Tag Archives: xss

เมื่อวันอังคารที่ผ่านมา Adobe ออกแพตซ์แก้ปัญหาช่องโหว่บนผลิตภัณฑ์ Dreamweaver, Flash Player และ Connect ซึ่งช่องโหว่ดังกล่าวทำให้เกิด Remote Code Execution และ XSS ได้ ดังนั้นแนะนำผู้ใช้งานควรรีปอัปเดต

Joomla ได้ออกมาประกาศเปิดตัวอัปเดตรุ่น 3.8.4 โดยทำการอุดช่องโหว่ด้าน Security ไปด้วยกัน 4 รายการ และแก้ไขบั๊กต่างๆ อีกนับร้อยรายการ

WordPress ได้แนะนำให้เหล่า Webmaster ทำการอัปเดตเป็น WordPress รุ่น 4.7.5 ทันที เนื่องจากอัปเดตรุ่นนี้ได้อุดช่องโหว่สำคัญสองรายการ ได้แก่ Cross-site Scripting (XSS) และ Cross-site Request Forgery (CSRF) ที่ปรากฏอยู่ในโค้ดของ WordPress มาเป็นเวลากว่า 10 เดือน

สำหรับผู้ที่ใช้ Google PHP API Client ช่วงนี้อาจต้องระมัดระวังกันเสียหน่อย เพราะมีการค้นพบช่องโหว่ Cross-site Scripting (XSS) ด้วยกันถึง 2 ช่องโหว่ที่อาจนำไปสู่การทำ Phishing ได้

หลังจากที่สัปดาห์ก่อน Tavis Ormandy นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่บน WebEx Plug-in สำหรับ Google Chrome ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดแปลกปลอมเข้ามารันบนเครื่องจากระยะไกลได้ วันนี้ Cisco ได้ออกแพทช์สำหรับ WebEx Plug-in เวอร์ชัน 1.0.7 ยืนยัน อุดช่องโหว่ได้ 100%

อายุไม่ใช่ประเด็น เมื่อสองแฮ็คเกอร์น้อยวัย 14 ปีชาวเลบานอน Karim Rahal และ Ibram Marzouk ประกาศพบช่องโหว่ Cross-site Scripting หลายรายการบน HTML Comment Box ซึ่งถูกใช้งานบนเว็บไซต์ทั่วโลกกว่า 2,000,000 เว็บไซต์

Jouko Pynnönen นักวิจัยด้านความมั่นคงปลอดภัยจาก Klikki Oy ประเทศฟินแลนด์ ออกมาเปิดเผยถึงช่องโหว่ DOM-based Persistent XSS บน Yahoo Mail ซึ่งช่วยให้แฮ็คเกอร์สามารถแอบดูอีเมลทั้งหมด ผ่านทางการลอบส่งสคริปต์อันตรายไปยังอีเมลของเหยื่อได้

Akamai ผู้ให้บริการเครือข่าย CDN และ DDoS Mitigation ชั้นนำของโลก ออกรายงาน State of the Internet/Security ประจำไตรมาสที่ 3 ของปี 2016 เผยข้อมูลผลวิเคราะห์การโจมตีแบบ DDoS ครั้งใหญ่ 2 ครั้งที่เกิดจากกองทัพ Mirai Botnet พุ่งเป้าที่ KrebsOnSecurity.com

Cross Site Scripting นั้นยังคงเป็นวิธีการที่ใช้โจมตีเว็บไซต์ต่างๆ กันมาอย่างต่อเนื่องโดยตลอด และ Google ต้องการช่วยเหล่านักพัฒนาเว็บไซต์ทั่วโลกให้ก้าวข้ามปัญหานี้ไปให้ได้ด้วยเครื่องมือแบบฟรีๆ

Drupal ผู้ให้บริการระบบ CMS ชื่อดัง ออก Security Advisory สำหรับให้คำแนะนำในการอุดช่องโหว่รวม 3 รายบน Core Engine ซึ่ง 2 ใน 3 รายการนั้นมีความรุนแรงระดับ Critical

Issam Rabhi (@issam_rabhi) นักวิจัยจาก Sysdream บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยจากฝรั่งเศส ออกมาเปิดเผยถึงช่องโหว่ Cross-site Scripting บน Google ของประเทศฝรั่งเศส ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อทำ Session Hijacking แฮ็คข้อมูลส่วนบุคคล หรือขโมยข้อมูลบน Cookie ได้

