พบช่องโหว่ XSS ในไลบรารี่ JavaScript กระทบ Search และผลิตภัณฑ์อื่นของ Google

Masato Kinugawa นักวิจัยความมั่นคงปลอดภัยชาวญี่ปุ่นได้ค้นพบช่องโหว่ XSS บนไลบรารี่ JavaScript ซึ่งถูกใช้ใน Google Search และผลิตภัณฑ์อื่นๆ จาก Google ด้วย

credit : LiveOverflow

LiveOverflow ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เผยว่าช่องโหว่ XSS เกิดขึ้นจากไลบรารี่ที่ชื่อ ‘Closure’ ที่ไม่สามารถตรวจสอบอินพุตน์จากผู้ใช้งานได้ดีเพียงพอ โดย Google เป็นผู้ออกไลบรารี่ตัวนี้สำหรับเว็บแอปพลิเคชันที่ทำงานอย่างซับซ้อนและต้องการ Scalable พร้อมทั้งปล่อยเป็นโอเพ่นซอร์สและยังใช้กับผลิตภัณฑ์ของตนด้วย เช่น Search, Gmail, Maps และ Docs

โดยช่องโหว่เกิดมาเป็นเวลาเกือบ 5 เดือนแล้วตั้งแต่ 26 กันยายน 2018 เพราะมีการลบกลไกตรวจสอบออกเนื่องจากปัญหาเกี่ยวกับการออกแบบ UI อย่างไรก็ตามทาง Google ได้แก้ไขปัญหาแล้วเมื่อ 22 กุมภาพันธ์ที่ 2019 ผ่านมาซึ่งคอมเม้นของนักวิจัยได้รับการยืนยันว่าปัญหาเกิดจาก HTML santizer ทำให้มีช่องโหว่ XSS บนซอฟต์แวร์ Web Server ของ Google

สำหรับทาง LiveOverflow ได้โพสต์วิดีโอวิเคราะห์และสอนช่องโหว่ XSS อย่างละเอียดได้ตามด้านล่างผู้สนใจสามารถเข้าไปรับชมได้

ที่มา :   https://www.securityweek.com/javascript-library-introduced-xss-flaw-google-search


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar : Defense in Depth – Ransomware Ready with Commvault

VSTECS ร่วมกับ Computer Union และ Commvault ขอเชิญผู้สนใจในสายงาน IT ทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "Defense in Depth - Ransomware Ready with Commvault" โดยท่านจะได้เรียนรู้เกี่ยวกับโซลูชันการป้องกันข้อมูลจากแรนซัมแวร์เพื่อทำให้ระบบขององค์กรเป็นไปตามแนวทาง Defense in Depth งานจะจัดขึ้นในวันจันทร์ที่ 6 มิถุนายน 2565 เวลา 14.00 - 15.30 น. มีกำหนดการลงทะเบียนดังนี้

พบช่องโหว่ร้ายแรงกระทบ vRealize, VCF, WorkspaceONE ทีมงาน CISA ประกาศหน่วยงานภายใต้การดูแลให้แพตช์ใน 5 วัน

VMware ได้มีการออกแพตช์ช่องโหว่ร้ายแรงใหม่ 2 รายการซึ่งทำให้คนร้ายสามารถ Bypass การพิสูจน์ตัวตนและยกระดับสิทธิ์ โดยส่งผลกระทบในหลายผลิตภัณฑ์ ไม่นานนัก CISA ได้ประกาศให้หน่วยงานภายใต้กำกับดูแลของตนให้เร่งแพตช์ช่องโหว่ใน 5 วัน หากทำไม่ได้ให้ตัดระบบเหล่านั้นออกจากเครือข่ายจนกว่าจะแล้วเสร็จ