<?php wp_title('|', true, 'right'); ?>
By
กุมภาพันธ์ 2, 2021

นักพัฒนา Bitcoin Core เผยถึงช่องโหว่ในระบบที่อาจเป็นอันตรายต่อซอฟต์แวร์ได้

ข่าว Bitcoin
ติดตามสยามบล็อกเชนบนSiam Blockchain

นักพัฒนา Bitcoin Core ค้นพบ Bug ใน Software เวอร์ชั่นเก่า แต่ถูกแก้ไขไปแล้ว

สรุปประเด็นสำคัญ

  • นักพัฒนา Bitcoin Core ได้เปิดเผยถึง bug ที่พบใน Bitcoin เวอร์ชันก่อนหน้า
  • พวกเขาคาดการณ์ว่าไม่น่าจะก่อให้เกิดอันตรายใด ๆ เนื่องจากวิธีการทำงานของเบราว์เซอร์สมัยใหม่
  • ยังไม่มีเหตุผลที่จะต้องตื่นตระหนก

นาย Andrew Chow หรือหนึ่งในนักพัฒนา Bitcoin core ได้ออกมาเปิดเผยถึง bug สำคัญในซอฟต์แวร์เวอร์ชันก่อนหน้านี้ที่คาดว่าสามารถส่งผลกระทบต่อเว็บบราวเซอร์ได้ แต่อย่างไรก็ตามปัญหาดังกล่าวได้ถูกแก้ไขแล้ว

ในทวีตของนาย Chow เผยว่า ช่องโหว่ดังกล่าวที่อยู่ใน Bitcoin Core 0.18 และก่อนหน้านี้ ได้ถูกแก้ไขแล้วตั้งแต่เวอร์ชัน 0.19 และ จนปัจจุบันซอฟต์แวร์  Bitcoin core ได้ถูกพัฒนามาจนถึงเวอร์ชัน 0.21.0 แล้ว

แม้จะมีคำเตือนถึงช่องโหว่ที่เกิดขึ้นแต่นาย Chow กล่าวว่า ปัญหา bug ดังกล่าวไม่น่าจะสร้างความเสียหายอะไรมาก “อันเนื่องมาจากเบราว์เซอร์สมัยใหม่และสภาพแวดล้อมเดสก์ท็อป Linux ผมไม่คิดว่าช่องโหว่นี้จะสามารถถูกเจาะได้จริง” เขากล่าว

นาย Chow กล่าวเพิ่มเติมว่า “อย่างไรก็ตามหากช่องโหว่เกิดขึ้นจริง ๆ ก็อาจนำไปสู่เหตุการณ์ RCE (เช่น malicious code (โค้ดที่เป็นอันตรายในคอมพิวเตอร์ของเหยื่อ)”  

วิธีการโจมตี

การโจมตีทางด้านเทคนิคสามประการ: อย่างแรกคือ URI ซึ่งย่อมาจาก Unified Resource Identifier เป็นข้อมูลที่ใช้ระบุตัวตนโดยคอมพิวเตอร์ เพื่อระบุที่ตั้งในโลกความเป็นจริงและดิจิตอล

อย่างที่สองคือ Qt5 ซึ่งเป็นโปรแกรมฟรีที่สร้างอินเทอร์เฟซแบบกราฟิก และสุดท้ายคือวิธีการจัดการทั้งสองนี้บนคอมพิวเตอร์

Chow กล่าวว่า URI Injection ซึ่งเป็นสิ่งที่ทราบกันดีในหมู่นักพัฒนาซอฟต์แวร์ (ในกรณีนี้คือนักพัฒนา Bitcoin) อยู่แล้ว ดังนั้นพวกเขาจึงรู้วิธีหลีกเลี่ยงสิ่งเหล่านี้ที่อาจเกิดขึ้น

ซึ่งหมายความง่ายๆว่า นักพัฒนามักจะหลีกเลี่ยงข้อมูลที่ถูกตั้งค่าสถานะที่ส่งโดย URI และป้องกันการโจมตีได้ อย่างไรก็ตามปัญหาเกิดขึ้นกับ Qt5 ซึ่งเป็นซอฟต์แวร์กราฟิกที่ไม่รู้จัก URI ที่ผิดพลาด อาจอนุญาตให้อาร์กิวเมนต์ที่ไม่ต้องการ (ตัวแปรดิจิทัลที่มีข้อมูล) สามารถผ่านไปได้

ตามทฤษฎีแล้วช่องโหว่ดังกล่าวทำให้มีการส่งรหัสที่ผิดกฎหมาย หรือการส่งข้อมูล/คำสั่งเท็จไปยังคอมพิวเตอร์หรือการติดตั้งปลั๊กอินที่เป็นอันตราย จากนั้นอาจทำให้ระบบของผู้ใช้ทำงานผิดพลาด หรืออาจจะเป็นอาชญากรรมไซเบอร์ในรูปแบบอื่น ๆ เช่น การโจรกรรมข้อมูล

แต่โชคดีที่เว็บเบราว์เซอร์ส่วนใหญ่มีระบบเพื่อหลีกเลี่ยงการโจมตีดังกล่าวในตัวอยู่แล้ว ซึ่งหมายความว่าแม้จะมีช่องโหว่อยู่ แต่ก็ยังยากที่จะใช้ประโยชน์จากมันได้ ซึ่ง Chow ระบุว่าเป็นไปไม่ได้ที่จะก่อให้เกิดอันตราย

ในขณะเดียวกันช่องโหว่ดังกล่าวเป็นหนึ่งในตัวอย่างของ Bitcoin Core ซึ่ง  Bitcoin เองไม่เป็นอันตราย การโจมตีนี้เกิดขึ้นในซอฟต์แวร์เวอร์ชันก่อน ๆ และอาจส่งผลกระทบต่ออุปกรณ์ของผู้ใช้ในทางทฤษฎี ไม่ใช่ตัวโปรโตคอล