VMware ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่อาจถูกใช้ร่วมกันเพื่อเรียกใช้โค้ดที่เป็นอันตรายบน Workstation และ Fusion ที่มีช่องโหว่ ซึ่งทั้ง 2 ช่องโหว่เป็นส่วนหนึ่งของการโจมตีที่ถูกสาธิตโดยนักวิจัยด้านความปลอดภัยของทีม STAR Labs เมื่อเดือนที่ผ่านมาในวันที่ 2 ของงาน Pwn2Own Vancouver 2023 hacking contest

โดยปกติแล้วผู้ให้บริการแต่ละรายมีเวลา 90 วันในการแก้ไขช่องโหว่ Zero-day ที่ถูกโจมตี และ (more…)

ผู้เข้าร่วมแข่งขันในงาน Mobile Pwn2Own competition 2017 ได้รับรางวัลประมาณ $500,000 หลังจากประสบความสำเร็จในการพิสูจน์ช่องโหว่ใน Huawei’s Mate 9 Pro, Apple’s iPhone 7 และ Samsung Galaxy S8 ซึ่งเป็นช่องโหว่ในส่วนของเบราว์เซอร์ , Messaging , การสื่อสารระยะสั้น เช่น การสื่อสารผ่าน NFC , Wi-Fi และ Bluetooth รวมถึง baseband components
ในวันแรกผู้ร่วมแข่งขันได้รับเงินรางวัลจำนวน $350,000 ในการค้นพบช่องโหว่ที่ทำให้สามารถโจมตี Internet Browser บน Galaxy S8 , Safari บน iPhone7 , Baseband บน Mate 9 Pro และ Wi-Fi บน iPhone 7
ในวันที่สอง MWR Labs ได้รับเงินรางวัลจำนวน $25,000 ที่สามารถแฮกแอพพลิเคชันของ Huawei และสามารถเปิดเผยช่องโหว่จำนวน 5 ช่องโหว่ของ Google Chrome บน Mate 9 Pro ได้สำเร็จ
ซึ่งช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถใช้ช่องโหว่ช่วยให้ผู้โจมตีสามารถหลบหลีกการทำงานของ browser sandbox และ data exfiltration นอกจากนี้ทีม MWR ยังได้เงินรางวัลเพิ่มอีก $25,000 ในการแฮก Internet Browser บน Galaxy S8 หลังจากใช้ประโยชน์จาก 11 ช่องโหว่ จาก 6 แอพที่แตกต่างกัน และทำการฝังโค้ดที่เป็นอันตราย รวมทั้งขโมยข้อมูลสำคัญต่างๆ ได้สำเร็จ
Amat Cama นักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Acez ได้รายงานถึงช่องโหว่ stack-based buffer overflow ใน baseband บน Galaxy S8 ที่ทำให้ผู้โจมตีสามารถฝั่งโค้ดที่เป็นอันตรายลงบนเครื่องได้ จึ
งทำให้เขาได้รับเงินรางวัลจำนวน $50,000
เป็นที่น่าสังเกตว่า ถึงแม้จะมีข้อบกพร่องอยู่ในเบราเซอร์ Google Chrome จำนวนมาก แต่ก็ไม่มีใครสามารถตรวจพบช่องโหว่บน Google’s Pixel ได้เลย อย่างไรก็ตามช่องโหว่ที่ถูกค้นพบได้ถูกรายงานไปยังผู้ผลิตที่ได้รับผลกระทบ และได้กำหนดให้เวลาดำเนินการแก้ไข 90 วัน ก่อนที่จะมีการเผยแพร่ช่องโหว่ดังกล่าวนี้สู่สาธารณะ

ที่มา : Hackread