ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

พบช่องโหว่บน Bitdefender Total Security เปิดช่องให้ผู้ใช้งานถูกแฮกผ่าน Man-in-the-Middle ได้!

พบช่องโหว่บน Bitdefender Total Security เปิดช่องให้ผู้ใช้งานถูกแฮกผ่าน Man-in-the-Middle ได้!
ภาพจาก : https://www.auroratechsupport.co.uk/wp-content/uploads/2020/08/BitDefenderEndpointSecurity.png
เมื่อ :
|  ผู้เข้าชม : 27,924
เขียนโดย :
0 %E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88%E0%B8%9A%E0%B8%99+Bitdefender+Total+Security+%E0%B9%80%E0%B8%9B%E0%B8%B4%E0%B8%94%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B8%96%E0%B8%B9%E0%B8%81%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B8%9C%E0%B9%88%E0%B8%B2%E0%B8%99+Man-in-the-Middle+%E0%B9%84%E0%B8%94%E0%B9%89%21
A- A+
แชร์หน้าเว็บนี้ :

เว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบช่องโหว่ด้านความปลอดภัยถึง 5 ตัว บนซอฟต์แวร์ด้านความปลอดภัยไซเบอร์ Bitdefender Total Security โดยช่องโหว่เหล่านี้ เปิดโอกาสให้แฮกเกอร์สามารถใช้การโจมตีแบบ Man-in-the-Middle (MITM) ซึ่งเป็นการโจมตีของแฮกเกอร์ในรูปแบบการแทรกอยู่ตรงกลางระหว่างการสื่อสารของเครื่องหนึ่ง สู่อีกเครื่องหนึ่งเพื่อดักฟัง และขโมยข้อมูล ซึ่งข้อมูลของช่องโหว่ต่าง ๆ นั้น มีรายละเอียดดังนี้

CVE-2023-6055: Improper Certificate Validation

บทความเกี่ยวกับ Bitdefender อื่นๆ

เป็นช่องโหว่ที่เกิดจากการยืนยันความถูกต้องของใบรับรองเว็บไซต์ (Website Certificate) ล้มเหลว ทำให้ไม่สามารถยืนยันได้ว่าเว็บไซต์ที่เปิดมาเป็นเว็บจริงที่ไว้วางใจได้หรือไม่ เปิดช่องให้แฮกเกอร์สามารถวางกับดักเพื่อดักฟัง แทรกแซงการติดต่อสื่อสารระหว่างเหยื่อกับตัวเว็บไซต์ได้

โดยช่องโหว่นี้ได้รับคะแนนความอันตราย หรือ CVSS Score ไปที่ 8.6 ซึ่งค่อนข้างสูงมากเนื่องจากว่ามีการพบการใช้งานจริงไปเป็นที่เรียบร้อยแล้ว

CVE-2023-6056: Insecure Trust of Self-Signed Certificates

เป็นช่องโหว่ที่ตัวซอฟต์แวร์ความปลอดภัยให้ความวางใจ (Trust) กับตัวเว็บไซต์ที่ใช้ใบรับรองที่ถูกเซ็นด้วยตนเอง (Self-Signed) ผ่าน RIPEMD-160 Hashing Algorithm โดยไม่มีการยืนยันความถูกต้อง (Validation) มากเพียงพอ เปิดช่องให้แฮกเกอร์สามารถฝังการเชื่อมต่อแบบ SSL ไว้บนเว็บไซต์ที่เข้าข่ายเพื่อทำการดักฟังและขโมยข้อมูลได้

ช่องโหว่นี้ได้รับคะแนน CVSS Score ไปที่ 8.6 เช่นเดียวกัน

CVE-2023-6057: Insecure Trust of DSA-Signed Certificates

เป็นช่องโหว่ที่ตัวซอฟต์แวร์ความปลอดภัยให้ความวางใจ (Trust) กับตัวเว็บไซต์ที่ใช้ใบรับรองที่ถูกสร้างผ่านระบบ DSA Signature Algorithm โดยไม่มีการยืนยันความถูกต้อง (Validation) มากเพียงพอ เปิดช่องให้แฮกเกอร์สามารถฝังการเชื่อมต่อแบบ SSL ไว้บนเว็บไซต์ที่เข้าข่ายเพื่อทำการดักฟัง และขโมยข้อมูลได้

