เปิดตัวโครงการ Sigstore ฐานข้อมูลออนไลน์สาธารณะสำหรับข้อมูลการรับรองซอฟต์แวร์

Google, Linux Foundation, RedHat และมหาวิทยาลัย Purdue ได้ร่วมกันเปิดตัวโครงการ Sigstore ภายใต้แนวคิดของที่มีลักษณะคล้ายกับโครงการ Let's Encrypt สำหรับการทำ Code signing

โครงการ Sigstore จะเป็นโครงการฐานข้อมูลการรับรองซอฟต์แวร์, อิมเมจของ Container หรือไบนารี โดยจะเป็นช่องทางให้นักพัฒนาซอฟต์แวร์แบบโอเพนซอร์สสามารถทำ Code signing กับข้อมูลในโครงการของตัวเองได้ฟรี พร้อมกับเป็นช่องทางที่ให้ผู้ใช้งานคนอื่นสามารถตรวจสอบความถูกต้องได้บนพื้นฐานของ X509 PKI และการมี Tranparency log ซึ่งคล้ายกับโครงการ Certificate transparency

ในขณะนี้โครงการบางส่วนยังอยู่ในช่วงพัฒนา อาทิ ส่วนสำหรับการมอนิเตอร์การทำ Code signing ใหม่ อย่างไรก็ตามส่วนที่เป็น Ledger (rekor), โปรแกรม cosign สำหรับการทำ Signing กับ Container (cosign) และข้อมูลของ Root CA (fulcio) ได้ถูกเปิดเผยออกมาแล้ว

ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้ที่ sigstore

ที่มา: security

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day ใน Chrome ที่กำลังถูกใช้โจมตี

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

Google เปิดตัวฟีเจอร์ Password Checkup สำหรับผู้ใช้ Android

ผู้ใช้ Android สามารถใช้ฟีเจอร์ Password Checkup ของ Google ได้แล้วหลังจากที่ Google เปิดฟีเจอร์ให้สามารถใช้งานใน Chrome เบราว์เซอร์เมื่อปลายปี 2019 ที่ผ่านมา

ฟีเจอร์ Password Checkup ของ Google เป็นฟีเจอร์การตรวจสอบรหัสผ่านว่าเคยรั่วไหลทางออนไลน์หรือไม่จากฐานข้อมูลที่มีบันทึกหลายพันล้านรายการจากการละเมิดข้อมูลสาธารณะและถูกจัดให้เป็นเป็นส่วนหนึ่งของ Autofill with Google ที่ถูกใช้ในระบบปฏิบัติเพื่อเลือกข้อความจากแคชและกรอกแบบฟอร์ม

Google กล่าวว่าการใช้งานฟีเจอร์ Password Checkup นั้น กลไกการตรวจสอบรหัสผ่านนี้จะไม่เปิดเผยข้อมูล Credential ของผู้ใช้เนื่องจากฟีเจอร์จะทำการตรววจสอบเฉพาะแฮชของข้อมูล Credential เท่านั้น จากนั้นเซิร์ฟเวอร์ทำการตรวจสอบแฮชจากฐานข้อมูลและจะส่งคืนค่ารายการแฮชที่เข้ารหัสของข้อมูล Credential ที่ทำการตรวจสอบเพื่อแจ้งให้ผู้ใช้ทราบว่าข้อมูลเคยถูกละเมิดหรือไม่

ฟีเจอร์ Password Checkup ของ Google นี้ผู้ใช้ Android 9+ ทุกคนสามารถใช้งานได้วันนี้ โดยสามารถเปิดใช้งานการได้โดยเข้าไปที่ Settings จากนั้นไปที่ System > Languages & input > Advanced จากนั้นมองหา Autofill service เพื่อเปิดการใช้งาน ทั้งนี้ผู้ใช้ iOS 14 มีฟีเจอร์การตรวจสอบรหัสผ่านที่คล้ายกันอยู่แล้วตั้งเเต่กลางปี 2019 ที่ผ่านมา

ที่มา: zdnet

แจ้งเตือนส่วนเสริมเบราว์เซอร์ชื่อดัง The Great Suspender มีมัลแวร์ Google ถอดไม่ให้ดาวน์โหลดแล้ว

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

Google เปิดโครงการ Open Source Vulnerabilities (OSV) ฐานข้อมูลช่องโหว่โอเพนซอร์สจากโครงการ OSS-Fuzz

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.

