TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยค้นพบช่องโหว่ Prototype Pollution บนไลบรารี่ JavaScript ยอดนิยมอย่าง jQuery ซึ่งมีอยู่ในเว็บไซต์กว่า 74% โดยตอนนี้ได้มีแพตช์อัปเดตเพื่อแก้ไขออกมาแล้วจึงแนะนำผู้ใช้เร่งอัปเดต
Prototype Pollution นั่นไม่ใช่เรื่องใหม่แต่หลายฝ่ายเพิ่งมาให้ความสนใจกันมากขึ้นเนื่องจากมีการนำเสนอที่ชี้ชัดในช่วงหลังทำให้นักวิจัยต่างหันมาโฟกัสกับช่องโหว่นี้เพิ่มขึ้นอีกทั้งด้วยความฮิตของ JavaScript ที่เชื่อว่าเว็บไซต์กว่า 97% ต่างต้องใช้ไลบรารี่ JavaScript อย่างน้อยหนึ่งตัวทำให้ช่องโหว่นี้มีนัยสำคัญอย่างมาก
Prototype คือตัวกำหนด Default ของ Object Structure (นึกถึง Structure ในภาษา C) ดังนั้นหากแฮ็กเกอร์สามารถเข้าไปแก้ไข Prototype ได้ก็จะส่งผลกระทบกับการประมวลผลข้อมูลของแอปพลิเคชันมากทีเดียวที่อาจนำไปสู่การทำ DoS หรือ Code Execution เป็นต้น อย่างไรก็ตามสำหรับการใช้ช่องโหว่บน jQuery นั้นค่อนข้างยากเพราะตัวผู้โจมตีเองจะต้องมีความรู้เกี่ยวกับวิธีการทำงานของเว็บไซต์เหยื่อมากพอ ทั้งนี้ทำให้การปรับใช้กับเว็บไซต์อื่นในวงกว้างนั้นเป็นไปได้ยาก
Liran Tal นักวิจัยด้านความมั่นคงปลอดภัยกล่าวว่า “การหา jQuery ที่มีช่องโหว่นั้นไม่ยากแต่การทำ Automate เพื่อ Exploit ช่องโหว่ Prototype Pollution กับ jQuery เป็นเรื่องไม่ง่ายเลย” พร้อมทั้งเสริมว่า “เรื่องจะยิ่งยากขึ้นไปอีกถ้า Source code ถูกปิดเอาไว้เพราะผู้โจมตีต้องศึกษาไปให้รู้ว่าจะทำ Pollution กับแอปพลิเคชันนั้นยังไงหากสามารถทำได้” นั่นหมายความว่าเหยื่อที่ถูกโจมตีจะต้องมีค่ากับแฮ็กเกอร์เป็นอย่างมากทีเดียว
ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ jQuery เป็นเวอร์ชัน v3.4.0 ได้แล้ว สำหรับผู้ใช้งานเก่าเช่นเวอร์ชัน 1.x และ 2.x ที่กังวลเรื่องโค้ดที่เปลี่ยนไปในเวอร์ชันใหม่ก็มีแพตช์สำหรับท่านเช่นกันที่นี่ครับ ดังนั้นก็สามารถอัปเดตกันได้เลย
