FingerprintJS เปิดเผยบั๊กบน IndexedDB API ใน Safari 15 ที่ทำให้เว็บไซต์มุ่งร้ายสามารถดู ติดตามประวัติเข้าเว็บของผู้ใช้ และดู Google User ID ของผู้ใช้ได้ มีผลทั้งบน Mac, iOS และ iPadOS

บั๊กนี้ทำให้เว็บไซต์สามารถมองเห็นชื่อดาต้าเบสบน IndexedDB ของโดเมนใดก็ได้ ไม่ใช่แค่ดาต้าเบสที่สร้างโดยชื่อโดเมนของตัวเอง และชื่อดาต้าเบสที่หลุดนี้ก็สามารถนำไปหาประวัติการเข้าเว็บไซต์ได้โดยการเก็บรายละเอียดชื่อดาต้าเบสของเว็บไซต์ชั้นนำแต่ละเว็บ แล้วใช้ lookup table เทียบ

ผู้เขียนพบว่าเช้านี้บางโดเมนที่ฝาก DNS ไว้กับ CloudFlare ถูกชี้ไปยังเว็บสแปม โดยจะเกิดขึ้นเฉพาะกับ Record ที่ตั้งค่าให้วิ่งผ่าน CloudFlare CDN เท่านั้น จากการพูดคุยเบื้องต้นกับทีมผู้เชี่ยวชาญ คาดว่าปัญหาเกิดจากระบบ Cache ของทาง CloudFlare ถูกเจาะ พร้อมแนะนำให้ย้ายโดเมนออก หรือตั้งค่า DNS เป็นแบบ DNS Only ชั่วคราวเพื่อหลีกเลี่ยงปัญหานี้

เบื้องต้นผู้เขียนได้ทำการติดต่อ CloudFlare เป็นที่เรียบร้อยแล้ว หากมีความคืบหน้าจะมารายงานให้ทราบต่อไป

ภาพการทดสอบ curl -i และ dig เว็บที่ได้รับผลกระทบ

ชุดป้องกัน Enhanced Mitigation Experience Toolkit (EMET) ของไมโครซอฟท์ช่วยป้องกันมัลแวร์ที่เจาะผ่านช่องโหว่ของซอฟต์แวร์ด้วยมาตรการเพิ่มเติมหลายอย่างจนทำให้การเจาะเข้ามารันโค้ดในเครื่องทำได้ยากขึ้นมาก แต่ FireEye ก็รายงานว่าชุดซอฟต์แวร์สำหรับเจาะระบบ (Exploit Kit - EK) ที่ชื่อว่า Angler ก็สามารถเจาะผ่าน EMET ได้สำเร็จแล้ว

Angler รุ่นนี้สามารถเจาะทะลุมาตรการ Data Execution Prevention (DEP) ด้วยการใช้ฟังก์ชั่นของ Flash ใน Flash.ocx เองเพื่อเรียก VirtualProtect และ VirtualAlloc เพื่ออนุญาตให้รันโค้ดในหน่วยความจำส่วนที่ต้องการ

นับแต่ไม่กี่ชั่วโมงที่ผ่านมาหลังมีการพบช่องโหว่ร้ายแรงใน Bash ที่เรียกกันเล่นๆ ว่า "ShellShock" ซึ่งว่ากันว่าร้ายแรงกว่า HeartBleed อันมีผลทำให้ผู้ใช้ UNIX ทุกรุ่นตกอยู่ในความเสี่ยง จนทำให้หลายฝ่ายเร่งออกแพตช์มาแก้ไขปัญหา เว้นแต่ฝั่ง Apple ที่ยังคงสงวนท่าที (แม้ 2 ระบบปฏิบัติการของ Apple อย่าง iOS และ OS X ก็ตกอยู่ในข่ายมีความเสี่ยงด้วย)

ล่าสุด SlashGear ได้อ้างว่ามีอีเมลจากทาง Apple ถูกส่งมาเพื่อชี้แจงว่าผู้ใช้ OS X ไม่จำเป็นต้องหวั่นกลัวว่าจะเจอปัญหาจากวิกฤต Shellshock นี้ โดยมีใจความว่า

Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือที่เรียกว่า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้

เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้

ในลาสเวกัส เมื่อปี 2009 มีชายนามว่า John Kane ถูกรางวัลแจ๊คพอตถึงห้าครั้งภายในหนึ่งชั่วโมงจากเครื่อง video poker ของคาสิโนในลาสเวกัส รัฐเนวาดา กวาดเงินรางวัลไปถึง 8,200 เหรียญสหรัฐฯ โดยเขาค้นพบช่องโหว่ของตรรกะที่ใช้ในตัวเฟิร์มแวร์ของเครื่องและนำไปใช้ในการเล่นคราวนั้น

John และเพื่อนของเขาอีกคนที่มีส่วนช่วยในการค้นหาช่องโหว่กำลังถูกดำเนินคดีโดยรัฐบาลกลาง เขาถูกฟ้องในข้อหาละเมิดกฎหมาย Computer Fraud and Abuse Act ที่บังคับใช้ตั้งแต่ปี 1986 ซึ่งถ้าศาลตัดสินว่าผิดจริง John และเพื่อนของเขาจะมีโทษสูงสุดถึงขั้นจำคุกเป็นเวลา 5 ปี

จากปัญหาช่องโหว่ใน Exynos ที่ซัมซุงสัญญาว่าจะอัพเดตแก้ไขให้เร็วๆ นี้ ล่าสุดซัมซุงปล่อยอัพเดตอุดช่องโหว่ดังกล่าวออกมาแล้ว

อุปกรณ์ชุดแรกๆ ที่ได้แพชต์แก้ไขดังกล่าวในสหรัฐฯ ได้แก่สมาร์ทโฟน Galaxy Note II ของเครือข่าย T-Mobile และ Galaxy S II Epic 4G Touch ของเครือข่าย Sprint ที่จะได้รับอัพเดตผ่าน OTA ระบุว่าเป็นอัพเดตเพื่อความปลอดภัยเฉยๆ

นอกจากในโซนสหรัฐฯ แล้วยังมี Galaxy S III ที่ขายในอังกฤษได้แพชต์อัพเดตไปเมื่อต้นเดือนที่ผ่านมาเช่นกัน

อย่างไรก็ตามอุปกรณ์ที่อยู่ในข่ายเสี่ยงดังกล่าวยังมีอีกหลายรุ่นทั้งแท็บเล็ต และสมาร์ทโฟน คาดว่าซัมซุงคงทยอยปล่อยมาเรื่อยๆ ครับ

เนื่องจากว่ากระผมเหลือบเข้าไปเห็นในหน้าเวปที่เกี่ยวข้องกับความปลอดภัยเจอเข้าอย่างจังเลย

เนื่องจากว่ามี Hacker คนหนึ่งได้ค้นพบโค้ด xss (cross-site scripting) ที่ซึ่งเป็นอันตรายต่อคนที่เข้าไปใช้ Facebook โดยโค้ดส่วนนี้ทำให้ผู้ใช้งานมีโอกาสที่จะติดไวรัส, โทรจันหรือ มัลแวร์ต่างๆ ได้ ดังนั้นทางแก้อันดับหนึ่งที่ผมคิดได้ตอนนี้คือ