Breaking News
AMR | Sophos Webinar

พบช่องโหว่ Cross-site Scripting ใน Google PHP API Client อยู่ระหว่างรอ Google แก้ไข

สำหรับผู้ที่ใช้ Google PHP API Client ช่วงนี้อาจต้องระมัดระวังกันเสียหน่อย เพราะมีการค้นพบช่องโหว่ Cross-site Scripting (XSS) ด้วยกันถึง 2 ช่องโหว่ที่อาจนำไปสู่การทำ Phishing ได้

Credit: Google

 

Google API Client Libraries > PHP นี้เป็นชุด PHP Library สำหรับใช้เชื่อมต่อกับ API ต่างๆ ของ Google เช่น Google+, Google Drive และ YouTube ที่ถึงแม้จะอยู่ในสถานะ Beta อยู่ แต่ก็อยู่ในสถานะนี้มานานจนมีผู้ใช้งานจริงถึงขั้นเปิดห้องพูดคุยกันใน Stackoverflow ไปแล้ว และทาง Leon Juranic ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก DefenseCode ก็ได้ใช้ผลิตภัณฑ์ ThunderScan ของบริษัทตนเองในการตรวจสอบความมั่นคงปลอดภัยของ Google PHP API Client และพบช่องโหว่ XSS ที่ทำให้ผู้โจมตีทำ Phishing หลอกให้ผู้ดูแลระบบคลิกลิงค์และสั่งให้โค้ดอันตรายทำงานจากการเรียกใช้ API เหล่านั้นด้วยข้อมูลยืนยันตัวตนของผู้ดูแลระบบได้

ปัจจุบันมีการแจ้งช่องโหว่นี้ให้ทีมงาน Google ทราบแล้ว และทาง Google ก็สัญญาว่าจะออก Patch ใหม่ที่ปลอดภัยขึ้นมาให้ ส่วนรายละเอียดเชิงลึกของช่องโหว่นี้อยู่ที่ http://seclists.org/fulldisclosure/2017/May/42 นะครับ

 

ที่มา: https://www.theregister.co.uk/2017/05/12/googles_php_api_client_has_xss_vulnerability/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware เผยแผนเข้าซื้อทีม True Visibility Suite จาก Blue Medora เสริมทัพระบบ Self-Driving ใน VMware vRealize Operations

VMware ได้ออกมาเผยถึงแผนการเข้าซื้อ True Visibility Suite Business Unit จาก Blue Medora เพื่อนำทีมงานและเทคโนโลยีมาสเริมให้กับ VMware vRealize Operations สำหรับเติมเต็มภาพของการทำ Self-Driving Operations ในการดูแลรักษาระบบ Data Center และ Cloud

4 ความสามารถเด่นที่ควรรู้จักใน HPE SimpliVity 4.0

เมื่อ Hyper-Converged Infrastructure หรือ HCI นั้น HPE SimpliVity ได้รับความนิยมมากขึ้นอย่างต่อเนื่องในตลาดธุรกิจองค์กร การพัฒนาเทคโนโลยีต่อยอดนั้นก็เกิดขึ้นอย่างไม่หยุดยั้ง และเมื่อต้นปีที่ผ่านมานี้เอง HPE ก็ได้ทำการเปิดตัว HPE SimpliVity 4.0 ซึ่งเป็น Major Upgrade ครั้งใหญ่ที่ได้เพิ่มความสามารถที่น่าสนใจเข้ามาหลากหลายประการ ดังนี้