พบช่องโหว่ Prototype Pollution ในไลบรารี่ JavaScipt jQuery แนะผู้ใช้ควรอัปเดต

นักวิจัยค้นพบช่องโหว่ Prototype Pollution บนไลบรารี่ JavaScript ยอดนิยมอย่าง jQuery ซึ่งมีอยู่ในเว็บไซต์กว่า 74% โดยตอนนี้ได้มีแพตช์อัปเดตเพื่อแก้ไขออกมาแล้วจึงแนะนำผู้ใช้เร่งอัปเดต

Credit: ShutterStock.com

Prototype Pollution นั่นไม่ใช่เรื่องใหม่แต่หลายฝ่ายเพิ่งมาให้ความสนใจกันมากขึ้นเนื่องจากมีการนำเสนอที่ชี้ชัดในช่วงหลังทำให้นักวิจัยต่างหันมาโฟกัสกับช่องโหว่นี้เพิ่มขึ้นอีกทั้งด้วยความฮิตของ JavaScript ที่เชื่อว่าเว็บไซต์กว่า 97% ต่างต้องใช้ไลบรารี่ JavaScript อย่างน้อยหนึ่งตัวทำให้ช่องโหว่นี้มีนัยสำคัญอย่างมาก

Prototype คือตัวกำหนด Default ของ Object Structure (นึกถึง Structure ในภาษา C) ดังนั้นหากแฮ็กเกอร์สามารถเข้าไปแก้ไข Prototype ได้ก็จะส่งผลกระทบกับการประมวลผลข้อมูลของแอปพลิเคชันมากทีเดียวที่อาจนำไปสู่การทำ DoS หรือ Code Execution เป็นต้น อย่างไรก็ตามสำหรับการใช้ช่องโหว่บน jQuery นั้นค่อนข้างยากเพราะตัวผู้โจมตีเองจะต้องมีความรู้เกี่ยวกับวิธีการทำงานของเว็บไซต์เหยื่อมากพอ ทั้งนี้ทำให้การปรับใช้กับเว็บไซต์อื่นในวงกว้างนั้นเป็นไปได้ยาก

Liran Tal นักวิจัยด้านความมั่นคงปลอดภัยกล่าวว่า “การหา jQuery ที่มีช่องโหว่นั้นไม่ยากแต่การทำ Automate เพื่อ Exploit ช่องโหว่ Prototype Pollution กับ jQuery เป็นเรื่องไม่ง่ายเลย” พร้อมทั้งเสริมว่า “เรื่องจะยิ่งยากขึ้นไปอีกถ้า Source code ถูกปิดเอาไว้เพราะผู้โจมตีต้องศึกษาไปให้รู้ว่าจะทำ Pollution กับแอปพลิเคชันนั้นยังไงหากสามารถทำได้” นั่นหมายความว่าเหยื่อที่ถูกโจมตีจะต้องมีค่ากับแฮ็กเกอร์เป็นอย่างมากทีเดียว

ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ jQuery เป็นเวอร์ชัน v3.4.0 ได้แล้ว สำหรับผู้ใช้งานเก่าเช่นเวอร์ชัน 1.x และ 2.x ที่กังวลเรื่องโค้ดที่เปลี่ยนไปในเวอร์ชันใหม่ก็มีแพตช์สำหรับท่านเช่นกันที่นี่ครับ ดังนั้นก็สามารถอัปเดตกันได้เลย

ที่มา :  https://www.zdnet.com/article/popular-jquery-javascript-library-impacted-by-prototype-pollution-flaw/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware แนะนำการเลือกใช้ vSphere CPU Scheduler ให้เหมาะกับระดับความปลอดภัยของ VM ที่ต้องการ

ในช่วงที่ผ่านมานี้เราได้เห็นช่องโหว่ในระดับ CPU ที่ทำให้เกิดปัญหาการเข้าถึงข้อมูลข้าม Process กันค่อนข้างมาก และกลายเป็นประเด็นใหญ่ในวงการ IT กันมาอย่างต่อเนื่อง ทาง VMware จึงได้ทำการออกแนวทางการเลือกใช้ vSphere CPU Scheduler สำหรับแต่ละ VM ซึ่งแต่ละวิธีการนั้นก็จะมีข้อดีข้อเสียและรูปแบบการใช้งานที่เหมาะสมกับระดับของความมั่นคงปลอดภัยที่แตกต่างกันออกไป ทาง TechTalkThai จึงขอนำมาสรุปเป็นภาษาไทยให้ผู้อ่านทุกท่านได้เลือกไปใช้เป็นแนวทางกันดังนี้ครับ

ผู้ใช้งานพบ Google ติดตามการซื้อสินค้าผ่าน Gmail ทาง Google ระบุทำไปเพื่อให้ผู้ใช้งานติดตามการซื้อขายของตนเองได้ง่ายๆ เท่านั้น

เมื่อสัปดาห์ที่ผ่านมา มีผู้ใช้งานบน Reddit ได้ออกมาเผยถึงการค้นพบว่า Google นั้นมีการตรวจสอบเนื้อหาภายใน Gmail ว่าผู้ใช้งานแต่ละคนมีการซื้อสินค้าใดเกิดขึ้นบ้าง และทำเป็นหน้าสรุปการซื้อขายทั้งหมดที่เกิดขึ้นและมีการยืนยันผ่าน Gmail ในบัญชีนั้นๆ