Google ประกาศแพตช์ Zero-day ด่วนใน Chrome เชื่อเกี่ยวข้องกับแคมเปญหลอกของเกาหลีเหนือ

Google ประกาศ Chrome เวอร์ชัน 88.0.4324.150 ซึ่งมีการเปลี่ยนแปลงสำคัญคือการแพตช์ช่องโหว่ CVE-2021-21148 ซึ่งเป็นช่องโหว่ Heap overflow ในเอนจินจาวาสคริปต์ V8 ช่องโหว่ CVE-2021-21148 ถูกระบุว่าอาจมีความเกี่ยวข้องกับแคมเปญของกลุ่ม APT สัญชาติเกาหลีเหนือซึ่งใช้ช่องโหว่นี้ในการหลอกล่อผู้เชี่ยวชาญด้านความปลอดภัยในแคมเปญการโจมตีที่พึ่งถูกเปิดเผยเมื่อปลายเดือนมกราคมที่ผ่านมา

อ้างอิงจากไทม์ไลน์ของช่องโหว่ ช่องโหว่ CVE-2021-21148 ถูกแจ้งโดย Mattias Buelens ในวันที่ 24 มกราคม สองวันหลังจากนั้นทีมความปลอดภัย Google ประกาศการค้นพบแคมเปญโจมตีของเกาหลีเหนือซึ่งมีการใช้ช่องโหว่ที่คาดว่าเป็นช่องโหว่ตัวเดียวกัน

เนื่องจากช่องโหว่มีการถูกใช้เพื่อโจมตีจริงแล้ว ขอให้ผู้ใช้งานทำการตรวจสอบว่า Google Chrome ได้มีการอัปเดตโดยอัตโนมัติว่าเป็นเวอร์ชันล่าสุดแล้วหรือไม่ และให้ทำการอัปเดตโดยทันทีหากยังมีการใช้งานรุ่นเก่าอยู่

ที่มา:

zdnet.

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือตั้งเป้าโจมตีนักวิจัยด้านความปลอดภัยด้วยมัลแวร์ผ่านการ Social Engineering

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือซึ่งได้กำหนดเป้าหมายการโจมตีไปยังนักวิจัยความปลอดภัยทางไซเบอร์ โดยการชักชวนให้เข้าร่วมในการวิจัยช่องโหว่ ซึ่งการโจมตีดังกล่าวได้รับการตรวจพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญในการตามล่ากลุ่มภัยคุกคาม

ตามรายงานของ TAG ระบุว่ากลุ่มแฮกชาวเกาหลีเหนือได้ใช้เทคนิค Social engineering attack ในการโจมตีกลุ่มเป้าหมาย โดยการสร้างโปรไฟล์บนเครือข่าย Social ต่าง ๆ เช่น Twitter, LinkedIn, Telegram, Discord และ Keybase เพื่อติดต่อกับนักวิจัยด้านความปลอดภัยโดยใช้รูปและที่อยู่ของบุคคลปลอม หลังจากการสร้างความน่าเชื่อถือเบื้องต้นกลุ่มเเฮกเกอร์จะเชิญชวนให้นักวิจัยทำการช่วยเหลือในการวิจัยเกี่ยวกับช่องโหว่ ซึ่งภายในโครงการวิจัยช่องโหว่นั้นจะมีโค้ดที่เป็นอันตราย ซึ่งถูกสั่งให้ติดตั้งมัลแวร์บนระบบปฏิบัติการของนักวิจัยที่ตกเป็นเป้าหมาย จากนั้น มัลแวร์ทำหน้าที่เป็นแบ็คดอร์ในการรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command and Control (C&C) ของกลุ่มแฮกเกอร์

ตามรายงานเพิ่มเติมระบุว่ามัลแวร์ที่ถูกติดตั้งนี้มีความเชื่อมโยงกับ Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ นอกจากการแจกจ่ายโค้ดที่เป็นอันตรายแล้วในบางกรณีกลุ่มเเฮกเกอร์ได้ขอให้นักวิจัยด้านความปลอดภัยเยี่ยมชมบล็อกผลงานการวิจัยของกลุ่มคือ blog[.]br0vvnn[.]io ซึ่งภายในบล็อกมีโค้ดที่เป็นอันตรายซึ่งทำให้คอมพิวเตอร์ของนักวิจัยด้านความปลอดภัยติดไวรัสหลังจากเข้าถึงเว็บไซต์

ทั้งนี้ผู้ที่สนใจรายละเอียดของข้อมูลและ IOC ของกลุ่มเเฮกเกอร์ดังกล่าวสามารถดูเพิ่มเติมได้ที่: blog.

