Web Security

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Malwarebytes ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ของแฮ็กเกอร์ เลิกแฮ็กเว็บเพื่อฝังโค้ด Coinhive JavaScript โดยตรงแล้ว แต่กลับใช้ URL Shortener ของ Coinhive ในการแอบขุดเหรียญดิจิทัลแทน เลี่ยงการตรวจจับของโปรแกรม Antivirus

WordPress ระบบ CMS ชื่อดัง ประกาศออกอัปเดต 4.9.7 อุดช่องโหว่ร้ายแรง “Authenticated Arbitrary File Deletion” ที่ค้นพบก่อนหน้านี้แล้ว ผู้ดูแลระบบควรอัปเดตทันที

ไม่นานหลังจากประเด็นข้อมูลรั่วจาก Cambridge Analytica เริ่มซา Facebook ก็ต้องประสบกับปัญหาใหม่ เมื่อข้อมูลผู้ใช้ประมาณ 120 ล้านคนหลุดผ่านการเล่น Quiz App มานานนับปี

Mozilla ได้ออกแพตช์อุดช่องโหว่ให้ผลิตภัณฑ์ Firefox ESR (Expand support release) เวอร์ชัน 52.9 และ 60.1 รวมถึง Firefox 61 โดยมีระดับความร้ายแรงสูงจำนวน 4 รายการ 

นาย John Bergbom นักวิจัยด้านความมั่นคงปลอดภัยจาก Forcepoint ได้ออกมาเตือนว่าตาม Roadmap ของ WebAssembly จะเพิ่มการทำงานสำหรับ Thread ด้วยการ Share memory ซึ่งจะทำให้สามารถสร้าง Timer ที่มีความแม่นยำและขัดแย้งกับวิธีการแก้ไขปัญหา Meltdown และ Spectre ใน Browser ที่พยายามลดความเที่ยงตรงของ Timer 

ตำรวจของยูเครนเข้าจับชายอายุระหว่าง 20-26 ปี 4 คนผู้ต้องสงสัยข้อหาตั้ง 6 เว็บปลอมเพื่อขโมยเงินเทรด Cryptocurrency ของเหยื่อ โดยทางตำรวจกล่าวว่า “พวกเขามีทักษะเฉพาะในด้านการเขียนโปรแกรมและสร้างระบบบริหารจัดการเนื้อหา (CMS) ขั้นมาสำหรับไซต์เหล่านั้น” คนร้ายนั้นได้ใช้วิธีการสร้างความน่าเชื่อถือของเว็บด้วยการแสดงความเห็นบนโลกออนไลน์และให้คะแนนในด้านบวก

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “Web Security 101 รู้จักภัยคุกคามและวิธีปกป้องเว็บแอปพลิเคชันเบื้องต้น” โดย CAT cyfence ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ชื่อว่า Prowli ซึ่งแพร่ระบาดไปยัง Web Servers, Modems และอุปกรณ์ IoT ทั่วโลกไปแล้วกว่า 40,000 เครื่อง เสี่ยงถูกใช้ลอบทำ Cryptocurrency Mining และเปลี่ยนเส้นทางทราฟฟิกของผู้ใช้ไปยังเว็บของแฮ็กเกอร์

Fortinet ได้ประกาศสำคัญ 2 ประเด็น ถึงการเพิ่มความสามารถด้าน Machine Learning ให้กับระบบ Web Application Firewall (WAF) ของตน และการเข้าซื้อกิจการของ Bradford Networks ผู้พัฒนาระบบ Network Access Control (NAC)

นาย Ruslan Habalov นักวิจัยจาก Google และ Dario Weißer พบช่องโหว่ที่ระดับ Browser อย่าง Chrome และ Firefox ที่รองรับฟีเจอร์ ‘mix-blend-node’ ของ Cascading Style Sheet 3 (CSS3) หรือเทคโนโลยีที่ใช้ในการสร้างเว็บเพจ ส่งผลให้ผู้โจมตีสามารถได้รับข้อมูลชื่อผู้ใช้งาน ภาพโปรไฟล์ Facebook และชื่อไซต์ที่ถูกกดไลค์

ProtonMail ผู้ให้บริการโซลูชันด้านความปลอดภัยสำหรับอีเมลได้ออกบริการฟรี VPN รองรับผู้ใช้งานฝั่ง Mac หลังจากที่ก่อนหน้านี้มีเคยให้บริการฟรีสำหรับผู้ใช้ Windows และ Android มาแล้ว

Andres Riancho ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้แจ้งพบช่องโหว่ที่ช่วยให้ผู้โจมตีลัดผ่านกระบวนการ Google reCAPTCHA ในเว็บแอปพลิเคชันที่มีการเรียกใช้งานอย่างไม่ปลอดภัย (/recaptcha/api/siteverify) โดยใช้วิธีการ Http Parameter Pollution ซึ่งนักวิจัยได้ค่าตอบแทนจาก Google ไปประมาณ $500 เหรียญสหรัฐ

ทีมงานด้านความมั่นคงปลอดภัยของ IBM ได้ค้นพบ Banking Trojan ที่ชื่อว่า MnuBot และ เขียนด้วย Delphi ที่ใช้เทคนิคซับซ้อน โดยใช้การเชื่อมต่อและรับคำสั่งผ่านทาง Microsoft SQL จากภายนอกเพื่อหลีกเลี่ยงการตรวจจับของระบบป้องกันทั่วไป

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “7 ขั้นตอนการทำ Cloud Adoption อย่างมั่นคงปลอดภัย” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Google ได้ปล่อย Chrome เวอร์ชัน Stable มาให้ผู้ใช้งานกันแล้วในหมายเลข v67.0.3396.62 ซึ่งจาก Release Note มีความสามารถใหม่ๆ ที่เพิ่มขึ้นมา เช่น  API สนับสนุนเรื่อง AR และ VR เพิ่มความสามารถ API ของ Generic Sensors รองรับโปรโตคอล Passwordless เป็นต้น