Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Google ได้ทำการลบแอปพลิเคชัน Android 15 จาก 21 รายการออกจาก Play Store หลังได้รับรายงานว่าแอปพลิเคชันที่ถูกรายงานเป็นแอปพลิเคชั่นที่มีการแอบแฝงมัลแวร์ประเภท “HiddenAds” ที่จะทำงานโดยการแสดงโฆษณาระหว่างใช้งานแอปพลิเคชันที่มากเกินไป

จากรายงานที่มีการเผยเเพร่โดย Jakub Vávra นักวิเคราะห์มัลแวร์จากบริษัท Avast ระบุว่าแอปพลิเคชันที่ตรวจพบได้มีการปลอมตัวเป็นแอปพลิเคชันเกมที่ไม่เป็นอันตรายและมาพร้อมกับมัลแวร์ HiddenAds ซึ่งเป็นโทรจันที่มีชื่อเสียงในเรื่องความสามารถในการแสดงโฆษณาที่ล่วงล้ำการใช้งานของผู้ใช้

กลุ่มที่อยู่เบื้องหลังการดำเนินการนี้จะอาศัยช่องทางโซเชียลมีเดียเพื่อล่อให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันไปติดตั้ง เมื่อทำการติดตั้งแอปพลิเคชันแล้วมัลแวร์ HiddenAds ที่อยู่ภายในแอปจะซ่อนไอคอนของแอปเพื่อทำให้ผู้ใช้ลบแอปได้ยากในอนาคตแล้วจากนั้นจึงเริ่มโจมตีผู้ใช้ด้วยแสดงโฆษณา ซึ่งแอปพลิเคชันที่กล่าวมาถูกดาวน์โหลดโดยผู้ใช้มากกว่าเจ็ดล้านคน ก่อนที่นักวิเคราะห์จะทำการรายงานต่อ Google เมื่อสัปดาห์ที่แล้ว

ผู้ใช้ต้องระมัดระวังในการดาวน์โหลดแอปพลิเคชันลงในโทรศัพท์ของตนและก่อนจะทำการติดตั้งแอปพลิเคชันใดๆ ควรทำการตรวจสอบโปรไฟล์ของแอปพลิเคชัน, คอมเมนต์, รีวิวและการอนุญาตในการติดตั้งบนอุปกรณ์อย่างละเอียดเพื่อเป็นการป้องกันการตกเป็นเหยื่อ ทั้งนี้ผู้ที่สนใจรายการแอปพลิเคชันที่ถูกลบหรือต้องการรายชื่อแอปพลิเคชันเพื่อทำการตรวจสอบสามารถดูรายการได้จากเเหล่งที่มา

ที่มา: zdnet.

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

Google ได้ลบ Extension สำหรับการบล็อกโฆษณาสองรายการออกจาก Chrome Web Store หลังจากตรวจพบว่า Extension ทั้งสองมีโค้ดที่เป็นอันตรายและมีการพยายามรวบรวมข้อมูลของผู้ใช้

Extension ทั้งสองมีชื่อว่า Nano Adblocker และ Nano Defender โดย Extension ทั้งสองถูกดาวน์โหลดและติดตั้งมากกว่า 50,000 และ 200,000 ครั้งตามลำดับในขณะที่ถูกลบออกจาก Chrome Web Store ซึ่งจากการตรวจสอบโค้ดพบว่า Extension ทั้งสองมีโค้ดที่เป็นอันตรายที่ต่างจากเวอร์ชันดั้งเดิม หลังจากผู้พัฒนาได้ทำการขายให้กับทีมนักพัฒนาชาวตุรกี

Raymond Hill ผู้พัฒนา uBlock Origin ad blocker ได้ทำการวิเคราะห์ Extension ทั้งสองและพบว่า Extension ได้รับการแก้ไขโค้ดโดยเพิ่มส่วนโค้ดที่เป็นอันตราย ภายในโค้ดจะส่งข้อมูลตามการวิเคราะห์พฤติกรรมที่กำหนดและส่งไปยัง def.

Google ประกาศการออก Chrome เวอร์ชัน 86 เมื่อวันที่ 6 ตุลาคมที่ผ่านมา โดยจุดน่าสนใจในรุ่นใหม่นี้นั้นอยู่ที่ฟีเจอร์ที่เกี่ยวข้องกับความปลอดภัยซึ่งถูกเพิ่มเข้ามาเป็นจำนวนมาก ตามรายการดังนี้

หากมีการบันทึก Credential ไว้ใน Chrome และมีการตรวจพบว่าได้รับผลกระทบจากข้อมูลรั่วไหล Chrome จะทำลิงค์เพื่อชี้ไปยัง <URL>/.well-known/change-password เพื่อให้ผู้ใช้งานทราบขั้นตอนในการปฏิบัติเพื่อเปลี่ยนรหัสผ่านโดยอัตโนมัติ (หากไม่มีพาธดังกล่าว Chrome จะสั่งลิงค์ไปยังโฮมเพจแทน)
เพิ่ม Safety Check เอาไว้ตรวจสอบการตั้งค่าเบราว์เซอร์และข้อมูลว่ามีความปลอดภัยหรือไม่ในคลิกเดียว
บล็อคการดาวโหลด mixed content หรือการดาวโหลดไฟล์ผ่านโปรโตคอล HTTP จากเว็บไซต์ HTTPS จากไฟล์ประเภท .exe, .apk, .zip, .iso และไฟล์ไบนารีอื่นๆ
นอกเหนือจากฟีเจอร์ที่ระบุมาแล้ว Chrome 86 ยังมีการแก้ไขและแพตช์ช่องโหว่ซึ่งยังไม่มีการเปิดเผยในขณะนี้ถึงยอดของช่องโหว่ที่ถูกแพตช์ รวมไปถึงเพิ่มฟีเจอร์ทดสอบ (experimental feature) มาอีกเป็นจำนวนมาก ผู้ที่สนใจอยากลองทดสอบฟีเจอร์ใหม่ๆ สามารถดูรายละเอียดเพิ่มเติมได้จากแหล่งที่มา

