ມີຊ່ອງໂຫວ່ຢູ່ Plugins Autofill ຂອງ LinkedIn

ໄດ້ມີການພົບເຫັນຊ່ອງໂຫວ່ຢູ່ທີ່ Plugins Autofill ຂອງ LinkedIn ສ່ຽງຖືກບຸກຄົນທີ່ສາມລັກຂໍ້ມູນ

Jack Cable ນັກວິໃຈດ້ານຄວາມຫມັ້ນຄົງປອດໄພ ອາຍຸ 18 ປີຈາກ Lightning Security ອອກມາແຈ້ງເຕືອນຊ່ອງໂຫວ່ຢູ່ Plugins  AutoFill ຂອງ LinkedIn ເຊິງຊ່ວຍໃຫ້ບຸກຄົນທີ່ສາມສາມາດເຂົ້າຫາຂໍ້ມູນສໍາຄັນຂອງຜູ້ໃຊ້ໄດ້ໂດຍທີ່ຜູ້ໃຊ້ບໍ່ຮູ້ໂຕ

LinkedIn ໃຫ້ບໍລິການ Plugins AutoFill ສໍາຫລັບເວັບໄຊອື່ນໆ ມາຕັ້ງແຕ່ດົນໜານເຊິງຊ່ວຍໃຫ້ຜູ້ໃຊ້ LinkedIn ສາມາດຂຽນຂໍ້ມູນລົງເທິງເວັບໄຊເຫລົ່ານັ້ນໄດ້ໄວ ບໍ່ວ່າຊິເປັນຊື່ນາມສະກຸນ, ເບີໂທລະສັບ,ອີເມວ, ບໍລິສັດ ແລະ ຕໍາແຫນ່ງຕ່າງໆ ໂດຍການກົດປຸ່ມຄິກເທື່ອດຽວ

Cable ລະບຸວ່າໂດຍປົກກະຕິແລ້ວປຸ່ມ AutoFill ຄວນເຮັດວຽກສະເພາະເທິງເວັບໄຊທີ່ຖືກ Whitelist ໂດຍ LinkedIn ເທົ່ານັ້ນ ແຕ່ເຂົາພົບເຫັນຊ່ອງໂຫວ່ທີ່ຊ່ວຍໃຫ້ເວັບໄຊໃດໆ ສາມາດເກັບລວບລວມຂໍ້ມູນຂອງຜູ້ໃຊ້ LinkedIn ໄດ້ຜ່ານທາງຟັງຊັນ AutoFill ດັງກ່າວໂດຍທີ່ຜູ້ໃຊ້ບໍ່ຮູ້ໂຕ ໂດຍປົກກະຕິແລ້ວເວັບໄຊທົ່ວໄປຈະວາງປຸ່ມ AutoFill ໄວ້ຂ້າງໆ Fields ຕ້ອງການໃຫ້ກົດປຸ່ມເພີ່ມຂໍ້ມູນອັດຕະໂນມັດແຕ່ Cable ພົບວ່າ Hacker ສາມາດແກ້ໄຂຄຸນນະສົມບັດຂອງປຸ່ມ AutoFill ເພື່ອຂະຫຍາຍປຸ່ມໄປທົ່ວທັງຫນ້າເວັບໄຊແລ້ວເຮັດໃຫ້ມັນຫາຍໂຕ ເມື່ອຜູ້ໃຊ້ກົດສ່ວນໃດສ່ວນຫນຶ່ງຂອງເວັບໄຊກະຈະເປັນການເອີ້ນໃຊ້ຟັງຊັນ AutoFill ທັນທີ ສົ່ງຜົນໃຫ້ຂໍ້ມູນ LinkedIn ທັງຫມົດຂອງຜູ້ໃຊ້ຖືກສົ່ງໄປຫາເວັບໄຊຂອງ Hacker ແທນ

Cable ໄດ້ແຈ້ງຊ່ອງໂຫວ່ດັງກ່າວໄປຫາ LinkedIn ທັນທີທີ່ເຂົາພົບເຫັນບັນຫານີ້ເຊິງທາງ LinkedIn ກະໄດ້ອອກ Hotfix ມາແກ້ໄຂບັນຫາດັງກ່າວຊົ່ວຄາວໃນມື້ຕໍ່ມາໂດຍບໍ່ໄດ້ເປີດເຜີຍເລື່ອງນີ້ກັບສາທາລະນະແຕ່ຢ່າງໃດ ແຕ່ທາງ Cable ພົບວ່າການແກ້ໄຂບັນຫາຂອງ LinkedIn ຍັງບໍ່ສົມບູນ ແລະ ຍັງມີຊ່ອງໂຫວ່ເຫລືອຢູ່ຈຶ່ງແຈ້ງເລື່ອງໄປອີກເທື່ອສຸດທ້າຍ ທາງ LinkedIn ກະອອກ Patch ເພື່ອປິດຊ່ອງໂຫວ່ທັນທີ່ໃນມື້ວັນທີ່ 19 ເມສາທີ່ຜ່ານມາ

ທີ່ມາຂອງຂ່າວ: https://thehackernews.com