พบช่องโหว่ Prototype Pollution ในไลบรารี่ JavaScipt jQuery แนะผู้ใช้ควรอัปเดต

นักวิจัยค้นพบช่องโหว่ Prototype Pollution บนไลบรารี่ JavaScript ยอดนิยมอย่าง jQuery ซึ่งมีอยู่ในเว็บไซต์กว่า 74% โดยตอนนี้ได้มีแพตช์อัปเดตเพื่อแก้ไขออกมาแล้วจึงแนะนำผู้ใช้เร่งอัปเดต

Credit: ShutterStock.com

Prototype Pollution นั่นไม่ใช่เรื่องใหม่แต่หลายฝ่ายเพิ่งมาให้ความสนใจกันมากขึ้นเนื่องจากมีการนำเสนอที่ชี้ชัดในช่วงหลังทำให้นักวิจัยต่างหันมาโฟกัสกับช่องโหว่นี้เพิ่มขึ้นอีกทั้งด้วยความฮิตของ JavaScript ที่เชื่อว่าเว็บไซต์กว่า 97% ต่างต้องใช้ไลบรารี่ JavaScript อย่างน้อยหนึ่งตัวทำให้ช่องโหว่นี้มีนัยสำคัญอย่างมาก

Prototype คือตัวกำหนด Default ของ Object Structure (นึกถึง Structure ในภาษา C) ดังนั้นหากแฮ็กเกอร์สามารถเข้าไปแก้ไข Prototype ได้ก็จะส่งผลกระทบกับการประมวลผลข้อมูลของแอปพลิเคชันมากทีเดียวที่อาจนำไปสู่การทำ DoS หรือ Code Execution เป็นต้น อย่างไรก็ตามสำหรับการใช้ช่องโหว่บน jQuery นั้นค่อนข้างยากเพราะตัวผู้โจมตีเองจะต้องมีความรู้เกี่ยวกับวิธีการทำงานของเว็บไซต์เหยื่อมากพอ ทั้งนี้ทำให้การปรับใช้กับเว็บไซต์อื่นในวงกว้างนั้นเป็นไปได้ยาก

Liran Tal นักวิจัยด้านความมั่นคงปลอดภัยกล่าวว่า “การหา jQuery ที่มีช่องโหว่นั้นไม่ยากแต่การทำ Automate เพื่อ Exploit ช่องโหว่ Prototype Pollution กับ jQuery เป็นเรื่องไม่ง่ายเลย” พร้อมทั้งเสริมว่า “เรื่องจะยิ่งยากขึ้นไปอีกถ้า Source code ถูกปิดเอาไว้เพราะผู้โจมตีต้องศึกษาไปให้รู้ว่าจะทำ Pollution กับแอปพลิเคชันนั้นยังไงหากสามารถทำได้” นั่นหมายความว่าเหยื่อที่ถูกโจมตีจะต้องมีค่ากับแฮ็กเกอร์เป็นอย่างมากทีเดียว

ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ jQuery เป็นเวอร์ชัน v3.4.0 ได้แล้ว สำหรับผู้ใช้งานเก่าเช่นเวอร์ชัน 1.x และ 2.x ที่กังวลเรื่องโค้ดที่เปลี่ยนไปในเวอร์ชันใหม่ก็มีแพตช์สำหรับท่านเช่นกันที่นี่ครับ ดังนั้นก็สามารถอัปเดตกันได้เลย

ที่มา :  https://www.zdnet.com/article/popular-jquery-javascript-library-impacted-by-prototype-pollution-flaw/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google เปิดตัว Secure AI Framework แนวทางการสร้าง AI อย่างปลอดภัย

Google เปิดตัว Secure AI Framework ช่วยแนะนำแนวทางการสร้าง AI อย่างปลอดภัย

Cisco เปิดตัวบริการ Multicloud Defenese

Cisco ได้ประกาศเปิดตัวบริการใหม่ Cisco Multicloud Defense ช่วยสร้างนโยบายรักษาความมั่นคงปลอดภัยสำหรับระบบ MultiCloud รองรับผู้ให้บริการ Public Cloud หลายราย