แก้ไขบั๊ครวม 33 รายการ เกินครึ่งมีความรุนแรงระดับสูง

พบช่องโหว่บน D-Link NAS 7 รุ่น ยังมี Patch ออกมาไม่ครบ

Clint Gibler วิศวกรด้านความมั่นคงปลอดภัยจาก NCC Group ออกมาเปิดเผยในงาน Nullcon Security Conference ที่เพิ่งจัดไปที่ประเทศอินเดีย ระบุว่า ผลลัพธ์ของการใช้ Automated Tool ในการสแกนช่องโหว่ของเว็บแอพพลิเคชันมีอัตราการเกิด False Positive สูงถึง 89% หรือแม้แต่ผลการสแกนที่ดีที่สุดก็มี False Positive มากถึง 50%

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sucuri บริษัทชั้นนำทางด้าน Web Security ออกมาเปิดเผยช่องโหว่ Cross-site Scripting (XSS) บน Jetpack Plug-in ชื่อดังบน WordPress ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งโค้ดแปลกปลอมผ่านเข้ามาทางช่อง Comment ได้

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยชาวไต้หวันจากบริษัท Devcore ค้นพบช่องโหว่บนเซิร์ฟเวอร์ของบริษัท Facebook หลังเข้าร่วม Bug Bounty Program เพียง 2 เดือน แต่ที่น่าตกใจคือ ภายในช่องโหว่เหล่านั้นกลับมีสคริปต์ Backdoor แฝงตัวอยู่ ซึ่งเป็นไปได้ที่จะมีแฮ็คเกอร์เคยเข้ามาโจมตีก่อนแล้ว หลังจากรายงานเหตุการณ์ดังกล่าวแก่ Facebook ส่งผลให้ Tsai ได้รับเงินรางวัลถึง $10,000 เหรียญ หรือประมาณ 350,000 บาท

Symantec ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำ ออกมาประกาศแจ้งเตือนช่องโหว่ความรุนแรงสูงบนระบบ ซอฟต์แวร์ Endpoint Protection (SEP) ของตนเอง แนะนำให้ผู้ใช้อัพเดทแพทช์โดยเร็ว

สำหรับผู้ที่ใช้งานระบบ Cisco Unified Communications System นั้น ทาง Cisco ได้ออกมาประกาศพบช่องโหว่บน Cisco Emergency Responder (CER) ที่มีหน้าที่ส่งตำแหน่งของโทรศัพท์เครื่องที่แจ้งเหตุฉุกเฉิน และติดตามตำแหน่งของผู้ใช้งาน ซึ่งมีช่องโหว่ Cross Site Scripting (XSS) ให้ถูกโจมตีได้

Barracuda ผู้ให้บริการโซลูชันความปลอดภัยและการจัดเก็บข้อมูลชั้นนำของโลก เปิดตัว Vulnerability Manager บริการใหม่บนระบบคลาวด์สำหรับช่วยให้ผู้ดูแลระบบสามารถสแกนหาช่องโหว่บนเว็บและแอพพลิเคชัน ที่สำคัญคือ ขณะนี้เป็นช่วงให้บริการฟรีสำหรับ Authorized Reseller และลูกค้าที่ใช้ผลิตภัณฑ์ของ Barracular

Jack Whitton ที่ปรึกษาทางด้านความปลอดภัยจากอังกฤษได้ค้นพบบั๊กบน Facebook ที่เปิดให้ทำ Cross-Site Scripting (XSS) ผ่านทางไฟล์ภาพนามสกุล .png เพื่อขโมย Account ของผู้ใช้งาน Facebook รายอื่นๆ ได้ พร้อมรับรางวัลจากโครงการ Facebook Bug Bounty ไปเรียบร้อยแล้ว 7,500 เหรียญ และทาง Facebook ก็ได้ทำการอุดช่องโหว่นั้นไปแล้วภายในเวลาเพียง 6 ชั่วโมงหลังจากทราบเรื่อง จน Jack Whitton ได้ออกมาเปิดเผยถึงวิธีการที่เขาค้นพบเอาไว้ดังนี้