ช่องโหว่นี้ได้รับคะแนน CVSS Score ไปที่ 8.6 จากความเสี่ยงในการสร้างความเสียหายในระดับที่ “ค่อนข้างอันตราย” ต่อผู้ใช้งาน

CVE-2023-49567: Insecure Trust of Collision Hash Functions

เป็นช่องโหว่ที่ตัวซอฟต์แวร์ความปลอดภัยให้ความวางใจ (Trust) กับตัวเว็บไซต์ที่ใช้ใบรับรองที่ถูกสร้างฟังก์ชั่น MD5 และ SHA1 Collision Hash โดยไม่มีการยืนยันความถูกต้อง (Validation) มากเพียงพอ ซึ่งแหล่งข่าวได้ระบุว่าระบบ Hash ทั้ง 2 ฟังก์ชั่นนี้เป็นระบบที่ค่อนข้างเก่า และล้าสมัยไปแล้ว ทำให้แฮกเกอร์สามารถสร้างใบรับรองปลอม และทำการฝังการเชื่อมต่อแบบ SSL ไว้บนเว็บไซต์ที่เข้าข่ายเพื่อทำการดักฟัง และขโมยข้อมูลได้

ช่องโหว่นี้ได้รับคะแนน CVSS Score ไปที่ 8.6 จากความสามารถในการก่อความเสียหายของมันที่รุนแรงพอสมควร

CVE-2023-49570: Insecure Trust of Basic Constraints Certificates

เป็นช่องโหว่ที่ตัวซอฟต์แวร์ความปลอดภัยให้ความวางใจ (Trust) กับตัวเว็บไซต์ที่ใช้ใบรับรองที่ส่วน “Basic Constraints” ของส่วนเสริม (Extension) ระบุว่าตัวใบรับรองนั้นสร้างขึ้นเพื่อใช้งานกับ “End Entity” โดยตัวซอฟต์แวร์ Bitdefender Total Security นั้นล้มเหลวในการยืนยันความถูกต้องของใบรับรองดังกล่าว ทำให้แฮกเกอร์สามารถฝังเครื่องมือสำหรับการดักฟังระหว่างเหยื่อและตัวเว็บไซต์โดยที่ Bitdefender ไม่สามารถตรวจจับได้

โดยช่องโหว่นี้ได้รับคะแนน CVSS Score ไปที่ 8.6 เช่นเดียวกับช่องโหว่อื่น ๆ

แต่ก็ยังมีข่าวดีก็คือ ทาง Bitdefender ได้รับทราบปัญหาดังกล่าวแล้ว พร้อมทั้งทำการปล่อยอัปเดตใหม่ในหมายเลขรุ่น 27.0.25.115 เพื่อออกมาอุดช่องโหว่ดังกล่าว ซึ่งถ้าผู้อ่านท่านใดใช้งานเครื่องมือนี้อยู่ ทางทีมข่าวขอแนะนำให้ทำการอัปเดตขึ้นเป็นเวอร์ชันดังกล่าว หรือ เวอร์ชันล่าสุดที่ออกมา ณ ปัจจุบันในทันที เพื่ออุดช่องโหว่ทั้ง 5 ที่ได้กล่าวมาในข้างต้น


ที่มา : cybersecuritynews.com

0 %E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88%E0%B8%9A%E0%B8%99+Bitdefender+Total+Security+%E0%B9%80%E0%B8%9B%E0%B8%B4%E0%B8%94%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B8%96%E0%B8%B9%E0%B8%81%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B8%9C%E0%B9%88%E0%B8%B2%E0%B8%99+Man-in-the-Middle+%E0%B9%84%E0%B8%94%E0%B9%89%21
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น