แฮกเกอร์ปล่อยข้อมูลรั่วไหลของฐานข้อมูล Nitro PDF จำนวน 77 ล้านรายการในฟอรัมแฮกเกอร์

Nitro PDF เป็นแอปพลิเคชันที่ช่วยช่วยในการแก้ไขเอกสาร PDF และทำการลงนามในเอกสารดิจิทัล ซึ่งเป็นแอปพลิเคชันที่มีลูกค้าประเภทธุรกิจมากกว่า 10,000 รายและผู้ใช้ที่ได้รับใบอนุญาตประมาณ 1.8 ล้านคน ทั้งนี้ฐานข้อมูลที่ถูกปล่อยรั่วไหลขนาดนี้มีขนาด 14GB ซึ่งมีข้อมูล 77,159,696 รายการ ซึ่งประกอบไปด้วยอีเมลของผู้ใช้, ชื่อเต็ม, รหัสผ่านที่แฮชด้วย bcrypt, ชื่อบริษัท, IP Addresses และข้อมูลอื่นๆ ที่เกี่ยวข้องกับระบบ

การถูกละเมิดระบบ Nitro PDF ถูกรายงานครั้งแรกเมื่อปีที่แล้ว โดยการบุกรุกส่งผลกระทบต่อองค์กรที่มีชื่อเสียงหลายแห่งเช่น Google, Apple, Microsoft, Chase และ Citibank ซึ่งทาง Nitro PDF ได้แถลงเมื่อตุลาคม 2020 ว่าไม่มีข้อมูลลูกค้าได้รับผลกระทบ อย่างไรก็ตามในเวลาต่อมา BleepingComputer ได้พบฐานข้อมูลที่ถูกกล่าวหาว่ามีความเกี่ยวกับผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ ถูกประมูลพร้อมกับเอกสาร 1TB ในราคาเริ่มต้นที่ 80,000 ดอลลาร์

ปัจจุบันแฮกเกอร์ที่อ้างว่าอยู่เบื้องหลังกลุ่ม ShinyHunters ได้ปล่อยฐานข้อมูลดังกล่าวในฟอรัมแฮกเกอร์ โดยกำหนดราคาไว้ที่ 3 ดอลลาร์ (ประมาณ 90บาท) สำหรับการเข้าถึงลิงก์ดาวน์โหลดข้อมูลทั้งหมดของผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ

ทั้งนี้ผู้ใช้งาน Nitro PDF สามารถเช็คว่าข้อมูลของตนเองถูกรั่วไหลได้ที่บริการ Have I Been Pwned: haveibeenpwned และควรทำการเปลี่ยนรหัสผ่านที่ใช้ซ้ำกับบริการ Nitro PDF

ที่มา: bleepingcomputer

Google เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคมสำหรับอุปกรณ์ Android จำนวน 46 รายการ

Google เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคมสำหรับอุปกรณ์ Android หรือ Android Security Bulletin December 2020 โดยในเดือนธันวาคมนี้ Google ได้แก้ไขช่องโหว่ 46 รายการและช่องโหว่ที่มีความสำคัญที่สุดจะทำให้ผู้โจมตีสามารถควบคุมโทรศัพท์มือถือที่มีช่องโหว่ได้จากระยะไกล

ช่องโหว่ที่สำคัญแต่ Google ไม่ได้เปิดเผยข้อมูลเฉพาะทางเทคนิคถูกติดตามด้วยรหัส CVE-2020-0458 จะส่งผลกระทบต่อ Android 8.0, 8.1, 9 และ 10

ช่องโหว่ที่สำคัญอีกหนึ่งประการและมีคะแนนความรุนแแรงจาก CVSS อยู่ที่ 9.8 จาก 10 คือช่องโหว่ CVE-2020-11225 ในชิปเซ็ต Qualcomm

ผู้ใช้ Android ควรทำการอัปเดตแพตช์ความปลอดภัยเป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโนชน์จากช่องโหว่ทำการโจมตี ทั้งนี้ผู้ที่สนใจรายละเอียกเพิ่มเติมของแพตช์ความปลอดภัยสามารถดูได้จากแหล่งที่มา

ที่มา: securityweek | threatpost | source.

Google เปิดตัว Atheris เครื่องมือทำ Fuzzing สำหรับโปรแกรมในภาษา Python

Google เปิดตัวโครงการ Atheris ซึ่งเป็นโครงสำหรับช่วยหาบั๊กในโค้ด Python ด้วยวิธีการแบบ coverage-gided fuzzing หรือการทดลองใส่อินพุตให้กับโปรแกรมไปเรื่อยๆ จากนั้นคอยมอนิเตอร์พฤติกรรมของโปรแกรมเพื่อหาเงื่อนไขที่อาจเป็นบั๊กหรือช่องโหว่

Atheris รองรับการทำงานกับเป้าหมายที่เป็นทั้ง Python 2.7 และ Python 3.3+ แต่จะทำงานได้ดีที่สุดสำหรับโปรแกรมที่ถูกพัฒนาโดยใช้ Python 3.8 หรือมากกว่า ผู้ใช้งานสามารถติดตั้ง Artheris ได้ผ่าน Pip และใช้เป็นหนึ่งในโมดูลเพื่อทำ fuzzing ได้ทันที

ดูข้อมูลของโครงการเพิ่มเติมได้จาก https://github.