Google เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคมสำหรับอุปกรณ์ Android หรือ Android Security Bulletin December 2020 โดยในเดือนธันวาคมนี้ Google ได้แก้ไขช่องโหว่ 46 รายการและช่องโหว่ที่มีความสำคัญที่สุดจะทำให้ผู้โจมตีสามารถควบคุมโทรศัพท์มือถือที่มีช่องโหว่ได้จากระยะไกล

ช่องโหว่ที่สำคัญแต่ Google ไม่ได้เปิดเผยข้อมูลเฉพาะทางเทคนิคถูกติดตามด้วยรหัส CVE-2020-0458 จะส่งผลกระทบต่อ Android 8.0, 8.1, 9 และ 10

ช่องโหว่ที่สำคัญอีกหนึ่งประการและมีคะแนนความรุนแแรงจาก CVSS อยู่ที่ 9.8 จาก 10 คือช่องโหว่ CVE-2020-11225 ในชิปเซ็ต Qualcomm

ผู้ใช้ Android ควรทำการอัปเดตแพตช์ความปลอดภัยเป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโนชน์จากช่องโหว่ทำการโจมตี ทั้งนี้ผู้ที่สนใจรายละเอียกเพิ่มเติมของแพตช์ความปลอดภัยสามารถดูได้จากแหล่งที่มา

ที่มา: securityweek | threatpost | source.

Google เปิดตัวโครงการ Atheris ซึ่งเป็นโครงสำหรับช่วยหาบั๊กในโค้ด Python ด้วยวิธีการแบบ coverage-gided fuzzing หรือการทดลองใส่อินพุตให้กับโปรแกรมไปเรื่อยๆ จากนั้นคอยมอนิเตอร์พฤติกรรมของโปรแกรมเพื่อหาเงื่อนไขที่อาจเป็นบั๊กหรือช่องโหว่

Atheris รองรับการทำงานกับเป้าหมายที่เป็นทั้ง Python 2.7 และ Python 3.3+ แต่จะทำงานได้ดีที่สุดสำหรับโปรแกรมที่ถูกพัฒนาโดยใช้ Python 3.8 หรือมากกว่า ผู้ใช้งานสามารถติดตั้ง Artheris ได้ผ่าน Pip และใช้เป็นหนึ่งในโมดูลเพื่อทำ fuzzing ได้ทันที

ดูข้อมูลของโครงการเพิ่มเติมได้จาก https://github.

Google ประกาศเปิดตัวเว็บไซต์ Vulnerability knowledge base "XSLeaks.dev" โดยเป็น KB ที่อธิบายที่มา ข้อผิดพลาด สาเหตุและคำแนะนำสำหรับช่องโหว่ใน Cross-site ของแอปพลิเคชัน

ผู้ที่สนใจสามารถเข้าถึง Knowledge base ได้จาก xsleaks

ที่มา: securityweek

โครงการ OpenSSL ประกาศเวอร์ชันใหม่ของซอฟต์แวร์ OpenSSL พร้อมกับแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ที่ถูกแจ้งโดย David Benjamin จาก Google ช่องโหว่ถูกโจมตีและทำให้ระบบที่ใช้งานตกอยู่ในเงื่อนไข Denial of Service (DoS) ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหา null pointer derefence ในการตรวจสอบข้อมูลในใบรับรอง X.509 โดยแฮกเกอร์สามารถสร้างใบรับรองแบบพิเศษ จากนั้นหลอกให้เหยื่อซึ่งใช้ซอฟต์แวร์ OpenSSL ในรุ่นที่มีช่องโหว่ทำการเข้าถึงและตรวจสอบ เหยื่อจะถูกโจมตีและเจอข้อผิดพลาด DoS ได้

ช่องโหว่นี้ส่งผลกระทบกับ OpenSSL ในรุ่น 1.1.1 และ 1.0.2 ผู้ใช้งานควรทำการอัปเกรดเป็น OpenSSL 1.1.1i โดยด่วน

ที่มา: securityweek

Google ได้ทำการลบแอปพลิเคชันสองแอปของ Baidu ยักษ์ใหญ่ด้านเทคโนโลยีของจีนออกจาก Google Play Store เมื่อปลายเดือนตุลาคม หลังจากได้รับรายงานว่าแอปทั้งสองมีโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้

