ทีม Drupal Security ได้มีการประกาศแพตช์ในโมดูล Custom Tokens วันนี้ โดยแพตช์ดังกล่าวเป็นแพตช์ของปัญหาด้านความปลอดภัยซึ่งอาจทำให้ผู้โจมตีรันโค้ด PHP ที่เป็นอันตรายได้

โมดูล Custom Tokens นั้นเป็นโมดูลที่ใช้ในการตั้งค่าการทำงานของ token API ใน Drupal ปัญหาของ Custom Tokens เกิดขึ้นเมื่อมีการสร้าง token ที่ไม่ได้มีการจำกัดสิทธิ์อย่างเหมาะสม ซึ่งอาจทำให้ผู้ใช้งานที่มีสิทธิ์ในระดับต่ำสามารถรันโค้ดที่เป็นอันตรายได้

Drupal Security ให้ความเห็นว่าช่องโหว่ในลักษณะนี้สามารถถูกลดผลกระทบได้เนื่องจากผู้โจมตีจะต้องมีสิทธิ์ที่เรียกว่า "administer custom tokens" ก่อน ทำให้ช่องโหว่นี้จึงไม่ได้ช่องโหว่ที่มีความรุนแรงมากนัก

สำหรับผู้ใช้งาน Drupal ควรดำเนินการอัปเดตโมดูล Custom Tokens เป็น 7.x-1.2 สำหรับผู้ใช้งานในรุ่น 1.x และ 7.x-2.0 สำหรับผู้ใช้งานในรุ่น 2.x เพื่อรับแพตช์ช่องโหว่ดังกล่าว

ที่มา : drupal

ไมโครซอฟต์ได้ประกาศ Patch Tuesday ประจำเดือนมิถุนายน 2018 แล้วเมื่อวันอังคารที่ผ่านมาโดยในรอบนี้นั้นมีช่องโหวที่ถูกแก้ไขทั้งหมด 50 รายการ รวมไปถึงแพตช์สำหรับ Meltdown, Spectre และ Spectre variant 4 หรือ Spectre NG อีกด้วย

จาก 50 ช่องโหว่ที่ได้รับการแพตช์ไปนั้น มีช่องโหว่ที่มีความรุนแรงระดับวิกฤติ (critical) ทั้งหมด 11 รายการ ซึ่งโดยส่วนมากเป็นช่องโหว่ที่อยู่ในคอมโพเนนต์ของระบบปฏิบัติการเอง เช่น ในไฟล์ DNSAPI.dll หรือใน HTTP.sys ซึ่งมีช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับในรอบเดือนมิถุนายน 2018 นั้น ยังไม่มีช่องโหว่ใดที่ถูกระบุว่าเป็นช่องโหว่แบบ 0-day หรือช่องโหว่ที่มีการเผยแพร่โค้ดสำหรับโจมตีช่องโหว่ออกมาแล้ว อย่างไรก็ตามผู้ใช้งานก็ควรที่จะดำเนินการอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ที่พึ่งมีการเผยแพร่โดยทันที

ที่มา : bleepingcomputer