It’s 2019 and you can still pwn an iPhone with a website: Apple patches up iOS, Mac bugs in July security hole dump

Apple ได้ประกาศอัปเดตด้านความปลอดภัยในหลายผลิตภัณฑ์

Apple ได้ประกาศอัปเดตด้านความปลอดภัยแก้ช่องโหว่ใน iOs, MacOS, Safari, watchOS และ tvOS ซึ่งส่วนมากเป็นช่องโหว่ใน WebKit browser engine ที่ใช้งานในหลายผลิตภัณฑ์

สำหรับใน iOS รุ่น 12.4 มีการแก้ไขทั้งหมด 37 รายการ ส่วนมากเป็นช่องโหว่ใน WebKit รวม 19 ช่องโหว่ ซึ่งช่องโหว่ส่วนมากเกี่ยวกับ memory corruption ทำให้ผู้ใช้งานถูกโจมตีจากเว็บไซต์อันตรายได้ มีการแก้ช่องโหว่ในแอป wallet ซึ่งทำให้ผู้ใช้จ่ายเงินได้แม้หน้าจอยังล็อค ซึ่งค้นพบโดย Jeff Braswell รวมถึงการแก้ไขข้อผิดพลาดในซอฟต์แวร์ iOS Telephony ที่อนุญาตให้การเชื่อมต่อ Walkie-Talkie ถูกเปิดใช้งานโดยที่ไม่ได้รับอนุญาตพร้อมกับการโทร ค้นพบโดยนักวิจัย Marius Alexandru Boeru และเพื่อนร่วมงาน

MacOS มีช่องโหว่ทั้งหมด 44 ช่องโหว่ในระบบ Mojave, High Sierra และ Sierra โดยช่องโหว่ส่วนมากคือช่องโหว่ใน WebKit เช่นเดียวกับ watchOS และ tvOS

ที่มา:theregister

Critical RCE Vulnerability Found in Palo Alto Networks VPN Product

Palo Alto Networks ออกแพทช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงใน GlobalProtect portal และ GlobalProtect Gateway

Orange Tsai และ Meh Chang ทีมนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ remote code-execution (RCE) ใน GlobalProtect portal และ GlobalProtect Gateway โดยช่องโหว่ดังกล่าวได้รับ CVE-2019-1579 ซึ่งช่องโหว่ดังกล่าวทำให้่ให้ผู้โจมตีสามารถสั่งรันโปรแกรมที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องเข้าสู่ระบบ โดยทีมนักวิจัยได้ทำการเผยแพร่ PoC code สำหรับช่องโหว่ดังกล่าวและอธิบายวิธีการตรวจสอบว่าการติดตั้งมีความเสี่ยงหรือไม่โดยใช้คำสั่งแบบง่าย

ช่องโหว่ดังกล่าวเกิดจาก Gateway ส่งต่อค่าพารามิเตอร์โดยตรง ไม่มีการตรวจสอบและกำจัดค่าที่อาจเป็นอันตราย โดยมีผลกระทบกับ PAN-OS 7.1.18 และรุ่นก่อนหน้า, PAN-OS 8.0.11 และก่อนหน้าและ PAN-OS 8.1.2 และก่อนหน้า ในส่วนของ PAN-OS 9.0 ไม่ได้รับผลกระทบ

Palo Alto Networks ได้ทำการออกอัปเดต PAN-OS เวอร์ชันเป็น 7.1.19, 8.0.12 และ 8.1.3 เพื่อแก้ไขข้อผิดพลาด แนะนำให้ทำการอัปเดตแพตช์เพื่อลดเสี่ยงในการถูกโจมตี

ที่มา:securityweek

Phishers Target Office 365 Admins with Fake Admin Alerts

มีแนวโน้มว่าผู้ไม่หวังดีจะเน้นหลอกลวงผู้ดูแลระบบอีเมลขององค์กร

การโจมตีบัญชีอีเมลของผู้ดูแลระบบคือเป้าหมายหลักของแฮกเกอร์ เพราะจะทำให้ได้สิทธิ์ที่สามารถเข้าถึงบัญชีผู้ใช้งานอื่น หรือสร้างบัญชีผู้ใช้งานใหม่ได้ จากรายงานพบว่ามีการสร้างแคมเปญฟิตชิ่งเพื่อหลอกลวงว่าเป็นการแจ้งเตือนจาก Office 365 ไปยังผู้ดูแลระบบในองค์กร โดยเนื้อหาในอีเมลอาจจะมีเนื้อหาที่เร่งให้ผู้ดูแลระบบต้องรับดำเนินการโดยทันที เพื่อให้ผู้ดูแลระบบขาดความระมัดระวังในการตรวจสอบ เช่น ปลอมเป็นอีเมลที่แจ้งว่า Office 365 ขององค์กรหมดอายุ จากนั้นจะเปิดหน้าเว็บไซต์หลอกลวงให้ลงชื่อเข้าใช้งานเพื่อตรวจสอบข้อมูลการชำระเงิน อีกตัวอย่างเป็นการอ้างว่าเป็นการแจ้งเตือนผู้ดูแลระบบว่ามีคนเข้าถึงบัญชีอีเมลของผู้ใช้คนใดคนหนึ่ง และหลอกให้ผู้ดูแลระบบลงชื่อเข้าใช้งานเพื่อตรวจสอบปัญหา

ผู้ดูแลระบบควรตรวจสอบความถูกต้องของ URL ก่อนกรอกข้อมูลเพื่อเข้าสู่ระบบ หากไม่แน่ใจแนะนำให้ทำการพิมพ์ URL เพื่อเข้าสู่ระบบด้วยตนเอง ไม่ควรกดผ่านลิงก์ที่แนบมาในอีเมลแจ้งเตือน

ที่มา:bleepingcomputer