Google กำลังทยอยเปลี่ยนแปลง Chromium โดย "ลดระดับสิทธิ์ (de-elevates)" ของ Google Chrome เพื่อไม่ให้เบราว์เซอร์ทำงานในโหมดของผู้ดูแลระบบ ซึ่งเป็นการเพิ่มความปลอดภัยบนระบบปฏิบัติการ Windows (more…)

โปรแกรมป้องกันไวรัสของ Trend Micro ได้แก้ไขข้อผิดพลาด ที่ส่งผลให้ Apex One endpoint ตรวจจับการอัปเดต Microsoft Edge ว่าเป็นมัลแวร์ และทำให้ registry ของ Windows ถูกแก้ไขอย่างไม่ถูกต้อง

ตามรายงานจากผู้ใช้งานหลายร้อยรายเมื่อต้นสัปดาห์นี้ในฟอรัมของบริษัท และบนเครือข่ายสังคมออนไลน์ ว่าเกิดการตรวจจับที่ผิดพลาดกับแพทช์การอัปเดตของ Microsoft Edge  โดย Trend Micro Apex One ระบุว่าการอัปเดตเบราว์เซอร์ลักษณะดังกล่าวเป็นไวรัส/มัลแวร์: TROJ_FRS.VSNTE222 และไวรัส/มัลแวร์: TSC_GENCLEAN

(more…)

นักวิจัยด้านความปลอดภัยจาก Check Point ได้เปิดเผยถึงช่องโหว่ในไลบรารี Play Core ซึ่งเป็นไลบรารีของ Android ยอดนิยมที่ช่วยให้นักพัฒนาสามารถจัดการโมดูลและฟีเจอร์ใหม่ได้อย่างมีประสิทธิภาพ โมดูลนี้ถูกใช้ในแอปพลิเคชันยอดนิยมมากมายรวมถึง Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder และ PowerDirector ด้วยช่องโหว่จากไลบรารีนี้จะทำให้ผู้ใช้ Android ตกอยู่ในความเสี่ยงต่อการถูกขโมยข้อมูลที่ละเอียดอ่อน เช่น อีเมล และรหัสผ่านที่ใช้ทางการเงิน เป็นต้น

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-8913 (CVSSv3: 8.8/10) จะส่งผลกระทบกับ Android ไลบรารี Play Core เวอร์ชันก่อน 1.7.2. โดยผู้ประสงค์ร้ายสามารถใช้ประโยชน์จากช่องโหว่เพื่อโหลดและรันโค้ดที่เป็นอันตราย (เช่นไฟล์ APK) ไปยังแอปที่เป็นเป้าหมาย และส่งผลให้ผู้โจมตีสามารถขโมยรายละเอียดการเข้าสู่ระบบ, รหัสผ่าน, SMS ยืนยันที่มีโค้ด 2FA, รายละเอียดทางการเงินและข้อมูลที่ละเอียดอ่อนอื่น ๆ ของผู้ใช้

นักวิจัยยังกล่าวอีกว่าในปัจจุบันพบว่าแอปพลิเคชันบน Google Play จำนวน 13% ที่มีความเสี่ยงและจากข้อมูลการวิเคราะห์ในเดือนกันยายน 2020 ที่ผ่านมาพบว่า 8% ของแอปเหล่านั้นมีเวอร์ชันของไลบรารีที่มีช่องโหว่

หลังจากเปิดเผยรายงานผู้พัฒนาแอปพลิเคชันบางรายได้เริ่มทยอยการอัปเดตแอปพลิเคชันแล้ว ทั้งนี้ผู้ใช้ Android ควรทำการอัปเดตแอปพลิเคชันที่ใช้งานให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: thehackernews | bankinfosecurity

โค้ดสำหรับโจมตีช่องโหว่ CVE-2018-8629 บนเว็บเบราเซอร์ Microsoft Edge ถูกเผยแพร่โดยนักวิจัยที่พบช่องโหว่นั้น โดยโค้ดนี้สามารถถูกใช้เพื่อทำการโจมตีจากระยะไกลบนเครื่องที่ยังไม่มีการแพตช์ได้

