SaltStack แจ้งเตือนและปล่อยแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ใหม่เมื่ออาทิตย์ที่ผ่านมา ช่องโหว่ที่ถูกแพตช์ในครั้งนี้นั้นมีทั้งหมด 3 ช่องโหว่ กระทบซอฟต์แวร์ Salt เวอร์ชัน 3002 และก่อนหน้า รายละเอียดช่องโหว่มีดังนี้

ช่องโหว่ CVE-2020-16846 (High/Critical) เป็นช่องโหว่ shell injection ใน Salt API เนื่องจากมีการใส่ option ในภาษา Pytrhon ที่ไม่ปลอดภัยเอาไว้ในโค้ด
ช่องโหว่ CVE-2020-25592 (High/Critical) เป็นช่องโหว่ authentication bypass ใน Salt API ซึ่งเกิดมาจากการตรวจสอบค่า "eauth" และ "token" ที่ไม่ถูกต้องเมื่อผู้ใช้งานเรียกใช้ Salt ssh
ช่องโหว่ CVE-2020-17490 (Low) เป็นช่องโหว่ที่เกิดจากการตั้งค่าสิทธิ์ที่ไม่เหมาะสมกับไฟล์ private key

แพตช์ช่องโหว่มีการปล่อยออกมาแล้วในเวอร์ชัน 3002.1, 3001.3, และ 3000.5 ขอให้ผู้ใช้งานทำการอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตีโดยช่องโหว่ที่พึ่งถูกค้นพบโดยด่วน

ที่มา: bleepingcomputer

ทวิตเตอร์แจ้งเตือนบั๊กซึ่งอาจส่งให้ผลให้ข้อมูล API key และ token หลุด

Twitter มีการส่งอีเมลแจ้งเตือนไปยังกลุ่มนักพัฒนาซึ่งมีการสร้างและใช้งาน API key ของแพลตฟอร์มเมื่อสัปดาห์ที่ผ่านมาหลังจากตรวจพบว่าที่หน้าเพจ developer.

ช่องโหว่ใหม่บน OS X และ iOS ถูกค้นพบโดยนักวิจัยจาก Indiana University, Georgia Tech และ Peking University โดยช่องโหว่นี้สามารถโจมตีได้ 3 ทางคือ Keychain Access, App Container และ URL Scheme และสามารถขโมยข้อมูลที่เป็นความลับได้ เช่น รหัสผ่านสำหรับ iCloud, อีเมล์, ธนาคาร หรือ Token ลับสำหรับ Evernote เป็นต้น ซึ่งจากการทดสอบแอพพลิเคชั่นบน Mac OS X มากกว่า 1,600 แอพ และมากกว่า 200 แอพพลิเคชันบน iOS พบว่า 88.6% สามารถโจมตีแบบ XARA ได้ประสบความสำเร็จ

ปกติแล้ว แอพบน OS X และ iOS ที่ดาวน์โหลดมาจาก App Store จะถูกจำกัดพื้นที่ แอพหนึ่งไม่สามารถเข้าถึงข้อมูลที่อีกแอพไม่ได้แชร์ได้ นักวิจัยกลุ่มนี้ค้นพบวิธีเข้าถึงข้อมูลของอีกแอพที่ไม่ได้แชร์เอาไว้ได้ เรียกว่า Cross-App Resource Access หรือ XARA

แอพ Keychain Access เป็นแอพบน OS X เก็บรหัสผ่านจากแอพทุกอย่าง และแอพ Keychain Access นี้ถูกออกแบบให้แอพต่างๆ เข้าถึง Keychain ที่แอพนั้นๆ เป็นผู้สร้างเท่านั้น

ช่องโหว่นี้จะทำให้แอพที่ไม่ประสงค์ดีสร้าง Keychain สำหรับแอพที่ยังไม่ได้ติดตั้งรอไว้ก่อน โดยหวังว่าผู้ใช้จะติดตั้งแอพนั้น เมื่อแอพจริงถูกติดตั้งไปแล้ว แอพที่ไม่ประสงค์ดีที่สร้าง Keychain เอาไว้แต่แรกก็มีสิทธิ์เข้าถึง Keychain ของแอพจริงได้ทั้งหมด หรืออีกกรณีหนึ่ง หากแอพจริงติดตั้งไว้ก่อนหน้านี้แล้ว แอพที่ไม่ประสงค์ดีจะสามารถลบรหัสผ่านออกได้ และเมื่อผู้ใช้กรอกรหัสผ่านอีกครั้ง แอพที่ไม่ประสงค์ดีก็มีสิทธิ์เข้าถึงรหัสผ่านนั้นด้วย

ทาง Apple และผู้ให้บริการแอพพลิเคชั่นหลากหลายประเภทได้รับแจ้งเรื่องช่องโหว่การโจมตี XARA ตั้งแต่เดือนตุลาคมปี 2014 ซึ่งบางผู้บริการก็ได้ออกคำแนะนำและวิธีการเพื่อป้องกันช่องโหว่ดังกล่าวแล้ว แต่ยังไม่สามารถแก้ไขช่องโหว่นี้ได้ 100%

ที่มา : ars technica

เมื่อช่วงวันหยุดที่ผ่านมา Buffer บริการจัดการโซเชียลเน็ตเวิร์คแบบหลายแพลตฟอร์มถูกแฮก และมีบัญชีผู้ใช้บางส่วนถูกนำไปโพสต์ข้อความสแปม และตอนนี้ Joel Gascoigne ซีอีโอของ Buffer ก็ออกมายอมรับสถานการณ์ดังกล่าวแล้ว

