Breaking News

พบช่องโหว่ Zero-day บน Tor Browser เสี่ยงตัวตนถูกเปิดเผย

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความรุนแรงระดับสูงบนซอฟต์แวร์ Tor เบราว์เซอร์สำหรับอำพรางตัวตน ซึ่งช่วยให้เจ้าของเว็บไซต์สามารถเปิดเผยตัวตนของผู้ใช้ได้ ผู้ใช้ Tor ควรอัปเดตแพตช์โดยเร็ว

Zerodium ได้ทวีตข้อความ ระบุว่าพบช่องโหว่ Zero-day บน NoScript Browser Plugin ที่ถูกติดตั้งมาพร้อมกับ Mozilla Firefox บนซอฟต์แวร์ Tor โดย Plugin ดังกล่าวจะทำหน้าที่บล็อก JavaScript, Java, Flash และ Content ไม่พึงประสงค์บนหน้าเว็บ อย่างไรก็ตาม Zerodium เปิดเผยว่า NoScript เวอร์ชัน Classic 5.0.4 ถึง 5.1.8.6 ที่เปิดใช้งานระดับความมั่นคงปลอดภัยแบบสูงสุด (Safest) ซึ่งน่าจะบล็อกทุกอย่างนั้น กลับมีช่องโหว่ซึ่งช่วยให้แฮ็กเกอร์สามารถรันไฟล์ JavaScript ผ่านทางการแก้ไข Content-type Header ไปเป็นรูปแบบของ JSON ได้ โดยช่องโหว่นี้ส่งผลกระทบบน Tor เวอร์ชัน 7.5.6 ที่ใช้ NoScript เวอร์ชันดังกล่าวด้วยเช่นกัน

โดยการอาศัยช่องโหว่นี้ เว็บไซต์สามารถเจาะช่องโหว่เพื่อรัน JavaScript บางอย่างบนเบราว์เซอร์ Tor ของผู้ใช้เพื่อเปิดเผยหมายเลข IP ที่แท้จริงได้

ช่องโหว่นี้ส่งผลกระทบต่อ Tor เวอร์ชัน 7.x เท่านั้น ไม่ได้ส่งผลกระทบต่อ Tor เวอร์ชันล่าสุดอย่าง 8.0 แต่อย่างใด แนะนำให้ผู้ใช้ Tor อัปเกรดซอฟต์แวร์เป็นเวอร์ชันใหม่ล่าสุดโดยเร็ว สำหรับฝั่ง NoScript เองก็ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บน NoScript เวอร์ชัน Classsic 5.1.8.7

ที่มา: https://thehackernews.com/2018/09/tor-browser-zero-day-exploit.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ฟรี eBook: “วัยใส วัยเก๋า ฉลาดรู้เน็ต 2” จาก ETDA

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. หรือ ETDA) เปิดตัว eBook เรื่อง “วัยใส วัยเก๋า ฉลาดรู้เน็ต 2” เพื่อสร้างความตระหนักในการใช้อินเทอร์เน็ตเพื่อเสริมสร้างรายได้ ในขณะที่รู้เท่าทันภัยคุกคามไซเบอร์ พร้อมภาพประกอบสวยงาม เข้าใจง่าย …

Source Code และ Credential ของธนาคาร Scotiabank รั่วบน GitHub นานนับเดือน

TheRegister ได้ออกมารายงานถึงกรณีที่ Source Code และ Credential ของธนาคาร Scotiabank ถูกเปิดเผยสู่สาธารณะบน GitHub เป็นเวลายาาวนานนับเดือน โดยมีการสันนิษฐานว่าเหตุนี้เกิดขึ้นจากการที่พนักงานของธนาคารนั้นตั้งค่าการทำงานของระบบผิดพลาด