Breaking News
AMR | Sophos Webinar

พบช่องโหว่ Zero-day บน Tor Browser เสี่ยงตัวตนถูกเปิดเผย

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความรุนแรงระดับสูงบนซอฟต์แวร์ Tor เบราว์เซอร์สำหรับอำพรางตัวตน ซึ่งช่วยให้เจ้าของเว็บไซต์สามารถเปิดเผยตัวตนของผู้ใช้ได้ ผู้ใช้ Tor ควรอัปเดตแพตช์โดยเร็ว

Zerodium ได้ทวีตข้อความ ระบุว่าพบช่องโหว่ Zero-day บน NoScript Browser Plugin ที่ถูกติดตั้งมาพร้อมกับ Mozilla Firefox บนซอฟต์แวร์ Tor โดย Plugin ดังกล่าวจะทำหน้าที่บล็อก JavaScript, Java, Flash และ Content ไม่พึงประสงค์บนหน้าเว็บ อย่างไรก็ตาม Zerodium เปิดเผยว่า NoScript เวอร์ชัน Classic 5.0.4 ถึง 5.1.8.6 ที่เปิดใช้งานระดับความมั่นคงปลอดภัยแบบสูงสุด (Safest) ซึ่งน่าจะบล็อกทุกอย่างนั้น กลับมีช่องโหว่ซึ่งช่วยให้แฮ็กเกอร์สามารถรันไฟล์ JavaScript ผ่านทางการแก้ไข Content-type Header ไปเป็นรูปแบบของ JSON ได้ โดยช่องโหว่นี้ส่งผลกระทบบน Tor เวอร์ชัน 7.5.6 ที่ใช้ NoScript เวอร์ชันดังกล่าวด้วยเช่นกัน

โดยการอาศัยช่องโหว่นี้ เว็บไซต์สามารถเจาะช่องโหว่เพื่อรัน JavaScript บางอย่างบนเบราว์เซอร์ Tor ของผู้ใช้เพื่อเปิดเผยหมายเลข IP ที่แท้จริงได้

ช่องโหว่นี้ส่งผลกระทบต่อ Tor เวอร์ชัน 7.x เท่านั้น ไม่ได้ส่งผลกระทบต่อ Tor เวอร์ชันล่าสุดอย่าง 8.0 แต่อย่างใด แนะนำให้ผู้ใช้ Tor อัปเกรดซอฟต์แวร์เป็นเวอร์ชันใหม่ล่าสุดโดยเร็ว สำหรับฝั่ง NoScript เองก็ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บน NoScript เวอร์ชัน Classsic 5.1.8.7

ที่มา: https://thehackernews.com/2018/09/tor-browser-zero-day-exploit.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NSA ออกคำแนะนำการใช้งาน IPSec VPN อย่างมั่นคงปลอดภัย

เป็นเรื่องดีอยู่แล้วที่องค์กรจะใช้งาน VPN อย่างไรก็ดีก็ยังเร็วเกินไปที่จะมั่นใจได้หากไม่มีการตั้งค่าอย่างเหมาะสม ด้วยเหตุนี้เอง NSA จึงออกคำแนะนำสำหรับองค์กรเพื่อเป็นแนวทางให้ใช้งาน IPSec VPN อย่างมั่นคงปลอดภัย

พบข้อผิดพลาด! นักพัฒนาแอปบน Facebook กว่า 5,000 รายยังเข้าถึงข้อมูลผู้ใช้งานได้เกิน 90 วัน

หลังจากกรณีของ Cambridge Analytica ทาง Facebook ก็ได้เพิ่มมาตรการป้องกันทางข้อมูล โดยข้อปฏิบัติหนึ่งคือจะไม่อนุญาตให้ API เข้าถึงข้อมูลผู้ใช้ที่ไม่ Active เกิน 90 วันได้ แต่วันนี้ดูเหมือนว่าเรื่องจะไม่เป็นอย่างนั้นเพราะ Facebook …