Gascoigne บอกว่า Buffer นั้นถูกแฮกจริง แต่ข้อมูลสำคัญจำพวกรหัสผ่าน และข้อมูลการเงินนั้นไม่มีผลกระทบจากการแฮกครั้งนี้แต่อย่างใด

จากการแก้ปัญหาเหตุการณ์นี้ Buffer ได้ยกเลิก token ของบัญชีที่เชื่อมต่อกับทวิตเตอร์ทั้งหมด และเข้ารหัสการเข้าถึง token ของทวิตเตอร์ต่อจากนี้ เช่นเดียวกับการเพิ่มระบบความปลอดภัยสำหรับผู้ใช้ที่เชื่อมต่อกับเฟซบุ๊กเข้ามา ซึ่งจะส่งผลกระทบกับผู้ใช้บ้าง โดยผู้ใช้ที่เชื่อมต่อกับทวิตเตอร์ต้องทำการเชื่อมต่อใหม่อีกครั้ง ส่วนผู้ใช้ที่เชื่อมต่อกับเฟซบุ๊กนั้น ข้อความที่ตั้งเวลาโพสต์ไว้จะไม่สามารถส่งออกได้ แต่ก็สามารถกดส่งใหม่ได้ทันที

ส่วนวิธีการแฮกนั้น ทาง Buffer ระบุคร่าวๆ ว่าฝั่งแฮกเกอร์ได้ใช้วิธีการดัก token ของ Buffer ผ่านผู้ใช้ ซึ่งในตอนแรกยังไม่ได้เข้ารหัสจึงถูกนำไปใช้ได้ทันที โดยตัวเลขของเพจบนเฟซบุ๊กที่มีผลกระทบอยู่ที่ประมาณ 30,000 เพจ (ราว 6.3% ของผู้ใช้ Buffer ทั้งหมดที่เชื่อมต่อกับเฟซบุ๊ก) ซึ่งวิธีการดังกล่าว Buffer ระบุว่าได้ทำการแก้ไขไปเรียบร้อยแล้ว

ที่มา : blognone

แคนาดาได้นำการใช้ Token มาใช้ในการรักษาความปลอดภัยในการใช้งานธนาคารให้กับลูกค้า
สำหรับสามธนาคารได้แก่ TD, Bank of Montreal และ Bank of Nova Scotia ซึ่งลูกค้า
ของธนาคารสามารถที่จะใช้บัญชีของตัวเองในการเข้าถึงข้อมูลในหน่วยงานของรัฐได้มากถึง 120
หน่วยงาน เช่น ข้อมูลบำนาญ, ภาษี, หรือสวัสดิการต่าง ๆ

โดยที่ลูกค้าจำเป็นที่จะต้องไปที่ธนาคารและนำ token นี้ไปทำการทำการผูกบัญชีก่อน ซึ่งธนาคารก็
จะส่งข้อมูลนี้ไปยัง SecureKey และหลังจากนั้นก็ส่งข้อมูลไปยังหน่วยงานสรรพากรของแคนาดา
เมื่อได้รับการอนุมัติแล้วบัญชีของลูกค้าก็จะถูกผูกเข้ากับข้อมูลต่าง ๆ

SecureKey ได้รับเงินสนับสนุนจาก Intel เนื่องจาก Intel ก็ได้ใช้ระบบดังกล่าวในโครงการ Intel
Identity Protection Technology โดยที่ SecureKey นั้นมีความปลอดภัยสูง แต่ว่าง่ายต่อ
การใช้งานมาก เช่น หากผู้ใช้ไปพบแพทย์ เขาก็เพียงแค่แตะบัตรที่คลินิคก็สามารถที่จะระบุตัวตนได้แล้ว
และตอนนี้ในแคนาดาก็สามารถใช้ SecureKey ในโทรศัพท์มือถือได้แล้วด้วย

ที่มา: forbes

แคนาดาได้นำการใช้ Token มาใช้ในการรักษาความปลอดภัยในการใช้งานธนาคารให้กับลูกค้า
สำหรับสามธนาคารได้แก่ TD, Bank of Montreal และ Bank of Nova Scotia ซึ่งลูกค้า
ของธนาคารสามารถที่จะใช้บัญชีของตัวเองในการเข้าถึงข้อมูลในหน่วยงานของรัฐได้มากถึง 120
หน่วยงาน เช่น ข้อมูลบำนาญ, ภาษี, หรือสวัสดิการต่าง ๆ

โดยที่ลูกค้าจำเป็นที่จะต้องไปที่ธนาคารและนำ token นี้ไปทำการทำการผูกบัญชีก่อน ซึ่งธนาคารก็
จะส่งข้อมูลนี้ไปยัง SecureKey และหลังจากนั้นก็ส่งข้อมูลไปยังหน่วยงานสรรพากรของแคนาดา
เมื่อได้รับการอนุมัติแล้วบัญชีของลูกค้าก็จะถูกผูกเข้ากับข้อมูลต่าง ๆ

SecureKey ได้รับเงินสนับสนุนจาก Intel เนื่องจาก Intel ก็ได้ใช้ระบบดังกล่าวในโครงการ Intel
Identity Protection Technology โดยที่ SecureKey นั้นมีความปลอดภัยสูง แต่ว่าง่ายต่อ
การใช้งานมาก เช่น หากผู้ใช้ไปพบแพทย์ เขาก็เพียงแค่แตะบัตรที่คลินิคก็สามารถที่จะระบุตัวตนได้แล้ว
และตอนนี้ในแคนาดาก็สามารถใช้ SecureKey ในโทรศัพท์มือถือได้แล้วด้วย

ที่มา: forbes