พบช่องโหว่ Cross-site Scripting ใน Google PHP API Client อยู่ระหว่างรอ Google แก้ไข

สำหรับผู้ที่ใช้ Google PHP API Client ช่วงนี้อาจต้องระมัดระวังกันเสียหน่อย เพราะมีการค้นพบช่องโหว่ Cross-site Scripting (XSS) ด้วยกันถึง 2 ช่องโหว่ที่อาจนำไปสู่การทำ Phishing ได้

Credit: Google

 

Google API Client Libraries > PHP นี้เป็นชุด PHP Library สำหรับใช้เชื่อมต่อกับ API ต่างๆ ของ Google เช่น Google+, Google Drive และ YouTube ที่ถึงแม้จะอยู่ในสถานะ Beta อยู่ แต่ก็อยู่ในสถานะนี้มานานจนมีผู้ใช้งานจริงถึงขั้นเปิดห้องพูดคุยกันใน Stackoverflow ไปแล้ว และทาง Leon Juranic ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก DefenseCode ก็ได้ใช้ผลิตภัณฑ์ ThunderScan ของบริษัทตนเองในการตรวจสอบความมั่นคงปลอดภัยของ Google PHP API Client และพบช่องโหว่ XSS ที่ทำให้ผู้โจมตีทำ Phishing หลอกให้ผู้ดูแลระบบคลิกลิงค์และสั่งให้โค้ดอันตรายทำงานจากการเรียกใช้ API เหล่านั้นด้วยข้อมูลยืนยันตัวตนของผู้ดูแลระบบได้

ปัจจุบันมีการแจ้งช่องโหว่นี้ให้ทีมงาน Google ทราบแล้ว และทาง Google ก็สัญญาว่าจะออก Patch ใหม่ที่ปลอดภัยขึ้นมาให้ ส่วนรายละเอียดเชิงลึกของช่องโหว่นี้อยู่ที่ http://seclists.org/fulldisclosure/2017/May/42 นะครับ

 

ที่มา: https://www.theregister.co.uk/2017/05/12/googles_php_api_client_has_xss_vulnerability/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร