iFrame ย่อมาจาก inline frame เป็นองค์ประกอบของ HTML ที่ใช้เพื่อฝังเนื้อหาจากเว็บไซต์อื่นลงในหน้าเว็บเราหรือเว็บอื่นได้ ตัวอย่างเช่น เราสามารถใช้ iFrame เพื่อฝังวิดีโอจาก YouTube หรือแผนที่จาก Google Maps ลงในหน้าเว็บเรา
โดยล่าสุด นักวิจัยค้นพบช่องโหว่จากการ์ดจอจากผู้ผลิตทุกรายมีช่องโหว่ที่อาจให้แฮ็กเกอร์ สามารถขโมยรหัสบนเว็บต่าง ๆ ที่มีการใช้งาน iFrame ซึ่งนักวิจัยได้แจ้งรื่องนี้ไปกับผู้ผลิตแล้ว แต่ก็ไม่มีอะไรคืบหน้า
ช่องโหว่นี้ส่งผลต่อเว็บเบราว์เซอร์ Chrome และ Edge และส่งผลกับการ์ดจอที่เป็นแบบ On-board และการ์ดจอแยก ซึ่งรวมถึง AMD, Intel, Nvidia, Apple, Arm และ Qualcomm
เทคนิคการโจมตีดังกล่าวชื่อว่า GPU.ZIP เริ่มต้นจากเว็บไซต์หนึ่งที่เป็นเว็บอันตรายใช้วิธีการหลอกฝัง iFrames ไว้ในเว็บไซต์อื่น หากผู้ใช้กดคลิกและอนุญาตให้โหลด iFrame ด้วยคุกกี้แล้ว และเรนเดอร์ SVG filters บน GPU ไซต์ที่เป็นอันตรายจะสามารถขโมยและถอดรหัสพิกเซลที่แสดงได้ ซึ่งจะทำให้เห็นชื่อผู้ใช้ รหัสผ่าน และข้อมูลสำคัญอื่น ๆ
โชคดีที่เว็บไซต์ส่วนใหญ่ที่มีการจัดการข้อมูลที่ละเอียดอ่อน จะห้ามฝัง iFrame ยกเว้นเสียแต่เว็บสาธารณะอย่าง Wikipedia ที่สามารถทำได้
คำแนะนำสำหรับผู้ใช้คือ
+ ระวังว่าเว็บไซต์ใดที่เราเข้า พยายามให้เรากดอนุญาตส่วนต่าง ๆ หรือไม่
+ หากเรากังวลเกี่ยวกับช่องโหว่นี้ เราสามารถใช้ส่วนขยายเบราว์เซอร์เพื่อบล็อก iFrame ได้
———————————————————————————————————————————————————————————
ที่มา : Techhub / วันที่เผยแพร่ 16 ต.ค.66
Link : https://www.techhub.in.th/new-pixel-stealing-exploit-can-read-usernames-passwords/