ADPT

Check Point ช่วยแก้ไขช่องโหว่บนหน่วยความจำใน Linux

Check Point ได้ช่วยบรรเทาปัญหาที่แอบซ่อนอยู่ในไลบรารี GNU C ของ Linux (glibc) ซึ่งค้างคามาเป็นเวลาหลายปี 

Credit: ShutterStock.com

ไอเดียมีความต่อเนื่องมากจากเหตุการณ์ที่อุปกรณ์หลอดไฟ IoT หรือ Philips Hue smart light ถูกโจมตีในส่วนของ Linked List (Data Structure แบบหนึ่ง) ที่ไม่ได้รับการป้องกัน ด้วยเหตุนี้ล่าสุดทาง Check Point จึงเกิดไอเดียเป็นกลไกช่วยป้องกันที่ชื่อว่า ‘Safe-Linking’

แนวคิดคือจะทำการ Signing ตัว Pointer ของ Single Linked-list ด้วยค่าสุ่มที่ได้จากฟังก์ชัน Address Space Layout Randomization (ASLR) ด้วยเหตุนี้เองจึงช่วยบรรเทาปัญหาการโจมตีที่เกิดขึ้นกับ malloc ให้ทำได้ยากขึ้น (ไม่ใช่การแก้ไขอย่างเด็ดขาด) 

คำถามคือทำไมช่องโหว่นี้ถึงค้างคามานานทาง Check Point แนะว่า “ฝั่งโจมตีรู้มาพักใหญ่แล้ว แต่ฝั่งพัฒนาไลบรารีกลับไม่ตระหนักเลยจึงไม่มีการแก้ไข” ต่อไปแพตช์ใหม่นี้จะถูกรวมเข้าไว้ในไลบรารี C ของ glibc และในวันที่ 20 สิงหาคมจะถูกปล่อยออกมาใน glibc เวอร์ชัน 2.32

ที่มา :  https://www.zdnet.com/article/check-point-released-an-open-source-fix-for-common-linux-memory-corruption-security-hole/ และ https://betanews.com/2020/05/21/check-point-linux-fix/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Comarch Wealth Management: Software สำหรับทีมที่ปรึกษาทางการเงินของธนาคาร ช่วยบริหารความมั่งคั่งให้กับลูกค้าได้ด้วยข้อมูลและ AI

อีกหนึ่งบริการใหญ่ที่เหล่าธนาคารและสถาบันการเงินต่างขับเคี่ยวกันอย่างเข้มข้นในประเทศไทยนั้น ก็คือบริการด้านการบริหารความมั่งคั่งให้กับลูกค้าของธนาคารหรือ Wealth Management ที่ทำให้ธนาคารได้พลิกบทบาทจากการเป็นเพียงแค่ผู้ดูแลเงิน มาสู่การเป็นที่ปรึกษาทางการเงินเพื่อให้ลูกค้าของธนาคารสามารถตอบโจทย์ที่แตกต่างกันไปด้วยการออมและการลงทุนที่เหมาะสมนั่นเอง แต่การให้บริการเหล่านี้ก็ไม่ใช่เรื่องง่าย เพราะโจทย์ของลูกค้าแต่ละคนนั้นแตกต่างกันออกไปตามเป้าหมายและสถานะทางการเงิน รวมถึงวิธีการคิดและการวางแผนนั้นก็ยังมีหลากหลาย ดังนั้นในการทำหน้าที่เป็นที่ปรึกษาทางการเงินที่ดีให้กับลูกค้าได้ ทางธนาคารเองก็ต้องมีระบบที่ดีเพื่อช่วยที่ปรึกษาทางการเงินหรือ Relationship Manager ของธนาคารในการวางแผนเหล่านี้แก่ลูกค้าคนสำคัญ Comarch …

Microsoft เผยบริการ Phishing-as-a-Service เกี่ยวพันกับหลายเหตุการโจมตี

Microsoft ได้ออกมาจับตาเกี่ยวกับขบวนการที่ให้บริการ Phishing-as-a-Service โดยมีความน่ากังวลในหลายประเด็น