Duo Security รายงานระบบอัปเดตของผู้ผลิตเปิดช่องโหว่ให้คอมพิวเตอร์จำนวนมาก

by lew
1 June 2016 - 07:20

ปีที่แล้วมีรายงานช่องโหว่สำคัญๆ จากผู้ผลิตคอมพิวเตอร์เอง เช่น Superfish ของเลอโนโว และ eDellRoot ของเดลล์ ทาง Duo Security จึงทำรายงานสำรวจความปลอดภัยของระบบอัปเดตจากผู้ผลิต 5 ราย ได้แก่ เอเซอร์, เอซุส, เอชพี, เดลล์, และเลอโนโว พบว่าผู้ผลิตทุกรายมีช่องโหว่ระดับร้ายแรงสูงทั้งสิ้น รวมช่องโหว่ 12 รายการ

นอกจากเดลล์ที่มีช่องโหว่ eDellRoot ผู้ผลิตรายอื่นๆ ก็มีปัญหาช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันบนเครื่องของเหยื่อ การเข้ารหัสที่อ่อนแอและบางครั้งก็อิมพลีเมนต์ผิดพลาด เช่น Asus Live Update เข้ารหัสไฟล์ manifest ด้วยกุญแจ md5("Asus Live Update") ผู้ผลิตหลายรายส่งโค้ดอัพเดตโดยไม่เข้ารหัสและไม่ตรวจสอบโค้ดที่ดาวน์โหลดมา หรือ Dell Foundation Service (DFS) ที่ตรวจสอบโค้ดอัปเดตว่าใบรับรองมี "ชื่อ" ว่า "DELL" หรือ "DELL INC." หรือไม่ โดยไม่ได้ตรวจสอบกุญแจจริงๆ (ปัญหานี้ถูกแก้ไปใน DFS 2.4.3.0)

รายงานฉบับเต็มสามารถอ่านได้ฟรี

ที่มา - Duo Security

Blognone Jobs Premium