ที่มา : bleepingcomputer

Google ปล่อยแพตช์ความปลอดภัยแอนดรอยด์ประจำเดือนตุลาคม 2020 มาแล้ววันนี้ โดยแพตช์ประจำเดือนนี้มีทั้งในรอบซึ่งถูกประกาศออกมาในลักษณะ security patch level ของวันที่ 1 และวันที่ 5 ตุลาคม 2020

จาก security patch level ทั้งสองครั้งและตัวเลขแพตช์ทั้งหมด 48 รายการ แพตช์ซี่งถูกจัดอยู่ในระดับ critical ในรอบนี้นั้นอยู่ในส่วนโมดูลของ Qualcomm ซึ่งไม่ได้เป็น open source ซึ่งอยู่ทั้งหมด 6 รายการ

แนะนำให้ทำการติดตามแพตช์จากผู้ผลิตและทำการอัปเดตทันทีเมื่อแพตช์พร้อมติดตั้ง พร้อมลดความเสี่ยงและเพิ่มความปลอดภัยในการใช้งาน

ที่มา : securityweek

Google ประกาศจัดตั้งทีม Android Partner Vulnerability Initiative (APVI) เพื่อจัดการและดูแลเเก้ไขเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกพบในอุปกรณ์ Android และซอฟต์แวร์ที่ให้บริการในรูปแบบ Android OEM ของผู้ผลิตที่เป็น Android partner กับ Google

ในการจัดตั้งทีม APVI นั้น Google มีเป้าหมายเพื่อทำการรวบรวมปัญหาด้านความปลอดภัยต่างๆ จากนักวิจัยด้านความปลอดภัย ซึ่งจะรายงานผ่านช่องทางเช่น Android Security Rewards Program (ASR), Google Play Security Rewards Program, Android Open Source Project (AOSP) และ Android Security Bulletins (ASB) เพื่อแก้ไขปัญหาที่ Google ค้นพบหรือได้รับรายงาน ซึ่งปัญหาและช่องโหว่อาจส่งผลกระทบต่อความปลอดภัยของอุปกรณ์ Android หรือผู้ใช้งาน Android เช่น ปัญหาจาก permissions bypasses, การเรียกใช้โค้ดใน kernel, credential leak และปัญหา backup ไม่ได้เข้ารหัสใน Android OEM ที่ผลิตโดย Android partner ทั้งนี้ผู้ที่สนใจรายละเอียดสามารถอ่านเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: security.

Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.

Google ได้เปิดตัวแพตช์ประจำเดือนเดือนสิงหาคมสำหรับระบบปฏิบัติการ Android เพื่อแก้ไขปัญหาที่มีความรุนแรงสูงใน framework component ซึ่งหากใช้ประโยชน์จากช่องโหว่ที่ทำการเเก้ไขอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดระยะไกล (RCE) บนอุปกรณ์มือถือ Android ได้

Google กล่าวว่าช่องโหว่ที่ได้รับการเเพตซ์ในเดือนนี้นั้นเป็นช่องโหว่ความรุนเเรงระดับสูงอยู่ 54 รายการ ซึ่งพบว่าอุปกรณ์มือถือ Android ที่ใช้ชิปของ Qualcomm มีช่องโหว่มากถึง 31 รายการ โดยช่องโหว่ที่ได้รับการเเก้ไขและมีความสำคัญเช่นช่องโหว่ CVE-2020-0240 เป็นช่องโหว่ที่อาจช่วยให้ผู้โจมตีจากระยะไกลที่ใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษทำการรันโค้ดในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ เป็นต้น

ทั้งนี้ผู้ใช้งานอุปกรณ์มือถือ Android ควรทำการอัปเดตอุปกรณ์มือถือ Android ให้เป็นเวอร์ชั่นปัจจุบันเพื่อป้องกันผู้ประสงค์ร้ายหาประโยชน์จากช่องโหว่และเพื่อป้องกันข้อมูลของผู้ใช้เอง

ผู้ที่สนใจรายละเอียดการอัพเดตเพิ่มเติมสามารถติดตามรายละเอียดได้ที่: https://source.

พบ Chrome Extension อันตราย แอบเพิ่มโฆษณาในผลการค้นหาจาก Google และ Bing

บริษัท AdGuard ผู้ให้บริการโซลูชันการบล็อกโฆษณาได้เปิดเผยถึงการค้นพบ Extension ที่เป็นอันตรายบน Chrome Extension จำนวน 295 Extension ซึ่งทั้งหมดนั้นอยู่บนออฟฟิเชียลของ Chrome Web Store มีผู้ติดตั้งรวมกันกว่า 80 ล้านราย

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ 295 Extension ที่ตรวจพบนั้น Extension ทั้งหมดนั้นได้ทำการโหลดโค้ดที่เป็นอันตรายจาก fly-analytics.