Google ได้เปิดตัวการแก้ไขสำหรับช่องโหว่ที่มีความรุนแรงระดับ critical สามจุดใน Media framework ของระบบปฏิบัติการ Android ซึ่งถูกใช้โจมตีด้วยการรันคำสั่งจากระยะไกลได้

ช่องโหว่ remote code execution (RCE) เป็นส่วนหนึ่งของแพตช์อัปเดตความปลอดภัยระบบปฏิบัติการ Android ประจำเดือนตุลาคม 2019 ของ Google ซึ่งการแก้ไขช่องโหว่ระดับ critical และ high เชื่อมโยงกับ CVE ทั้งหมด 9 หมายเลข นอกจากนี้ Qualcomm เป็นผู้ผลิตชิปที่ใช้ในอุปกรณ์ Android ได้ทำการแก้ไขช่องโหว่ที่มีความรุนแรงระดับ critical และ high 18 จุด

จุดบกพร่องระดับ critical สามข้อที่ Google ออกแพตช์ (CVE-2019-2184, CVE-2019-2185, CVE-2019-2186) มีอยู่ใน Media framework Android ซึ่งใช้ในการรองรับการเล่นสื่อประเภทต่าง ๆ ในระบบปฏิบัติการ Android 7.1.1, 7.1.2, 8.0, 8.1 และ 9 จะได้รับผลกระทบโดยเฉพาะจากข้อบกพร่องเหล่านี้

Google กล่าวว่าช่องโหว่เหล่านี้สามารถใช้โจมตีจากระยะไกลได้ โดยผู้โจมตีจะใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดอันตรายบนเครื่องของเหยื่อเมื่อเหยื่อเปิดไฟล์ ขณะนี้ยังไม่พบการโจมตี

สามารถศึกษารายละเอียดช่องโหว่ทั้งหมดที่ได้รับการอัปเดตได้จาก android และ qualcomm

ที่มา threatpost

CVE-2019-11815 Remote Code Execution affects Linux Kernel prior to 5.0.8

ระบบปฏิบัติการลินุกซ์ซึ่งรันบนเคอร์เนลรุ่นต่ำกว่า 5.0.8 อาจมีความเสี่ยงหลังจากมีการตรวจพบช่องโหว่ race condition ซึ่งนำไปสู่เงื่อนไขของ use-after-free ส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ CVE-2019-11815 นี้เป็นช่องโหว่ซึ่งอยู่ในส่วนโค้ดที่อิมพลีเมนต์โปรโตคอล TCP/IP โดยการโจมตีนั้นสามารถทำได้เพียงแต่ส่งแพ็คเกต TCP ไปยังระบบเป้าหมายที่มีช่องโหว่จนกว่าจะเกิดเงื่อนไขที่ทำให้การโจมตช่องโหว่นั้นสำเร็จโดยไม่ต้องมีการพิสูจน์ตัวตนและไม่ต้องอาศัยการมีปฏิสัมพันธ์จากผู้ใช้งาน

อย่างไรก็ตามแม้ว่าความรุนแรงของช่องโหว่ตามมาตรฐานของ CVSSv3 จะสูงถึง 8.1/10 แต่ความง่ายในการโจมตีช่องโหว่นั้นกลับได้คะแนนเพียงแค่ 2.2/10 หรือค่อนข้างยาก ส่งผลให้คะแนน CVSSv3 โดยรวมนั้นมีเพียงแค่ 5.9/10 คะแนน

นักพัฒนาเคอร์เนลได้มีการประกาศแพตช์สำหรับช่องโหว่นี้แล้วในช่วงปลายเดือนมีนาคม โดยคาดว่าเคอร์เนลรุ่นใหม่ในรุ่น 5.0.8 ซึ่งจะถูกปล่อยในเร็วๆ นี้จะมีการรวมแพตช์ของช่องโหว่ดังกล่าวไปด้วย

ที่มา : securityaffairs

โค้ดสำหรับโจมตีช่องโหว่ CVE-2018-8629 บนเว็บเบราเซอร์ Microsoft Edge ถูกเผยแพร่โดยนักวิจัยที่พบช่องโหว่นั้น โดยโค้ดนี้สามารถถูกใช้เพื่อทำการโจมตีจากระยะไกลบนเครื่องที่ยังไม่มีการแพตช์ได้

