นักวิจัยของ Google ออกมาเปิดเผยบั๊ก POODLE บั๊กตัวใหม่ชื่อสุดฟรุ้งฟริ้ง แต่เป้าหมายการโจมตีเหมือนบั๊ก Heartbleed

นักวิจัยของ Google เปิดเผยและเริ่มแจ้งเตือนถึงข้อมูลของบั๊กตัวใหม่ที่มีชื่อสุดน่ารักว่า “POODLE , พุดเดิ้ล”
A Google search page is seen through a magnifying glass in this photo illustration taken in Brussels
นักวิจัย 3 ท่านของ Google ได้ทำการตีพิมพ์และเปิดเผยข้อมูลของบั๊กคอมพิวเตอร์ตัวใหม่ พร้อมทั้งกระจายข่าวไปยังหลายๆ website เพื่อให้แน่ใจว่าระบบรักษาความปลอดภัยแต่ละ web นั้นมีการป้องกันที่รัดกุมเพียงพอ

คำอธิบายจากรายงานบอกเอาไว้ว่า บั๊กตัวนี้ มีชื่อว่า POODLE = พุดเดิ้ล ซึ่งมันย่อมาจาก Padding Oracle On Downgraded Legacy Encryption ซึ่งมันจะมีผลในการหลีกเลี่ยงระบบการป้องกันความปลอดภัยของ SSL (ว่ากันง่ายๆว่า มันจู่โจมเป้าหมายเดียวกับเจ้าบั๊ก Heartbleed ที่เคยระบาดก่อนหน้านี้เลย)

ด้วยการที่ตัวมันมีเป้าหมายการโจมตีเดียวกันกับ Heartbleed มันจึงสามารถเรียกอีกชื่อนึงได้ว่า “Poodlebleed” ถึงแม้อันตรายของมันอาจจะไม่ร้ายแรงเท่ากับ Heartbleed แต่ยังไงก็ต้องแจ้งเตือนในกลุ่ม และ สมาคมของนักวิจัยออกไปก่อน

SSL ทำหน้าที่ปกป้องข้อมูลที่ส่งผ่านระหว่าง website ไปยังผู้ใช้งาน ปกติแล้วจะระบุได้จากไอคอนรูปกุญแจสีเขียวๆ และใน URL รูปแบบ  HTTPS

หาก SSL ถูกบุกรุกแล้วล่ะก็ ผู้โจมตีระบบจะสามารถแทรกแซง และทำการเปลี่ยนข้อมูลที่กำลังส่งผ่านได้

เจ้าบั๊ก POODLE นี้ เน้นโจมตีไปที่ SSL เวอร์ชั่น 3.0 ซึ่งใช้งานกันมานานถึง 15 ปีแล้ว แต่มันก็ยัง support หลายๆระบบอยู่ ด้วยเหตุนี้ ทางนักวิจัยของ Google เองได้ออกมากระตุ้นทาง System Admin ไม่ให้ใช้งาน SSL เวอร์ชั่น 3.0 ต่อไปแล้ว ซึ่งมันน่าจะเป็นทางออกที่ดีของปัญหานี้ เพื่อป้องกันไม่ให้ POODLE ระบาดและโจมตีระบบได้

แต่ถ้าทั้ง 2 ฝั่ง คือ ทั้งผู้ใช้งาน และ ฝั่ง website ใช้ SSL เวอร์ชั้น 3.0 ทั้งคู่ จะยิ่งเป็นการยากต่อการป้องกัน

สำหรับงานวิจัย สามารถเข้าไปอ่านได้จากที่นี่เลยครับ >> POODLE Bites: Exploiting SSL 3.0 Fallback <<

และสามารถเข้าไปอ่านเรื่องระบบความปลอดภัยเพิ่มเติมได้จากที่นี่เช่นกันครับ >> Google Security Blog <<

ที่มา : TheVerge
รูปจาก : s3.reutersmedia.net | media2.s-nbcnews.com

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

อนุญาตทั้งหมด
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

  • คุกกี้เพื่อการวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรังปรุงและพัฒนาเว็บไซต์ได้

บันทึก