ช่องโหว่ CVE-2018-8629 กระทบ Chakra ซึ่งเป็น JavaScript engine ภายใน Edge ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งอันตรายด้วยสิทธิเดียวกับผู้ใช้งานที่เข้าสู่ระบบอยู่ ช่องโหว่นี้ถูกระบุว่ามีผลกระทบร้ายแรง (critical) กับระบบปฏิบัติการแทบทุกรุ่นของ Microsoft ยกเว้น Windows Server 2019 และ 2016 ที่ได้รับผลกระทบจากช่องโหว่นี้ระดับปานกลาง (moderate) ซึ่งทาง MIcrosoft ได้แก้ไขช่องโหว่นี้แล้วในแพตช์ปรับปรุงความปลอดภัยของเดือนธันวาคม 2018

Bruno Keith นักวิจัยผู้เป็นคนค้นพบช่องโหว่ได้ปล่อยตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ออกมาเมื่อวันที่ 28 ธันวาคม 2018 โดยโค้ดที่ถูกปล่อยออกมาโดยนักวิจัยสามารถทำให้เกิดการอ่านข้อมูลในหน่วยความจำเกินกว่าที่ควร (out-of-bounds memory read leak) ซึ่งไม่ทำให้เกิดผลกระทบร้ายแรงโดยตรง แต่สามารถถูกผู้ไม่หวังดีนำไปดัดแปลงต่อได้

ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตระบบเพื่อความปลอดภัยจากการโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer

นักพัฒนาจากทีม Google Chrome "Jake Archibald" ค้นพบช่องโหว่ด้านความปลอดภัย "Wavethrough" ในเบราว์เซอร์รุ่นใหม่ๆ ซึ่งส่งผลให้เว็บไซต์ที่ถูกเปิดอยู่ในโปรแกรมเว็บเบราว์เซอร์เดียวกันในขณะนั้นสามารถเข้าถึงข้อมูลระหว่างกันได้

โดยปกตินั้นเมื่อผู้ใช้งานเข้าชมเว็บไซต์ เบราว์เซอร์จะไม่ได้รับอนุญาตให้เรียกดูข้อมูลของเว็บไซต์อื่นๆ ที่ไม่ได้มีที่มาจากเว็บไซต์ที่ผู้ใช้งานเข้าชมอยู่ อย่างไรก็ตามช่องโหว่ Wavethrough นั้นเกิดขึ้นในกรณีของการเรียกหาข้อมูลในลักษณะที่เป็นไฟล์เสียงหรือไฟล์วีดิโอ ที่สามารถถูกเรียกข้ามเว็บไซต์ได้อย่างไม่มีเงื่อนไข

การเรียกหาข้อมูลที่เป็นไฟล์เสียงหรือไฟล์วีดิโอสามารถถูกเรียกได้เป็นส่วนๆ ในกรณีที่ไฟล์อาจมีขนาดใหญ่ เมื่อส่วนย่อยๆ ถูกเรียกและถูกใช้งานจนเกือบครบ เบราว์เซอร์จะพยายามค้นหาชิ้นส่วนต่อไปของไฟล์เพื่อที่จะเรียกและนำมาใช้งานใหม่ อย่างไรก็ตามการเรียกหาข้อมูลแบบเป็นส่วนๆ นี้กลับไม่ได้ถูกครอบคลุมโดยมาตรฐานความปลอดภัยที่ดีพอ ทำให้เกิดการนำไปพัฒนาที่แตกต่างกันและเกิดเป็นช่องโหว่ขึ้นมาได้

Jake Archibald ค้นพบช่องโหว่ Wavethrough ใน Microsoft Edge และ Mozilla Firefox ซึ่งทำให้การเรียกส่วนของข้อมูลนั้นสามารถูกบังคับให้เป็นการเรียกข้ามขอบเขตที่ควรจะเป็น หรือเรียกข้ามเว็บไซต์ได้ โดย Jake ได้แสดงตัวอย่างการโจมตีซึ่งทำให้เขาสามารถดึงข้อมูลของเว็บไซต์ที่มีการล็อกอินค้างอยู่ในโปรแกรมเว็บเบราว์เซอร์ได้

Recommendation : ในขณะนี้ช่องโหว่ดังกล่าวซึ่งตรวจพบใน Microsoft Edge และ Mozilla Firefox ได้ถูกแพตช์แล้ว แนะนำให้ผู้ใช้งานดำเนินการอัปเดตโปรแกรมเว็บเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเพื่อรับแพตช์ช่องโหว่โดยด่วน
Affected Platform : Microsoft Edge และ Mozilla Firefox

ที่มา : thehackernews