Google ประกาศการออก Chrome เวอร์ชัน 86 เมื่อวันที่ 6 ตุลาคมที่ผ่านมา โดยจุดน่าสนใจในรุ่นใหม่นี้นั้นอยู่ที่ฟีเจอร์ที่เกี่ยวข้องกับความปลอดภัยซึ่งถูกเพิ่มเข้ามาเป็นจำนวนมาก ตามรายการดังนี้

หากมีการบันทึก Credential ไว้ใน Chrome และมีการตรวจพบว่าได้รับผลกระทบจากข้อมูลรั่วไหล Chrome จะทำลิงค์เพื่อชี้ไปยัง <URL>/.well-known/change-password เพื่อให้ผู้ใช้งานทราบขั้นตอนในการปฏิบัติเพื่อเปลี่ยนรหัสผ่านโดยอัตโนมัติ (หากไม่มีพาธดังกล่าว Chrome จะสั่งลิงค์ไปยังโฮมเพจแทน)
เพิ่ม Safety Check เอาไว้ตรวจสอบการตั้งค่าเบราว์เซอร์และข้อมูลว่ามีความปลอดภัยหรือไม่ในคลิกเดียว
บล็อคการดาวโหลด mixed content หรือการดาวโหลดไฟล์ผ่านโปรโตคอล HTTP จากเว็บไซต์ HTTPS จากไฟล์ประเภท .exe, .apk, .zip, .iso และไฟล์ไบนารีอื่นๆ
นอกเหนือจากฟีเจอร์ที่ระบุมาแล้ว Chrome 86 ยังมีการแก้ไขและแพตช์ช่องโหว่ซึ่งยังไม่มีการเปิดเผยในขณะนี้ถึงยอดของช่องโหว่ที่ถูกแพตช์ รวมไปถึงเพิ่มฟีเจอร์ทดสอบ (experimental feature) มาอีกเป็นจำนวนมาก ผู้ที่สนใจอยากลองทดสอบฟีเจอร์ใหม่ๆ สามารถดูรายละเอียดเพิ่มเติมได้จากแหล่งที่มา

ที่มา : bleepingcomputer

Google ปล่อยแพตช์ความปลอดภัยแอนดรอยด์ประจำเดือนตุลาคม 2020 มาแล้ววันนี้ โดยแพตช์ประจำเดือนนี้มีทั้งในรอบซึ่งถูกประกาศออกมาในลักษณะ security patch level ของวันที่ 1 และวันที่ 5 ตุลาคม 2020

จาก security patch level ทั้งสองครั้งและตัวเลขแพตช์ทั้งหมด 48 รายการ แพตช์ซี่งถูกจัดอยู่ในระดับ critical ในรอบนี้นั้นอยู่ในส่วนโมดูลของ Qualcomm ซึ่งไม่ได้เป็น open source ซึ่งอยู่ทั้งหมด 6 รายการ

แนะนำให้ทำการติดตามแพตช์จากผู้ผลิตและทำการอัปเดตทันทีเมื่อแพตช์พร้อมติดตั้ง พร้อมลดความเสี่ยงและเพิ่มความปลอดภัยในการใช้งาน

ที่มา : securityweek

Google ประกาศจัดตั้งทีม Android Partner Vulnerability Initiative (APVI) เพื่อจัดการและดูแลเเก้ไขเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกพบในอุปกรณ์ Android และซอฟต์แวร์ที่ให้บริการในรูปแบบ Android OEM ของผู้ผลิตที่เป็น Android partner กับ Google

ในการจัดตั้งทีม APVI นั้น Google มีเป้าหมายเพื่อทำการรวบรวมปัญหาด้านความปลอดภัยต่างๆ จากนักวิจัยด้านความปลอดภัย ซึ่งจะรายงานผ่านช่องทางเช่น Android Security Rewards Program (ASR), Google Play Security Rewards Program, Android Open Source Project (AOSP) และ Android Security Bulletins (ASB) เพื่อแก้ไขปัญหาที่ Google ค้นพบหรือได้รับรายงาน ซึ่งปัญหาและช่องโหว่อาจส่งผลกระทบต่อความปลอดภัยของอุปกรณ์ Android หรือผู้ใช้งาน Android เช่น ปัญหาจาก permissions bypasses, การเรียกใช้โค้ดใน kernel, credential leak และปัญหา backup ไม่ได้เข้ารหัสใน Android OEM ที่ผลิตโดย Android partner ทั้งนี้ผู้ที่สนใจรายละเอียดสามารถอ่านเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: security.

Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.

Google ได้เปิดตัวแพตช์ประจำเดือนเดือนสิงหาคมสำหรับระบบปฏิบัติการ Android เพื่อแก้ไขปัญหาที่มีความรุนแรงสูงใน framework component ซึ่งหากใช้ประโยชน์จากช่องโหว่ที่ทำการเเก้ไขอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดระยะไกล (RCE) บนอุปกรณ์มือถือ Android ได้

Google กล่าวว่าช่องโหว่ที่ได้รับการเเพตซ์ในเดือนนี้นั้นเป็นช่องโหว่ความรุนเเรงระดับสูงอยู่ 54 รายการ ซึ่งพบว่าอุปกรณ์มือถือ Android ที่ใช้ชิปของ Qualcomm มีช่องโหว่มากถึง 31 รายการ โดยช่องโหว่ที่ได้รับการเเก้ไขและมีความสำคัญเช่นช่องโหว่ CVE-2020-0240 เป็นช่องโหว่ที่อาจช่วยให้ผู้โจมตีจากระยะไกลที่ใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษทำการรันโค้ดในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ เป็นต้น

ทั้งนี้ผู้ใช้งานอุปกรณ์มือถือ Android ควรทำการอัปเดตอุปกรณ์มือถือ Android ให้เป็นเวอร์ชั่นปัจจุบันเพื่อป้องกันผู้ประสงค์ร้ายหาประโยชน์จากช่องโหว่และเพื่อป้องกันข้อมูลของผู้ใช้เอง

ผู้ที่สนใจรายละเอียดการอัพเดตเพิ่มเติมสามารถติดตามรายละเอียดได้ที่: https://source.

พบ Chrome Extension อันตราย แอบเพิ่มโฆษณาในผลการค้นหาจาก Google และ Bing

บริษัท AdGuard ผู้ให้บริการโซลูชันการบล็อกโฆษณาได้เปิดเผยถึงการค้นพบ Extension ที่เป็นอันตรายบน Chrome Extension จำนวน 295 Extension ซึ่งทั้งหมดนั้นอยู่บนออฟฟิเชียลของ Chrome Web Store มีผู้ติดตั้งรวมกันกว่า 80 ล้านราย

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ 295 Extension ที่ตรวจพบนั้น Extension ทั้งหมดนั้นได้ทำการโหลดโค้ดที่เป็นอันตรายจาก fly-analytics.

Google เปิดตัว Beta สำหรับ Android เวอร์ชั่น 11 ให้ผู้พัฒนาได้ทดสอบระบบปฏิบัติการโดย Google กล่าวว่า Android เวอร์ชั่น 11 นี้จะปรับปรุงด้านความปลอดภัยและความเป็นส่วนตัวที่มากยิ่งขึ้นและออกแบบมาเพื่อให้ระบบปฏิบัติการปกป้องข้อมูลของผู้ใช้จากการโจมตีที่เป็นอันตราย

ในด้านความความเป็นส่วนตัวนั้น Google ได้เพิ่มระบบ one-time permission เพื่อใช้ในการเข้าถึงสภาพเเวดล้อมต่างๆ ของอุปกรณ์ ตัวอย่างเช่น Android เวอร์ชั่น 11 จะอนุญาตให้ผู้ใช้อนุญาตให้แอปที่มีสิทธิ์ชั่วคราวสามารถเข้าถึงไมโครโฟนและกล้องของอุปกรณ์โดยใช้ one-time permission เมื่อผู้ใช้จะเปิดแอปเหล่านี้ในครั้งต่อไปผู้ใช้จะได้รับแจ้งอีกครั้งเพื่อให้แอปได้รับอนุญาตให้เข้าถึงข้อมูลที่เกี่ยวข้องกับไมโครโฟนหรือกล้องและ Android เวอร์ชั่น 11 ยังมีฟีเจอร์รีเซ็ตสิทธิ์การใช้งานของแอพที่ผู้ใช้ไม่ได้ใช้งานเป็นเวลานานหรืออาจเป็นเวลาสองสามเดือนโดยอัตโนมัติ

