Microsoft ออกแพตช์นอกรอบสำหรับแก้ไขช่องโหว่ zero day ใน IE ที่กำลังถูกใช้โจมตี ควรอัปเดตโดยด่วน

Microsoft ออกแพตช์นอกรอบสำหรับแก้ไขช่องโหว่ zero day ใน Internet Explorer โดยช่องโหว่ดังกล่าวได้รับ CVE-2018-8653 ช่องโหว่นี้ถูกแจ้งมายัง Microsoft โดยนักวิจัยภัยคุกคามของ Google หลังจากพบการโจมตีผ่านช่องโหว่ดังกล่าว

ผู้โจมตีจะทำการสร้างหน้าเว็บที่มีคำสั่งพิเศษเพื่อโจมตีช่องโหว่ จากนั้นหลอกให้ผู้ใช้งานเข้าสู่เว็บดังกล่าว เมื่อโจมตีสำเร็จ ผู้โจมตีสามารถรันคำสั่งอันตรายด้วยสิทธิ์ของผู้ใช้งานที่กำลังใช้งาน Internet Explorer อยู่ในขณะนั้นได้

ช่องโหว่นี้ส่งผลกระทบกับ Internet Explorer 9 ถึง Internet Explorer 11 บน Windows 7 ถึง Windows 10 และ Windows Server 2008 ถึง 2019

นอกจากการอัปเดตแพตช์แล้ว ยังสามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยปิดการเข้าถึง JScript.

ทีมนักวิจัยจาก FireEye ได้ค้นพบช่องโหว่ใหม่ของ IE ในรหัส CVE-2014-1776 ซึ่งส่งผลกระทบในทุกๆ เวอร์ชั่นของ IE โดยช่องโหว่นี้สามารถทำให้แฮกเกอร์โจมตีผู้ใช้โดยการสั่งรันคำสั่งอันตรายได้จากระยะไกล (remote code execution)

เป็นช่องโหว่ที่เกิดขึ้นเมื่อ IE ทำการเข้าถึงพื้นที่หรือออบเจ็กต์ในหน่วยความจำที่ไม่มีอยู่จริง (use-after-free) ซึ่งเกิดขึ้นได้จากการถูก free ไปแล้ว ทำให้เกิดเป็นพื้นที่หน่วยความจำว่างๆ หลังจากนั้นอาจมีการใช้ช่องโหว่ของแฟลชในการเข้าถึงหน่วยความจำและข้ามผ่านการทำงานของฟังก์ชัน DEP และ ASLR การโจมตีจะสำเร็จได้ขึ้นอยู่กับสองปัจจัยคือแฮกเกอร์สามารถรันคำสั่งได้ รวมไปถึงมีการใช้ vector markup language (VML) และแฟลชอยู่

ที่มา : ehackingnews

James Forshaw นักวิจัยความปลอดภัยจาก Context Information Security รายงานบั๊กความปลอดภัยที่มีปัญหาระดับสูง IE11 Preview ทำให้ได้รับเงินจากโครงการตามล่าบั๊ก IE11 ทำให้ได้รับเงินรวม 109,400 โดยเป็นรายงานบั๊ก "Mitigation Bypass" ที่มีรางวัลสูงสุด 100,000 ดอลลาร์ และบั๊กอื่นๆ อีก 5 รายการ ถึงตอนนี้ไมโครซอฟท์จ่ายเงินรางวัลล่าบั๊กใน IE11 ไปแแล้ว 128,000 ดอลลาร์ให้กับนักวิจัย 6 คน  โดยที่ Mitigation Bypass เป็นบั๊กระดับสูงสุดที่เงินรางวัลสูงเพราะเป็นการป้องกันระดับระบบปฎิบัติการ และการแก้ปัญหานี้ได้ทำให้ไมโครซอฟท์เสริมความแข็งแกร่งให้กับระบบปฎิบัติการได้ทั้งหมด ไม่ใช่เพียง IE เท่านั้น

ที่มา : blognone

James Forshaw นักวิจัยความปลอดภัยจาก Context Information Security รายงานบั๊กความปลอดภัยที่มีปัญหาระดับสูง IE11 Preview ทำให้ได้รับเงินจากโครงการตามล่าบั๊ก IE11 ทำให้ได้รับเงินรวม 109,400 โดยเป็นรายงานบั๊ก "Mitigation Bypass" ที่มีรางวัลสูงสุด 100,000 ดอลลาร์ และบั๊กอื่นๆ อีก 5 รายการ ถึงตอนนี้ไมโครซอฟท์จ่ายเงินรางวัลล่าบั๊กใน IE11 ไปแแล้ว 128,000 ดอลลาร์ให้กับนักวิจัย 6 คน  โดยที่ Mitigation Bypass เป็นบั๊กระดับสูงสุดที่เงินรางวัลสูงเพราะเป็นการป้องกันระดับระบบปฎิบัติการ และการแก้ปัญหานี้ได้ทำให้ไมโครซอฟท์เสริมความแข็งแกร่งให้กับระบบปฎิบัติการได้ทั้งหมด ไม่ใช่เพียง IE เท่านั้น

ที่มา : blognone