สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ ZK Framework ลงในแค็ตตาล็อกช่องโหว่ (KEV) โดยช่องโหว่มีหมายเลข CVE-2022-36537 มีคะแนน CVSS: 7.5 โดยส่งผลกระทบต่อ ZK Framework เวอร์ชัน 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 และ 8.6.4.1 ทำให้ผู้โจมตีสามารถดึงข้อมูลที่มีความสำคัญผ่านคำขอที่สร้างขึ้นเป็นพิเศษ (more…)

นักวิจัยด้านความปลอดภัย Khaled Nassar ได้เผยแพร่โค้ด proof-of-concept (PoC) สำหรับช่องโหว่ Digital signature bypass ใหม่ใน Java ซึ่งมีหมายเลข CVE-2022-21449 (CVSS score: 7.5) โดยช่องโหว่นี้ค้นพบโดย Neil Madden นักวิจัยของ ForgeRock ซึ่งเคยแจ้ง Oracle เมื่อวันที่ 11 พฤศจิกายน 2021

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Java SE และ Oracle GraalVM Enterprise Edition ในเวอร์ชันต่อไปนี้:

Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2

ผู้โจมตีไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ แค่สามารถเข้าถึงเครือข่ายได้ผ่านทางโปรโตคอลต่างๆ ก็สามารถอาศัยช่องโหว่เพื่อเข้าควบคุม Oracle Java SE และ Oracle GraalVM Enterprise Edition ได้ ซึ่งหากสามารถโจมตีได้สำเร็จอาจส่งผลให้มีการสร้าง ลบ หรือแก้ไขการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต หรือข้อมูลของ Oracle Java SE, Oracle GraalVM Enterprise Edition ที่เข้าถึงได้ทั้งหมด

ช่องโหว่นี้ถูกเรียกว่า Psychic Signatures ซึ่งอยู่ในการนำ Elliptic Curve Digital Signature Algorithm (ECDSA) ของ Java ไปใช้ โดยช่องโหว่นี้ช่วยให้ blank signature ได้รับการยอมรับว่าถูกต้องบนระบบที่มีช่องโหว่ ซึ่งหากมีการโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้ผู้โจมตีสามารถทำการปลอมแปลง signatures และ bypass มาตรการตรวจสอบสิทธิ์ได้

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดย Oracle ด้วย Critical Patch Update (CPU) ประจำไตรมาสเดือนเมษายน 2022 ที่มีการเผยแพร่เมื่อวันที่ 19 เมษายน 2022 ที่ผ่านมา จึงขอแนะนำให้องค์กรที่ใช้ Java เวอร์ชัน 15, 16, 17 หรือ 18 ควรติดตั้งการอัปเดตความปลอดภัยทันที

ที่มา : thehackernews.

Oracle ออก Patch แก้ไขช่องโหว่ 250 รายการ โดย Product ที่มีการแพทซ์มากที่สุด คือ Oracle Fusion Middleware 38 รายการ, Oracle Hospitality Applications 37 รายการ และ Oracle MySQL 25 รายการ

นักวิจัยด้านความปลอดภัยจาก Onapsis เปิดเผยช่องโหว่ที่มีความเสี่ยงสูงที่พบใน Oracle คือ ช่องโหว่ SQL injections ใน E-Business Suite (EBS) เวอร์ชัน 12.1 และ 12.2 ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงข้อมูลและแก้ไขเอกสารที่สำคัญได้ เช่น ข้อมูลบัตรเครดิต, ข้อมูลลูกค้า, เอกสารด้านทรัพยากรบุคคลหรือบันทึกทางการเงิน โดยไม่ต้องใช้ Username และ Password

สำหรับไตรมาสนี้ Java Platform, Standard Edition ได้รับการแก้ไขปัญหาด้านความปลอดภัยใหม่ 22 รายการ ที่กระทบต่อ Java Advanced Management Console, Java SE, Java SE Embedded และ JRockit

ผู้ใช้ Oracle สามารถตรวจสอบช่องโหว่ของผลิตภัณฑ์ และ Patch ได้ที่ http://www.

นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ที่ถูกสร้างด้วย Java สามารถทำงานข้าม platform บน Windows, Mac and Linux ได้

มัลแวร์ดังกล่าวใช้ช่องโหว่ (CVE-2013-2465) เพื่อให้แพร่กระจายไปยังเครื่องของเหยื่อ หลังจากนั้น BOT จะทำการคัดลอกตัวเองไปยัง user's home directory พร้อมกับเพิ่มตัวเองเข้าไปใน autostart programs เมื่อเหยื่อทำการ reboots เครื่อง มัลแวร์ดังกล่าวก็จะทำงานเพื่อคัดลอกตัวเองจากตัวหลัก (master)

เป้าหมายหลักของมัลแวร์ตัวนี้จะสามารถโจมตีในรูปแบบ Distributed-denial-of-service(DDOS) ได้ โดยแฮกจะเป็นผู้สั่งงานมายังมัลแวร์

ที่มา : ehackingnews

นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ที่ถูกสร้างด้วย Java สามารถทำงานข้าม platform บน Windows, Mac and Linux ได้

มัลแวร์ดังกล่าวใช้ช่องโหว่ (CVE-2013-2465) เพื่อให้แพร่กระจายไปยังเครื่องของเหยื่อ หลังจากนั้น BOT จะทำการคัดลอกตัวเองไปยัง user's home directory พร้อมกับเพิ่มตัวเองเข้าไปใน autostart programs เมื่อเหยื่อทำการ reboots เครื่อง มัลแวร์ดังกล่าวก็จะทำงานเพื่อคัดลอกตัวเองจากตัวหลัก (master)

เป้าหมายหลักของมัลแวร์ตัวนี้จะสามารถโจมตีในรูปแบบ Distributed-denial-of-service(DDOS) ได้ โดยแฮกจะเป็นผู้สั่งงานมายังมัลแวร์

ที่มา : ehackingnews

Oracle Java SE มีช่องโหว่ที่สามารถทำ security-bypass ใน Java Runtime Environment(JRE)
โดยสามารถทำให้ผู้โจมตี bypass ข้อจำกัดด้านความปลอดภัยและอาจจะส่งผลให้มีการโจมตีอื่นๆตามมา
ช่องโหว่นี่ถูกพบใน 7 Update 13 และเวอร์ชั่นก่อนหน้า

ที่มา: securityfocus