Breaking News

พบช่องโหว่ Zero-day บน Tor Browser เสี่ยงตัวตนถูกเปิดเผย

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความรุนแรงระดับสูงบนซอฟต์แวร์ Tor เบราว์เซอร์สำหรับอำพรางตัวตน ซึ่งช่วยให้เจ้าของเว็บไซต์สามารถเปิดเผยตัวตนของผู้ใช้ได้ ผู้ใช้ Tor ควรอัปเดตแพตช์โดยเร็ว

Zerodium ได้ทวีตข้อความ ระบุว่าพบช่องโหว่ Zero-day บน NoScript Browser Plugin ที่ถูกติดตั้งมาพร้อมกับ Mozilla Firefox บนซอฟต์แวร์ Tor โดย Plugin ดังกล่าวจะทำหน้าที่บล็อก JavaScript, Java, Flash และ Content ไม่พึงประสงค์บนหน้าเว็บ อย่างไรก็ตาม Zerodium เปิดเผยว่า NoScript เวอร์ชัน Classic 5.0.4 ถึง 5.1.8.6 ที่เปิดใช้งานระดับความมั่นคงปลอดภัยแบบสูงสุด (Safest) ซึ่งน่าจะบล็อกทุกอย่างนั้น กลับมีช่องโหว่ซึ่งช่วยให้แฮ็กเกอร์สามารถรันไฟล์ JavaScript ผ่านทางการแก้ไข Content-type Header ไปเป็นรูปแบบของ JSON ได้ โดยช่องโหว่นี้ส่งผลกระทบบน Tor เวอร์ชัน 7.5.6 ที่ใช้ NoScript เวอร์ชันดังกล่าวด้วยเช่นกัน

โดยการอาศัยช่องโหว่นี้ เว็บไซต์สามารถเจาะช่องโหว่เพื่อรัน JavaScript บางอย่างบนเบราว์เซอร์ Tor ของผู้ใช้เพื่อเปิดเผยหมายเลข IP ที่แท้จริงได้

ช่องโหว่นี้ส่งผลกระทบต่อ Tor เวอร์ชัน 7.x เท่านั้น ไม่ได้ส่งผลกระทบต่อ Tor เวอร์ชันล่าสุดอย่าง 8.0 แต่อย่างใด แนะนำให้ผู้ใช้ Tor อัปเกรดซอฟต์แวร์เป็นเวอร์ชันใหม่ล่าสุดโดยเร็ว สำหรับฝั่ง NoScript เองก็ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บน NoScript เวอร์ชัน Classsic 5.1.8.7

ที่มา: https://thehackernews.com/2018/09/tor-browser-zero-day-exploit.html




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่