ช่องโหว่ CVE-2018-8629 กระทบ Chakra ซึ่งเป็น JavaScript engine ภายใน Edge ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งอันตรายด้วยสิทธิเดียวกับผู้ใช้งานที่เข้าสู่ระบบอยู่ ช่องโหว่นี้ถูกระบุว่ามีผลกระทบร้ายแรง (critical) กับระบบปฏิบัติการแทบทุกรุ่นของ Microsoft ยกเว้น Windows Server 2019 และ 2016 ที่ได้รับผลกระทบจากช่องโหว่นี้ระดับปานกลาง (moderate) ซึ่งทาง MIcrosoft ได้แก้ไขช่องโหว่นี้แล้วในแพตช์ปรับปรุงความปลอดภัยของเดือนธันวาคม 2018

Bruno Keith นักวิจัยผู้เป็นคนค้นพบช่องโหว่ได้ปล่อยตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ออกมาเมื่อวันที่ 28 ธันวาคม 2018 โดยโค้ดที่ถูกปล่อยออกมาโดยนักวิจัยสามารถทำให้เกิดการอ่านข้อมูลในหน่วยความจำเกินกว่าที่ควร (out-of-bounds memory read leak) ซึ่งไม่ทำให้เกิดผลกระทบร้ายแรงโดยตรง แต่สามารถถูกผู้ไม่หวังดีนำไปดัดแปลงต่อได้

ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตระบบเพื่อความปลอดภัยจากการโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer

ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018

ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่

ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457

ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.

สรุปย่อ
ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Snyk ได้ออกมาเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Zip Slip โดยการโจมตีช่องโหว่ดังกล่าวนั้นอาจทำให้เหยื่อทำการรันโค้ดอันตรายโดยไม่รู้ตัวเมื่อทำการคลายการบีบอัดหรือแตกไฟล์บีบอัดซึ่งถูกสร้างมาอย่างเฉพาะเจาะจง และนำไปสู่ความเสี่ยงต่อคุณสมบัติด้านความปลอดภัยในระบบได้

รายละเอียดช่องโหว่
ช่องโหว่ Zip Slip มีที่มาจากปัญหาของการไม่ตรวจสอบค่านำเข้าของไลบรารีที่ทำหน้าที่ในการคลายการบีบอัดของไฟล์อย่างถี่ถ้วน อีกทั้งไม่มีการทำไลบรารีกลางซึ่งมีความปลอดภัยมากพอในการจัดการกับไฟล์บีบอัด ส่งผลให้เกิดการพัฒนาซอฟต์แวร์หรือการเผยแพร่โค้ดต่างๆ ที่ทำงานได้แต่ไม่มีความปลอดภัย ซึ่งทำให้ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการทำให้เกิดการลักษณะการโจมตีที่เรียกว่า Directory Traversal ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

ช่องโหว่ Zip Slip นั้นถูกตรวจพบในไลบารีในภาษาโปรแกรมมิ่งหลายภาษา อาทิ JavaScript, Ruby, .NET และ Go รวมไปถึง Java ซึ่งมีการใช้โค้ดที่มีช่องโหว่เป็นจำนวนมาก ตัวอย่างหนึ่งของโค้ดที่มีช่องโหว่ในภาษา Java มีตามตัวอย่างด้านล่าง
Enumeration<ZipEntry> entries = zip.

Cisco ได้มีการประกาศการตรวจสอบด้านและแจ้งเตือนความปลอดภัยของซอฟต์แวร์บางส่วนหลังจากมีความเป็นไปได้ว่าซอฟต์แวร์บางรายการนั้นอาจจะได้รับผลกระทบจากช่องโหว่ Apache Struts
ช่องโหว่ Apache Struts ดังกล่าวนั้น เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการโจมตีแบบ remote code execution เพื่อเข้าสั่งการเครื่องเป้าหมายได้จากระยะไกล อ้างอิงจากการประกาศของ Cisco ซอฟต์แวร์ที่ได้รับผลกระทบโดยส่วนมากเป็นซอฟต์แวร์ในกลุ่ม VoIP และซอฟต์แวร์จัดการเครือข่าย ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการของซอฟต์แวร์ที่ได้รับผลกระทบได้จากลิงค์ด้านล่าง
https://tools.

