม่ประสงค์ดีสามารถทำการ inject ข้อมูลในส่วนนี้ จากนั้นใช้คำสั่งอย่าง set-env หรือ add-path เพื่อแก้ไข environment varible ของ runner machine ตอน workflow กำลังทำงานอยู่ได้

การจะโจมตีช่องโหว่ได้นั้นขึ้นอยู่กับว่ามีการรับ untrusted input เข้าไปประมวลผลใน workflow ในขั้นตอนใด ตัวอย่างซึ่ง Felix ยกมานั้นคือโครงการหนึ่งของ vscode ซึ่งนำ GitHub Actions มาใช้ในการกระจาย Issues ไปยังโครงการอื่นโดยมีการรับข้อมูลจาก Issues มา ผู้โจมตีสามารถทำการ inject คำสั่งผ่านการสร้าง Issues เพื่อโจมตีช่องโหว่นี้ได้

GitHub ใช้เวลาเกือบ 3 เดือนในการแก้ไขปัญหานี้แต่กลับไม่สามาถรปิดการใช้งานหรือแก้ไขช่องโหว่โดยตรงได้ GitHub จึงได้มีการออกคำแนะนำในการใช้งานเพื่อลดความเสี่ยงแทนที่ https://github.

ผู้พัฒนา WhatsApp ได้แก้ไขปัญหาทั้งในแอพพลิเคชั่นบน Android และ iOS ที่ส่งผลให้แฮกเกอร์สามารถยึดแอปพลิเคชั่นได้เมื่อรับสายวิดีโอคอล

Natalie Silvanovich นักวิจัยทางด้านความปลอดภัยร่วมกับทีมวิจัยจาก Google (Google's Project Zero) ค้นพบช่องโหว่ของ WhatsApp เมื่อปลายเดือนสิงหาคม Natalie ได้กล่าวว่าปัญหาของช่องโหว่ดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้งาน WhatsApp บน Android และ iOS ทำการรับสายวิดีโอคอลที่มีการดัดแปลง RTP (Real-time Transport Protocol) Package ให้อยู่ในรูปแบบที่ผิดปกติ และช่องโหว่ดังกล่าวไม่มีผลกระทบต่อการใช้งาน WhatsApp ที่อยู่บน web client เนื่องจากใช้งาน WebRTC ไลบรารี่ ซึ่งต่างจากบน Android และ iOS ที่ไม่ได้ใช้งาน WebRTC และได้มีการเผยแพร่ PoC code และวิธีการใช้งานเพื่อทดสอบการโจมตีนี้แล้ว

ยังไงก็ตาม WhatsApp ได้ทำการแก้ไขและปล่อยให้อัพเดทในช่วงวันที่ 28 กันยายนสำหรับ Android และช่วงวันที่ 3 ตุลาคมสำหรับ iOS ที่ผ่านมาแล้ว

ที่มา: zdnet