การลบแอปพลิเคชันเกิดขึ้นหลังจาก Stefan Achleitner และ Chengcheng Xu นักวิจัย Palo Alto Networks ได้ทำการรายงานปัญหาไปยังทีมรักษาความปลอดภัยของ Google Play Store หลังจากที่พวกเขาทำการพบโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้ในแอปพลิเคชัน Baidu Maps และ Baidu Search Box ของ Baidu โดยโค้ดที่ทำการรวบรวมข้อมูลของผู้ใช้นั้นอยู่ใน Baidu Push SDK ซึ่งโมดูที่ถูกใช้เพื่อแสดงการแจ้งเตือนแบบเรียลไทม์ภายในแอปทั้งสอง ซึ่งภายโค้ดมีการรวบรวมรายละเอียดของผู้ใช้ เช่นรุ่นโทรศัพท์, MAC address, ข้อมูลผู้ให้บริการและหมายเลข IMSI (International Mobile Subscriber Identity)

นักวิจัยกล่าวว่าแม้ว่าข้อมูลที่ทำการรวบรวมไว้บางส่วนจะค่อนข้างไม่เป็นอันตราย แต่ข้อมูลบางอย่างเช่นรหัส IMSI สามารถใช้เพื่อระบุและติดตามผู้ใช้ได้โดยแม้ว่าผู้ใช้รายนั้นจะเปลี่ยนไปใช้โทรศัพท์เครื่องอื่นก็ตาม

ทั้งนี้โฆษกของ Baidu ได้ออกมากล่าวว่าบริษัทได้รับอนุญาตจากผู้ใช้ในการรวบรวมข้อมูลนี้จากผู้ใช้ ซึ่งพฤติกรรมการรวบรวมข้อมูลของแอปพลิเคชันไม่ใช่สาเหตุที่แอปทั้งสองถูกนำออกจาก Play Store และแอพทั้งสองมีการดาวน์โหลดมากกว่า 6 ล้านครั้งก่อนที่จะถูกลบออก อย่างไรก็ดีทางทีม Baidu กำลังดำเนินการแก้ไขปัญหาดังกล่าว

ที่มา: zdnet.

นักวิจัยด้านความปลอดภัยจาก Western Digital ได้เปิดเผยถึงช่องโหว่ในโปรโตคอล Replay Protected Memory Block (RPMB) ที่จะส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทยักษ์ใหญ่อื่น ๆ หลายแห่งเช่น Google, Intel และ MediaTek

นักวิจัยจาก Western Digital กล่าวว่าโดยทั่วไปแล้วการโจมตีด้วยเทคนิค Replay จะอนุญาตให้แฮกเกอร์ที่ทำการดักจับข้อมูลสามารถทำการ Replay ข้อมูลที่ทำการดักจับประเภทต่างๆ ในนามของผู้ใช้ที่ถูกต้อง ซึ่งการโจมตีดังกล่าวอาจเป็นประโยชน์สำหรับการลักลอบในการใช้บัญชีหรือทำการฉ้อโกงทางการเงิน

ฟีเจอร์ RPMB ได้รับการออกแบบมาเพื่อป้องกันอุปกรณ์จากการโจมตีด้วยเทคนิค Replay ข้อมูลที่ทำการดักจับ โดยการจัดเตรียมพื้นที่ที่ได้รับการรับรองความถูกต้องและมีการป้องกันสำหรับการจัดเก็บข้อมูลเพื่อให้แน่ใจว่าแต่ละข้อความที่ทำการส่งผ่านจะไม่ซ้ำกันและไม่สามารถทำการ Replay ได้ ซึ่งโปรโตคอล RPMB มักพบในแท็บเล็ตและโทรศัพท์ที่ใช้เทคโนโลยี flash storage เช่น NVMe, UFS และ eMMC

ช่องโหว่ที่ได้รับการเปิดเผยถูกติดตามด้วยรหัส CVE-2020-13799 ซึ่งจะส่งผลกระทบต่อผลิตภัณฑ์ของผู้จัดจำหน่ายรายอื่น ๆ เช่น Intel (CVE-2020-12355), Google (CVE-2020-0436) และ MediaTek

หน่วยงาน CERT/CC ได้ระบุไว้ในคำแนะนำว่าผู้จัดจำหน่ายรายหนึ่งซึ่งไม่ได้ระบุชื่อยืนยันว่าช่องโหว่นี้อาจนำไปสู่การปฏิเสธการให้บริการ (DoS) ทั้งนี้ผู้ใช้ควรทำการติดตามข้อมูลการอัปเดตแพตซ์และคำแนะนำในการแก้ไขช่องโหว่จากผู้จัดจำหน่ายที่จะมีการทยอยอัปเดตการแก้ไขช่องโหว่ในเร็ววันนี้

