พบช่องโหว่ Cross-site Scripting ใน Google PHP API Client อยู่ระหว่างรอ Google แก้ไข

สำหรับผู้ที่ใช้ Google PHP API Client ช่วงนี้อาจต้องระมัดระวังกันเสียหน่อย เพราะมีการค้นพบช่องโหว่ Cross-site Scripting (XSS) ด้วยกันถึง 2 ช่องโหว่ที่อาจนำไปสู่การทำ Phishing ได้

Credit: Google

 

Google API Client Libraries > PHP นี้เป็นชุด PHP Library สำหรับใช้เชื่อมต่อกับ API ต่างๆ ของ Google เช่น Google+, Google Drive และ YouTube ที่ถึงแม้จะอยู่ในสถานะ Beta อยู่ แต่ก็อยู่ในสถานะนี้มานานจนมีผู้ใช้งานจริงถึงขั้นเปิดห้องพูดคุยกันใน Stackoverflow ไปแล้ว และทาง Leon Juranic ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก DefenseCode ก็ได้ใช้ผลิตภัณฑ์ ThunderScan ของบริษัทตนเองในการตรวจสอบความมั่นคงปลอดภัยของ Google PHP API Client และพบช่องโหว่ XSS ที่ทำให้ผู้โจมตีทำ Phishing หลอกให้ผู้ดูแลระบบคลิกลิงค์และสั่งให้โค้ดอันตรายทำงานจากการเรียกใช้ API เหล่านั้นด้วยข้อมูลยืนยันตัวตนของผู้ดูแลระบบได้

ปัจจุบันมีการแจ้งช่องโหว่นี้ให้ทีมงาน Google ทราบแล้ว และทาง Google ก็สัญญาว่าจะออก Patch ใหม่ที่ปลอดภัยขึ้นมาให้ ส่วนรายละเอียดเชิงลึกของช่องโหว่นี้อยู่ที่ http://seclists.org/fulldisclosure/2017/May/42 นะครับ

 

ที่มา: https://www.theregister.co.uk/2017/05/12/googles_php_api_client_has_xss_vulnerability/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้