Breaking News

เตือนช่องโหว่ Privilege Escalation บน Linux ควรอัปเดตแพตช์ทันที

Jann Horn นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูงบน Linux เวอร์ชัน 3.16 ถึง 4.1.18.8 ซึ่งช่วยให้แฮ็กเกอร์สามารถยกระดับสิทธิ์ตนเองเป็น Root ได้ พร้อมเผยแพร่โค้ดสำหรับ PoC การโจมตีสู่สาธารณะ แนะนำให้ผู้ดูแลระดับรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่ที่ Horn ค้นพบมีรหัส CVE-2018-17182 เป็นมีสาเหตุการจากการตรวจสอบ Cache ใน Linux Mememory Management Subsystem ไม่ดีเพียงพอ ก่อให้เกิดเป็นช่องโหว่ Use-after-free ซึ่งแฮ็กเกอร์สามารถโจมตีช่องโหว่นี้เพื่อยกระดับสิทธิ์ตนเองเป็น Root ของเครื่องเป้าหมายได้

Horn ได้ทำการเผยแพร่โค้ด PoC การโจมตีดังกล่าวสู่สาธารณะ พร้อมระบุว่า ต้องใช้เวลาประมาณ 1 ชั่วโมงในการรันจนได้ Root Shell

Horn รายงานช่องโหว่นี้ไปยังทีมนักพัฒนา Linux Kernel เมื่อวันที่ 12 กันยายนที่ผ่านมา ซึ่งทีมนักพัฒนาก็ได้ตอบสนองอย่างรวดเร็ว โดยออกแพตช์เพื่ออุดช่องโหว่เพียง 2 วันหลังจากนั้น ได้แก่ เวอร์ชัน 4.18.9, 4.14.71, 4.9.128, and 4.4.157 ในขณะที่เวอร์ชัน 3.16 ถูกอัปเดตเป็น 3.16.58 อย่างไรก็ตาม Debian 16.04 และ Ubunto 18.04 ที่เพิ่งออกใหม่เมื่อวันพุธที่ผ่านยังไม่ได้แพตช์ช่องโหว่นี้แต่อย่างใด แต่ทาง Ubuntu แจ้งว่าจะแก้ปัญหานี้ประมาณวันที่ 1 ตุลาคม 2018 ส่วน Fedora ได้ออกแพตช์สำหรับอุดช่องโหว่เมื่อวันที่ 22 กันยายนเป็นที่เรียบร้อยแล้ว แนะนำให้ผู้ใช้รีบอัปเดตแพตช์โดยเร็ว

ที่มา: https://thehackernews.com/2018/09/linux-kernel-exploit.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sophos ปล่อยฟรีผลิตภัณฑ์ Sandboxie พร้อมเปิดโอเพ่นซอร์ส

Sandboxie เป็นหนึ่งในผลิตภัณฑ์ส่วน Commercial ของ Sophos ซึ่งเมื่อไม่กี่วันที่แล้วได้มีการตัดสินใจปล่อยให้ดาวน์โหลดได้ฟรี พร้อมประกาศเปิดเป็นโอเพ่นซอร์สในทุกฟีเจอร์แบบไม่มีกั๊ก

Malwarebytes ออก Extension ฟรี ช่วยผู้ใช้งาน Chrome และ Firefox เข้าเว็บอย่างปลอดภัย

Malwarebytes ได้ออก Browser Extension สำหรับผู้ใช้งาน Chrome และ Firefox เพื่อให้สามารถเข้าเว็บต่างๆ ได้อย่างมั่นคงปลอดภัย ทั้งหมดนี้ฟรีไม่มีค่าใช้จ่าย