พบช่องโหว่ Zero-day บน Tor Browser เสี่ยงตัวตนถูกเปิดเผย

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความรุนแรงระดับสูงบนซอฟต์แวร์ Tor เบราว์เซอร์สำหรับอำพรางตัวตน ซึ่งช่วยให้เจ้าของเว็บไซต์สามารถเปิดเผยตัวตนของผู้ใช้ได้ ผู้ใช้ Tor ควรอัปเดตแพตช์โดยเร็ว

Zerodium ได้ทวีตข้อความ ระบุว่าพบช่องโหว่ Zero-day บน NoScript Browser Plugin ที่ถูกติดตั้งมาพร้อมกับ Mozilla Firefox บนซอฟต์แวร์ Tor โดย Plugin ดังกล่าวจะทำหน้าที่บล็อก JavaScript, Java, Flash และ Content ไม่พึงประสงค์บนหน้าเว็บ อย่างไรก็ตาม Zerodium เปิดเผยว่า NoScript เวอร์ชัน Classic 5.0.4 ถึง 5.1.8.6 ที่เปิดใช้งานระดับความมั่นคงปลอดภัยแบบสูงสุด (Safest) ซึ่งน่าจะบล็อกทุกอย่างนั้น กลับมีช่องโหว่ซึ่งช่วยให้แฮ็กเกอร์สามารถรันไฟล์ JavaScript ผ่านทางการแก้ไข Content-type Header ไปเป็นรูปแบบของ JSON ได้ โดยช่องโหว่นี้ส่งผลกระทบบน Tor เวอร์ชัน 7.5.6 ที่ใช้ NoScript เวอร์ชันดังกล่าวด้วยเช่นกัน

โดยการอาศัยช่องโหว่นี้ เว็บไซต์สามารถเจาะช่องโหว่เพื่อรัน JavaScript บางอย่างบนเบราว์เซอร์ Tor ของผู้ใช้เพื่อเปิดเผยหมายเลข IP ที่แท้จริงได้

ช่องโหว่นี้ส่งผลกระทบต่อ Tor เวอร์ชัน 7.x เท่านั้น ไม่ได้ส่งผลกระทบต่อ Tor เวอร์ชันล่าสุดอย่าง 8.0 แต่อย่างใด แนะนำให้ผู้ใช้ Tor อัปเกรดซอฟต์แวร์เป็นเวอร์ชันใหม่ล่าสุดโดยเร็ว สำหรับฝั่ง NoScript เองก็ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บน NoScript เวอร์ชัน Classsic 5.1.8.7

ที่มา: https://thehackernews.com/2018/09/tor-browser-zero-day-exploit.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

Cisco Webinar: Cisco Ransomware Defense Webinar โดย Cisco

Cisco ขอเรียนเชิญเหล่าผู้บริหาร, CSO, Security Engineer, ผู้จัดการฝ่าย IT และผู้ดูแลระบบ IT เข้าร่วมงาน Webinar หรือสัมมนาออนไลน์ฟรีในหัวข้อ "Cisco Ransomware Defense Webinar โดย Cisco" เพื่อเรียนรู้ถึงโซลูชันด้าน Security ล่าสุดของ Cisco และการประยุกต์นำมาใช้รับมือกับ Ransomware โดยเฉพาะ ในวันอังคารที่ 9 กรกฎาคม 2019 เวลา 14.00 - 15.30 โดยมีรายละเอียดและวิธีการลงทะเบียนดังนี้