ส่วนในด้านความปลอดภัยนั้น Android เวอร์ชั่น 11 จะทำการเข้ารหัสข้อมูลของผู้ใช้ทันทีหลังจากการอัปเดตแบบ Over-The-Air (OTA) โดยไม่ต้องป้อนข้อมูลรับรองจากผู้ใช้ นอกจากนี้ Android เวอร์ชั่น 11 จะบล็อกการเข้าถึงข้อมูลการใช้แอปของผู้ใช้จนกว่าอุปกรณ์จะถูกปลดล็อคเป็นครั้งแรกหลังจากรีสตาร์ทหรือผู้ใช้สลับไปยังบัญชีของผู้ใช้

ปัจจุบันมือถือที่สามารถรองรับ Android เวอร์ชั่น 11 ในตัว Beta ที่ใช้ทดสอบระบบนั้นนี้คือ Google Pixel 2, 3, 3a, และ 4

ที่มา: bleepingcomputer

Google TAG เผยอินเดียกำลังเป็นแหล่งยอดฮิตของธุรกิจ Hack for Hire

Google Threat Analysis Group (TAG) หรือ Google TAG ซึ่งเป็นทีมที่ติดตามกลุ่มอาชญากรรมระดับสูงและอาชญากรรมทางไซเบอร์ของ Google ได้เผยแพร่รายงานประจำไตรมาสที่ 1 ปี 2020 ซึ่งเป็นรายงานจากการติดตามกลุ่มอาชญากรรมไซเบอร์ที่เป็นผู้โจมตีหรือได้รับการสนับสนุนจากรัฐบาลมากกว่า 270 กลุ่มจากกว่า 50 ประเทศ โดยประเด็นที่น่าสนใจมีดังนี้

ความพยายามในการแฮ็กและฟิชชิงของกลุ่มต่างๆ
ปัจจุบันจากการเเพร่ของโรค Coronavirus หรือ COVID-19 ที่เกิดการเเพร่กระจายเป็นจำนวนมากทำให้กลุ่มอาชญากรรมไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อทำการแฮ็กและฟิชชิงข้อมูลโดยพุ่งเป้าหมายไปที่ ผู้นำธุรกิจ, บริษัทที่ให้บริการด้านการเงินและการให้คำปรึกษา, บริษัทด้านการดูแลสุขภาพในหลายประเทศ เช่น สหรัฐอเมริกา, สโลวีเนีย, แคนาดา, อินเดีย, บาห์เรน, ไซปรัสและสหราชอาณาจักร ตัวอย่างกิจกรรมทางไซเบอร์ที่เห็นได้ชัดคือ บริษัท “hack-for-hire” หรือบริษัทรับจ้างแฮกข้อมูลทางอินเตอร์เน็ตในประเทศอินเดียได้ทำการสร้างแอคเคาท์ Gmail ที่ทำการปลอมเเปลงเป็น WHO เพื่อใช้ในการฟิชชิงกลุ่มเป้าหมาย โดยทั้งนี้ Google TAG มองว่าบริษัท “hack-for-hire” ในอินเดียมีการเติบโตและมีจำนวนมากขึ้นจากไตรมาสก่อน

การดำเนินการเคลื่อนไหวทางการเมือง
ปัจจุบันกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือรัฐสนับสนุนมีเป้าหมายเพื่อการดำเนินการเคลื่อนไหวทางการเมืองโดยใช้การดำเนินการในเครือข่ายเว็บไซต์ของ Google เช่น YouTube, Play Store, AdSense นั้นมีมากขึ้นและทาง Google รับเเจ้งให้ได้ทำการตรวจเป็นจำนวนมากหลังจากการตรวจสอบ Google ได้ทำการยกเลิกบัญชีช่อง YouTube และบัญชีการโฆษณาเป็นจำนวนมากในช่วงที่ผ่านมา

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถเข้าไปอ่านต่อได้ที่: https://blog.

