Oracle ปล่อย Critical Patch ประจำเดือนกรกฎาคม 2019
Oracle ปล่อย Critical Patch ให้อัพเดทในวันที่ 16 กรกฎาคม 2019 แก้ไขช่องโหว่ทั้งหมด 319 ช่องโหว่ในหลายผลิตภัณฑ์ ซึ่งหลายๆ ช่องโหว่เป็นช่องโหว่ร้ายแรงที่ได้รับคะแนน CVSS 9.8 ซึ่ง Oracle แนะนำให้ผู้ใช้งานอัพเดท Critical Patch ให้เร็วที่สุดเพื่อหลีกเลี่ยงการโจมตีที่จะเกิดขึ้น โดยสามารถตรวจสอบรายการช่องโหว่ทั้งหมดได้จาก https://www.
NCSC ออกคำเตือนให้ระวังการโจมตี DNS Hijacking
เนื่องจากมีรายงานการโจมตีมีจุดประสงค์เพื่อแก้ไข DNS record หรือที่เรียกกันว่า DNS Hijacking ออกมาเป็นจำนวนมาก หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรมีประกาศคำเตือนพร้อมทั้งวิธีการแก้ไขเพื่อลดผลกระทบเหตุการณ์ประเภทนี้
DNS คือบริการที่ส่งต่อข้อมูลเมื่อผู้ใช้งานพิมพ์ domain ในเว็บเบราว์เซอร์ไปยัง IP ของเซิร์ฟเวอร์เว็บไซต์ ซึ่ง DNS hijacking จะหมายถึงการโจมตีเพื่อการเปลี่ยนการตั้งค่า DNS เพื่อให้ไปยัง IP ที่เป็นอันตรายแทน ทำให้ผู้ใช้งานไม่สามารถเข้าไปยังเว็บที่ถูกต้องได้
รายงานจาก Avast แสดงให้เห็นว่าในช่วงเดือนกุมภาพันธ์ - มิถุนายน มีผู้ใช้งานอย่างน้อย 180,000 คนในบราซิล ที่อุปกรณ์ router ถูกทำการแก้ไขการตั้งค่า DNS และในช่วงปลายมีนาคม Avast Web Shield ได้ช่วยบล็อกการโจมตีแบบ cross-site request forgery (CSRF) ที่โจมตีเพื่อเปลี่ยนการตั้งค่า DNS บน router มากกว่า 4.6 ล้านครั้ง
NCSC ประกาศคำเตือนเกี่ยวกับ DNS Hijacking เมื่อ 12 กรกฎาคม 2019 ที่สรุปความเสี่ยงที่มาพร้อมกับความพยายามใน DNS hijacking และให้คำแนะนำองค์กรเพื่อปกป้องตัวเองจากอันตรายประเภทนี้ ได้แก่
# บัญชีที่ใช้จดทะเบียนกับ domain registrar มักตกเป็นเป้าหมายการโจมตีด้วยวิธี phishing หรือวิธี social engineering อื่นๆ ป้องกันโดยใช้รหัสผ่านที่ไม่ซ้ำกับบริการอื่น และเปิดการใช้งานการยืนยันตัวตนหลายขั้นตอน
# ตรวจสอบรายละเอียดที่เชื่อมโยงกับบัญชีที่ใช้จดทะเบียนกับ domain registrar เป็นประจำและเพื่อแน่ใจว่าข้อมูลเหล่านั้นเป็นข้อมูลล่าสุดและชี้ไปที่องค์กรจริงๆ
# จำกัดการเข้าถึงบัญชีดังกล่าวเฉพาะกับบุคคลภายในองค์กร
# ถ้าองค์กรมีการทำ DNS ของตัวเอง NCSC ขอแนะนำให้ใช้งานระบบควบคุมการเข้าถึงฟังก์ชันสำรองและกู้คืน DNS records รวมถึงจำกัดการเข้าถึงเครื่องเซิร์ฟเวอร์ที่ดูแล DNS
# ใช้งาน SSL monitoring และ Domain Name System Security Extensions (DNSSEC)
โดยผู้ที่สนใจสามารถอ่านประกาศเตือนโดยละเอียดได้จาก https://www.
เตรียมอำลา ฟีเจอร์ XSSAuditor ใน Google Chrome เตรียมถูกถอดถอนหลังถูกพิสูจน์แล้วว่าไม่ช่วยอะไร
ฟีเจอร์ XSS Auditor ใน Google Chrome ซึ่งเป็นหนึ่งในฟีเจอร์สำคัญที่ช่วยปกป้องผู้ใช้งานจากการโจมตีประเภท Cross-site scripting เตรียมเข้าสู่กระบวนการถอดถอนหลังจากที่มีการตรวจสอบแล้วว่าฟีเจอร์นี้ในปัจจุบันอาจสร้างปัญหามากกว่าแก้ไข
เหตุผลหลายประการที่นักพัฒนา Chromium ได้ให้เป็นเหตุผลในการถอดถอนฟีเจอร์ XSS Auditor นั้นได้แก่ กระบวนการตรวจจับที่ออกแบบมาให้ตรวจจับเฉพาะ Reflective XSS เป็นส่วนใหญ่และสามารถถูกบายพาสได้ด้วยหลายวิธีการ, การตรวจจับบางครั้งก็ทำให้เว็บไซต์บางรายไม่สามารถเข้าถึงและใช้งานได้ตามปกติ, ไม่มีการจัดการกับสิ่งที่เจออย่างมีประสิทธิภาพและยังนำไปสู่ช่องโหว่ประเภทใหม่ซึ่งชื่อว่า cross-site infoleaks อีกด้วย
กระบวนการทำงานโดยส่วนใหญ่ของกลุ่มเอนจิน anti-XSS นี้โดยส่วนใหญ่ใช้ regular expression ในการสร้างฟิลเตอร์ ซึ่งส่งผลให้โอกาสที่จะเกิด false positive นั้นมีมากขึ้น
ที่มา: groups.