บริษัทความปลอดภัย Trend Micro ค้นพบช่องโหว่ร้ายแรงของ QuickTime for Windows สองช่องโหว่ ได้แก่ ZDI-16-241 และ ZDI-16-242 โดยช่องโหว่ดังกล่าวทำให้แฮกเกอร์อาศัยประโยชน์จากช่องโหว่ เมื่อเหยื่อเข้าชมหน้าเว็บไซต์หรือเปิดไฟล์ที่เป็นอันตราย และสามารถ remote Code Execution เพื่อติดตั้งโปรแกรมอันตรายที่เครื่องเหยื่อ ซึ่งทางแอปเปิ้ลได้หยุดการสนับสนุนการอัพเดตของ QuickTime for Windows ส่งผลให้ผู้ใช้ไม่สามารถอัพเดท QuickTime for Windows ได้

Trend Micro แนะนำให้ผู้ใช้ QuickTime for Windows ทุกคนถอนการติดตั้งโปรแกรมในทันที เนื่องจากแอปเปิ้ลหยุดการพัฒนา QuickTime for Windows มาได้สักระยะแล้ว และรองรับสูงสุดแค่ Windows 7 เท่านั้น (เวอร์ชั่นล่าสุดคือ QuickTime 7.7.9)

ที่มา : trendmicro

Google ได้ออกแพทซ์ล่าสุดมาด้วยกันถึง 16 ชุด โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ที่เปิดให้ผู้โจมตีทำการเข้าควบคุม Android ของผู้ใช้งานได้ผ่านระบบ mediaserver บน Android
ผู้ใช้งาน Google Nexus จะได้รับอัพเดตก่อน ในขณะที่ผู้ผลิตรายอื่นๆ จะได้รับ Source Code ผ่าน Android Open Source Project (AOSP) ภายใน 48 ชั่วโมง และปัจจุบันยังไม่มีรายงานถึงการใช้ช่องโหว่เหล่านี้โจมตีแต่อย่างใด

ที่มา : NETWORKWORLD

Palo Alto Networks ได้ออกมาเปิดเผยถึงช่องโหว่ 4 รายการ ซึ่งรวมถึงช่องโหว่ Remote Code Execution และ DDOS ในนั้นด้วย โดยระบบของ Palo Alto Networks ที่ถูกพบช่องโหว่พร้อมออก Patch มาให้อัพเดตกันอย่างเร่งด่วนมีดังนี้

GlobalProtect/SSL VPN Web Interface พบช่องโหว่ร้ายแรงและช่องโหว่ระดับปานกลางในการทำ Buffer Overflow ที่เปิดให้ผู้โจมตีทำ DoS ได้
Management Web Interface พบช่องโหว่ระดับสูงที่ทำ Remote Code Execution ได้
Command Line Interface พบช่องโหว่ระดับต่ำที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้

สำหรับช่องโหว่เหล่านี้ PAN-OS ที่ได้รับผลกระทบนั้นได้แก่รุ่น 5.0.17, 5.1.10, 6.0.12, 6.1.9, 7.0.5 และก่อนหน้าทั้งหมด ดังนั้นผู้ใช้งาน Palo Alto Networks ควรรีบ Patch ทันที

ที่มา : theregister

Apple เพิ่งประกาศออก iOS รุ่น 9.2.1 มา เพื่ออุดช่องโหว่ไปด้วยกันทั้งสิ้น 13 CVE ซึ่ง 6 ช่องโหว่ในนั้นนำไปสู่การโจมตี Remote Code Execution ได้, แก้ปัญหาบางเครื่องติดตั้ง App ไม่ได้

ช่องโหว่ Remote Code Execution นี้ 5 ช่องโหว่นี้อยู่ใน WebKit ที่ถ้าหากไม่ Patch เป็น iOS 9.2.1 แล้วก็อาจเสี่ยงต่อการถูกโจมตีผ่านหน้าเว็บไซต์ได้ทันที ส่วนช่องโหว่ Remote Code Execution ช่องโหว่สุดท้ายนี้อยู่ใน libxslt ที่โจมตีได้จากการเกิด Type Confusion Error ที่สามารถโจมตีผ่านหน้าเว็บไซต์ได้เช่นกัน

ภายในช่องโหว่ที่เหลือนั้นจริงๆ แล้วก็ยังมีช่องโหว่ที่นำไปสู่การทำ Code Execution อยู่เช่นกัน แต่การโจมตีจะเกิดได้ก็จากการเข้าถึงอุปกรณ์โดยตรงไม่ได้ผ่านระบบเครือข่ายเท่านั้น จึงไม่อันตรายเท่าช่องโหว่ที่กล่าวถึงไปก่อนหน้านี้
ทั้งนี้ iOS 9.2.1 ยังไม่ได้แก้ปัญหาแบตเตอรี่แสดงผลผิดเมื่อมีการตั้งเวลาแบบ Manual บน iPhone 6S และ 6S Plus แต่อย่างใด

ที่มา : theregister