Google เปิดเผยช่องโหว่ Zero-Click ที่อาจส่งผลกระทบต่อการประมวลผลมัลติมีเดียของ Apple

ทีม Google Project Zero ได้เผยเเพร่รายงานการวิจัยว่าพวกเขาได้ทำการค้นพบช่องโหว่ Zero-Click ที่อาจส่งผลกระทบต่อการประมวลผลมัลติมีเดียบนระบบปฏิบัติการของ Apple

ช่องโหว่ที่ค้นพบนี้อยู่ในขั้นตอนการประมวลผลมัลติมีเดียที่ผู้โจมตีสามารถใช้ประโยชน์โดยการส่งรูปภาพหรือวิดีโอที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์เป้าหมายถึงแม้ว่าเป้าหมายจะไม่ทำการโต้ตอบกลับหรือที่เรียกว่าการโจมตีแบบ “Zero-Click” ซึ่งหมายความว่าข้อความที่เป็นรูปภาพจาก SMS, อีเมลหรือข้อความจาก IM อาจเป็นช่องทางในการโจมตีได้

นักวิจัยของ Google Project Zero กล่าวว่าพวกเขาได้ทำการวิเคราะห์เฟรมเวิร์ค Image I/O ซึ่งใช้ใน iOS, macOS, tvOS และ watchOS โดยใช้เทคนิค “ fuzzing” เพื่อทำการทดสอบว่า Image I/O ว่าจะสามารถจัดการกับไฟล์มัลติมีเดียที่มีรูปแบบไม่ถูกต้องได้หรือไม่ ผลปรากฏว่าพวกเขาพบช่องโหว่จำนวน 6 ช่องโหว่บน Image I/O และอีก 8 ช่องโหว่บน OpenEXR ซึ่งเป็นไลบรารีโอเพนซอร์ซสำหรับแยกไฟล์ภาพ EXR ที่เป็นส่วนประกอบบน Image I/O

ทีมวิจัยกล่าวว่าข้อบกพร่องและช่องโหว่ทั้งหมดได้รับการแก้ไขแล้วในเเพตซ์ความปลอดภัยในเดือนมกราคมและเดือนเมษายนในขณะที่ช่องโหว่บน OpenEXR ก็ได้รับการเเพตซ์แล้วเช่นกันใน OpenEXR v2.4.1

ที่มา:

zdnet.

Google ลบ Chrome Extensions ที่ซ่อนโค้ดไว้เพื่อขโมย Cryptocurrency Wallets ออกจากเว็บสโตร์ 49 รายการ

Google ได้ทำการลบ Chrome Extensions จำนวน 49 รายการออกจากเว็บสโตร์ออฟฟิเชียล หลังพบว่า Extensions ดังกล่าวแฝงมัลแวร์ไว้เพื่อขโมยข้อมูล Cryptocurrency Wallets

Chrome Extensions เหล่านี้ถูกค้นพบโดยนักวิจัยจาก PhishFort และ MyCrypto โดย Extensions เหล่านี้ถูกปลอมเเปลงและแฝงมัลแวร์เพื่อใช้ในการขโมยข้อมูลที่เกี่ยวข้องกับ Mnemonic Phrases, Private Keys และ Keystore files ของ Cryptocurrency Wallets จะส่งข้อมูลที่ถูกขโมยไปยังผู้โจมตีผ่านคำขอ HTTP POST นอกจากนี้มัลแวร์ยังใช้เซิร์ฟเวอร์ C2 ที่ไม่ซ้ำกัน 14 แห่ง

ทั้งนี้พบว่าเป็น Extensions ดังกล่าวนั้นเกี่ยวข้องกับ Cryptocurrency ของแบรนด์ดังหลายเจ้าเช่น Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, และ KeepKey

เมื่อได้รับรายงานนักวิจัยจาก Google ได้ทำการลบ Extensions ดังกล่าวภายใน 24 ชั่วโมง และในเดือนกุมภาพันธ์ Google ได้ทำการลบ Chrome Extensions ที่เป็นอันตรายมากกว่า 500 รายการออกจากเว็บสโตร์หลังจากพบว่ามีการแฝงโค้ดที่เป็นอันตรายเพื่อใช้ขโมยข้อมูลของผู้ใช้งาน

ที่มา: hackread