Google ประกาศแผนการเตรียมปล่อยฟีเจอร์ความปลอดภัยใหม่ใน Chrome ซึ่งจะถูกปล่อยออกมาอย่างเป็นทางการในเดือนมกราคมปีหน้า โดยหนึ่งในฟีเจอร์ความปลอดภัยใหม่นั้นคือฟีเจอร์การป้องกันการโจมตีที่เรียกว่า Tab nabbing

Tab nabbing เป็นการโจมตีซึ่งถูกจัดอยู่ในกลุ่มการโจมตีแบบ Tab hijacking โดย OWASP การโจมตีนี้เกิดขึ้นได้ในลักษณะของการที่ผู้โจมตีหลอกให้ผู้ใช้งานเปิดแท็บใหม่ และใช้หน้าแท็บใหม่ในการแก้ไขเนื้อหาในหน้าเว็บเพจเดิมซึ่งอาจส่งผลให้เกิดการเปลี่ยนหน้าต่างของเว็บเพจที่ถูกแก้ไขไปยังหน้าเว็บไซต์ที่เป็นอันตรายได้

Apple และ Mozilla ได้มีการป้องกันการโจมตีในลักษณะไปตั้งแต่ปี 2018 โดยการเพิ่มโค้ด "rel=noopener" เอาไว้ในลิงค์เมื่อมีการใช้ "target=_blank" การอัปเดตของ Chrome จะทำให้เบราว์เซอร์ซึ่งใช้เอนจินเดียวกัน เช่น Edge, Opera, Vivaldi และ Brave ได้รับการอัปเดตตามไปด้วย

ที่มา: zdnet.

แพตช์ Android รอบเดือนพฤศจิกายน 2020 มาแล้ว รวม 30 ช่องโหว่ถูกแพตช์

กูเกิลประกาศแพตช์สำหรับแอนดรอยด์ประจำเดือนพฤศจิกายน 2020 เมื่อช่วงต้นเดือนทีผ่านมา โดยในรอบนี้นั้นมีช่องโหว่ทั้งหมด 30 รายการที่ถูกแพตช์

หนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้นั้นคือช่องโหว่รหัส CVE-2020-0449 ซึ่งเป็นช่องโหว่ในระบบของแอนดรอยด์เอง ผู้โจมตีช่องโหว่สามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ที่สูงจากระยะไกลเพื่อยืดและควบคุมระบบได้ ช่องโหว่นี้กระทบแอนดรอยด์ในรุน 8.0, 8.1, 9, 10 และ 11 แพตช์ในส่วนของระบบยังเป็นส่วนของแพตช์ที่ถูกประกาศเยอะที่สุดในรอบนี้ซึ่งมีไม่บ่อยมาก รองลงมาคือแพตช์ในส่วนของเฟรมเวิร์คต่างๆ ที่เกี่ยวข้องกับระบบ

ผู้ใช้งานสามารถทำการตรวจสอบแพตช์ในอุปกรณ์และทำการอัปเดตได้แล้ววันนี้

ที่มา: securityweek

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Google ได้ทำการลบแอปพลิเคชัน Android 15 จาก 21 รายการออกจาก Play Store หลังได้รับรายงานว่าแอปพลิเคชันที่ถูกรายงานเป็นแอปพลิเคชั่นที่มีการแอบแฝงมัลแวร์ประเภท “HiddenAds” ที่จะทำงานโดยการแสดงโฆษณาระหว่างใช้งานแอปพลิเคชันที่มากเกินไป

จากรายงานที่มีการเผยเเพร่โดย Jakub Vávra นักวิเคราะห์มัลแวร์จากบริษัท Avast ระบุว่าแอปพลิเคชันที่ตรวจพบได้มีการปลอมตัวเป็นแอปพลิเคชันเกมที่ไม่เป็นอันตรายและมาพร้อมกับมัลแวร์ HiddenAds ซึ่งเป็นโทรจันที่มีชื่อเสียงในเรื่องความสามารถในการแสดงโฆษณาที่ล่วงล้ำการใช้งานของผู้ใช้

กลุ่มที่อยู่เบื้องหลังการดำเนินการนี้จะอาศัยช่องทางโซเชียลมีเดียเพื่อล่อให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันไปติดตั้ง เมื่อทำการติดตั้งแอปพลิเคชันแล้วมัลแวร์ HiddenAds ที่อยู่ภายในแอปจะซ่อนไอคอนของแอปเพื่อทำให้ผู้ใช้ลบแอปได้ยากในอนาคตแล้วจากนั้นจึงเริ่มโจมตีผู้ใช้ด้วยแสดงโฆษณา ซึ่งแอปพลิเคชันที่กล่าวมาถูกดาวน์โหลดโดยผู้ใช้มากกว่าเจ็ดล้านคน ก่อนที่นักวิเคราะห์จะทำการรายงานต่อ Google เมื่อสัปดาห์ที่แล้ว

ผู้ใช้ต้องระมัดระวังในการดาวน์โหลดแอปพลิเคชันลงในโทรศัพท์ของตนและก่อนจะทำการติดตั้งแอปพลิเคชันใดๆ ควรทำการตรวจสอบโปรไฟล์ของแอปพลิเคชัน, คอมเมนต์, รีวิวและการอนุญาตในการติดตั้งบนอุปกรณ์อย่างละเอียดเพื่อเป็นการป้องกันการตกเป็นเหยื่อ ทั้งนี้ผู้ที่สนใจรายการแอปพลิเคชันที่ถูกลบหรือต้องการรายชื่อแอปพลิเคชันเพื่อทำการตรวจสอบสามารถดูรายการได้จากเเหล่งที่มา

ที่มา: zdnet.