ที่มา: securityweek

Google เตรียมปล่อยแพตช์ช่องโหว่ Zero-day เพิ่มอีก 2 รายการหลังจากมีการติดต่อมาจากนักวิจัยด้านความปลอดภัยนิรนามเกี่ยวกับรายละเอียดของช่องโหว่และความเป็นไปได้ที่ทั้งสองช่องโหว่จะถูกใช้เพื่อโจมตีจริงแล้ว

ช่องโหว่แรกคือ CVE-2020-16013 เป็นช่องโหว่ซึ่งเกิดจากการอิมพลีเมนต์ที่ไม่ถูกต้องของ WebAssembly และเอนจินจาวาสคริปต์ ส่วนอีกช่องโหว่หนึ่งคือ CVE-2020-16017 ซึ่งเป็นช่องโหว่ use-after-free ในฟีเจอร์ Site isolation ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้ ในขณะนี้รายละเอียดของช่องโหว่รวมไปถึงข้อมูลของผู้โจมตีซึ่งใช้ช่องโหว่นั้นยังคงถูกจำกัด คาดว่าจะมีการปล่อยข้อมูลออกมาหลังจากมีการแพตช์ออกซักระยะหนึ่งต่อไป

จากสถิติที่ผ่านมา Google ออกแพตช์ Zero-day ไปทั้งหมดกว่า 5 ช่องโหว่ในช่วงเวลาหนึ่งเดือน ลักษณะดังกล่าวส่อเค้าให้เห็นถึงความเป็นไปได้ว่าอาจมีกลุ่มของผู้โจมตีที่กำลังเคลื่อนไหวและมีการใช้ช่องโหว่ใน Google Chrome ในการโจมตีจริงอยู่ ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์และติดตั้งแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีอย่างใกล้ชิด

ที่มา: bleepingcomputer.

Google ประกาศแผนการเตรียมปล่อยฟีเจอร์ความปลอดภัยใหม่ใน Chrome ซึ่งจะถูกปล่อยออกมาอย่างเป็นทางการในเดือนมกราคมปีหน้า โดยหนึ่งในฟีเจอร์ความปลอดภัยใหม่นั้นคือฟีเจอร์การป้องกันการโจมตีที่เรียกว่า Tab nabbing

Tab nabbing เป็นการโจมตีซึ่งถูกจัดอยู่ในกลุ่มการโจมตีแบบ Tab hijacking โดย OWASP การโจมตีนี้เกิดขึ้นได้ในลักษณะของการที่ผู้โจมตีหลอกให้ผู้ใช้งานเปิดแท็บใหม่ และใช้หน้าแท็บใหม่ในการแก้ไขเนื้อหาในหน้าเว็บเพจเดิมซึ่งอาจส่งผลให้เกิดการเปลี่ยนหน้าต่างของเว็บเพจที่ถูกแก้ไขไปยังหน้าเว็บไซต์ที่เป็นอันตรายได้

Apple และ Mozilla ได้มีการป้องกันการโจมตีในลักษณะไปตั้งแต่ปี 2018 โดยการเพิ่มโค้ด "rel=noopener" เอาไว้ในลิงค์เมื่อมีการใช้ "target=_blank" การอัปเดตของ Chrome จะทำให้เบราว์เซอร์ซึ่งใช้เอนจินเดียวกัน เช่น Edge, Opera, Vivaldi และ Brave ได้รับการอัปเดตตามไปด้วย

ที่มา: zdnet.

แพตช์ Android รอบเดือนพฤศจิกายน 2020 มาแล้ว รวม 30 ช่องโหว่ถูกแพตช์

กูเกิลประกาศแพตช์สำหรับแอนดรอยด์ประจำเดือนพฤศจิกายน 2020 เมื่อช่วงต้นเดือนทีผ่านมา โดยในรอบนี้นั้นมีช่องโหว่ทั้งหมด 30 รายการที่ถูกแพตช์

หนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้นั้นคือช่องโหว่รหัส CVE-2020-0449 ซึ่งเป็นช่องโหว่ในระบบของแอนดรอยด์เอง ผู้โจมตีช่องโหว่สามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ที่สูงจากระยะไกลเพื่อยืดและควบคุมระบบได้ ช่องโหว่นี้กระทบแอนดรอยด์ในรุน 8.0, 8.1, 9, 10 และ 11 แพตช์ในส่วนของระบบยังเป็นส่วนของแพตช์ที่ถูกประกาศเยอะที่สุดในรอบนี้ซึ่งมีไม่บ่อยมาก รองลงมาคือแพตช์ในส่วนของเฟรมเวิร์คต่างๆ ที่เกี่ยวข้องกับระบบ

ผู้ใช้งานสามารถทำการตรวจสอบแพตช์ในอุปกรณ์และทำการอัปเดตได้แล้ววันนี้

ที่มา: securityweek

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer