Google Project Zero พาแกะ 3 ฟีเจอร์ใหม่ใน iMessage ของ iOS 14 ลดโอกาสโดน Zero-CLick Exploit ได้

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet

Remotely Exploitable Flaw Found In HP Enterprise Printers—Patch Now

นักวิจัยพบช่องโหว่ภายในโปรแกรมของเครื่องปริ้นเตอร์ HP ที่อาจถูกรีโมทเข้ามาสั่งรัน code อันตรายใดๆได้ ช่องโหว่ (CVE-2017-2750) ถูกจัดระดับความอันตรายอยู่ในระดับสูง(High) สาเหตุมาจากการตรวจสอบไฟล์บางส่วนของ Dynamic Link Libraries (DLL) ที่ไม่ครอบคลุมเพียงพอ โดยมีปริ้นเตอร์ที่ได้รับผลกระทบ 54 รุ่น ตั้งแต่รุ่น HP LaserJet Enterprise, LaserJet Managed, PageWide Enterprise และ OfficeJet Enterprise printers
ช่องโหว่ RCE(RemoteCode Execution) นี้ ถูกพบขณะที่นักวิจัยจากบริษัทด้านความปลอดภัย FoxGlove กำลังพยายามวิเคราะห์ความปลอดภัยของปริ้นเตอร์รุ่น MFP-586 printer และ HP LaserJet Enterprise M553 printers จากข้อมูลระบุว่านักวิจัยสามารถสั่งรันโค้ดบนเครื่องปริ้นเตอร์ที่ได้รับผลกระทบได้โดยการทำ Reverse Engineering กับไฟล์ ".BDL" ซึ่งถูกใช้ทั้งใน HP Solutions และใน Firmware อัพเดท
ทั้งนี้ได้มีการแจ้งช่องโหว่ดังกล่าวให้ทาง HP ทราบตั้งแต่เดือนสิงหาคมที่ผ่านมา และได้มีการแก้ไขพร้อมทั้งปล่อยตัวอัพเดท firmware ให้กับปริ้นเตอร์ที่ได้รับผลกระทบแล้ว โดยสามารถเข้าไป download ได้ที่เว็ปไซต์ทางการของ HP เลือก Support > Software & drivers จากนั้นระบุรุ่นปริ้นเตอร์ของตนเองใน search

ดาวน์โหลด >>> https://support.