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

Google ได้ลบ Extension สำหรับการบล็อกโฆษณาสองรายการออกจาก Chrome Web Store หลังจากตรวจพบว่า Extension ทั้งสองมีโค้ดที่เป็นอันตรายและมีการพยายามรวบรวมข้อมูลของผู้ใช้

Extension ทั้งสองมีชื่อว่า Nano Adblocker และ Nano Defender โดย Extension ทั้งสองถูกดาวน์โหลดและติดตั้งมากกว่า 50,000 และ 200,000 ครั้งตามลำดับในขณะที่ถูกลบออกจาก Chrome Web Store ซึ่งจากการตรวจสอบโค้ดพบว่า Extension ทั้งสองมีโค้ดที่เป็นอันตรายที่ต่างจากเวอร์ชันดั้งเดิม หลังจากผู้พัฒนาได้ทำการขายให้กับทีมนักพัฒนาชาวตุรกี

Raymond Hill ผู้พัฒนา uBlock Origin ad blocker ได้ทำการวิเคราะห์ Extension ทั้งสองและพบว่า Extension ได้รับการแก้ไขโค้ดโดยเพิ่มส่วนโค้ดที่เป็นอันตราย ภายในโค้ดจะส่งข้อมูลตามการวิเคราะห์พฤติกรรมที่กำหนดและส่งไปยัง def.

Google ประกาศการออก Chrome เวอร์ชัน 86 เมื่อวันที่ 6 ตุลาคมที่ผ่านมา โดยจุดน่าสนใจในรุ่นใหม่นี้นั้นอยู่ที่ฟีเจอร์ที่เกี่ยวข้องกับความปลอดภัยซึ่งถูกเพิ่มเข้ามาเป็นจำนวนมาก ตามรายการดังนี้

หากมีการบันทึก Credential ไว้ใน Chrome และมีการตรวจพบว่าได้รับผลกระทบจากข้อมูลรั่วไหล Chrome จะทำลิงค์เพื่อชี้ไปยัง <URL>/.well-known/change-password เพื่อให้ผู้ใช้งานทราบขั้นตอนในการปฏิบัติเพื่อเปลี่ยนรหัสผ่านโดยอัตโนมัติ (หากไม่มีพาธดังกล่าว Chrome จะสั่งลิงค์ไปยังโฮมเพจแทน)
เพิ่ม Safety Check เอาไว้ตรวจสอบการตั้งค่าเบราว์เซอร์และข้อมูลว่ามีความปลอดภัยหรือไม่ในคลิกเดียว
บล็อคการดาวโหลด mixed content หรือการดาวโหลดไฟล์ผ่านโปรโตคอล HTTP จากเว็บไซต์ HTTPS จากไฟล์ประเภท .exe, .apk, .zip, .iso และไฟล์ไบนารีอื่นๆ
นอกเหนือจากฟีเจอร์ที่ระบุมาแล้ว Chrome 86 ยังมีการแก้ไขและแพตช์ช่องโหว่ซึ่งยังไม่มีการเปิดเผยในขณะนี้ถึงยอดของช่องโหว่ที่ถูกแพตช์ รวมไปถึงเพิ่มฟีเจอร์ทดสอบ (experimental feature) มาอีกเป็นจำนวนมาก ผู้ที่สนใจอยากลองทดสอบฟีเจอร์ใหม่ๆ สามารถดูรายละเอียดเพิ่มเติมได้จากแหล่งที่มา

ที่มา : bleepingcomputer

Google ปล่อยแพตช์ความปลอดภัยแอนดรอยด์ประจำเดือนตุลาคม 2020 มาแล้ววันนี้ โดยแพตช์ประจำเดือนนี้มีทั้งในรอบซึ่งถูกประกาศออกมาในลักษณะ security patch level ของวันที่ 1 และวันที่ 5 ตุลาคม 2020

จาก security patch level ทั้งสองครั้งและตัวเลขแพตช์ทั้งหมด 48 รายการ แพตช์ซี่งถูกจัดอยู่ในระดับ critical ในรอบนี้นั้นอยู่ในส่วนโมดูลของ Qualcomm ซึ่งไม่ได้เป็น open source ซึ่งอยู่ทั้งหมด 6 รายการ

แนะนำให้ทำการติดตามแพตช์จากผู้ผลิตและทำการอัปเดตทันทีเมื่อแพตช์พร้อมติดตั้ง พร้อมลดความเสี่ยงและเพิ่มความปลอดภัยในการใช้งาน

ที่มา : securityweek

Google ประกาศจัดตั้งทีม Android Partner Vulnerability Initiative (APVI) เพื่อจัดการและดูแลเเก้ไขเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกพบในอุปกรณ์ Android และซอฟต์แวร์ที่ให้บริการในรูปแบบ Android OEM ของผู้ผลิตที่เป็น Android partner กับ Google

ในการจัดตั้งทีม APVI นั้น Google มีเป้าหมายเพื่อทำการรวบรวมปัญหาด้านความปลอดภัยต่างๆ จากนักวิจัยด้านความปลอดภัย ซึ่งจะรายงานผ่านช่องทางเช่น Android Security Rewards Program (ASR), Google Play Security Rewards Program, Android Open Source Project (AOSP) และ Android Security Bulletins (ASB) เพื่อแก้ไขปัญหาที่ Google ค้นพบหรือได้รับรายงาน ซึ่งปัญหาและช่องโหว่อาจส่งผลกระทบต่อความปลอดภัยของอุปกรณ์ Android หรือผู้ใช้งาน Android เช่น ปัญหาจาก permissions bypasses, การเรียกใช้โค้ดใน kernel, credential leak และปัญหา backup ไม่ได้เข้ารหัสใน Android OEM ที่ผลิตโดย Android partner ทั้งนี้ผู้ที่สนใจรายละเอียดสามารถอ่านเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: security.

Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.