พบช่องโหว่ Cross Site Scripting บน D-Link NAS 7 รุ่น แนะอัปเดต Patch ด่วน

พบช่องโหว่บน D-Link NAS 7 รุ่น ยังมี Patch ออกมาไม่ครบ

Benjamin Daniel Mussler นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ Cross Site Scripting (XSS) บน D-Link NAS จำนวน 7 รุ่นซึ่งสามารถถูกเจาะได้โดยไม่ต้องหลอกให้ผู้ใช้งานติดตั้ง Malware หรือคลิกลิงค์ใดๆ เลย และทำให้ผู้โจมตีสามารถเข้าถึงการเขียนและอ่านข้อมูลบน NAS ได้อย่างเต็มที่ โดย NAS ทั้ง 7 รุ่นมีดังนี้

ดังนั้นใครใช้ D-Link NAS และมี Firmware รุ่นดังกล่าวหรือต่ำกว่า ก็ควรหารุ่นที่ใหม่กว่ามาอัปเดตทันทีครับ โดยแหล่งข่าวระบุว่าปัจจุบันทาง D-Link ยังออก Patch มาไม่ครบสำหรับทุกรุ่น ก็ต้องติดตามกันไปดีๆ ครับ

สำหรับรายละเอียดของช่องโหว่และวิธีลดความเสี่ยงในการถูกโจมตีฉบับเต็มสามารถอ่านได้ที่ http://b.fl7.de/2016/08/d-link-nas-dns-xss-via-smb.html เลยนะครับ

ที่มา: http://www.scmagazine.com/researcher-finds-stored-xss-flaw-in-several-d-link-nas-devices/article/519252/