on 18/11/10 13:23
Tags:
บริษัทผู้พัฒนาโซลูชั่นด้านความปลอดภัย Bit9 ได้เผย "Dirty Dozen" หรือรายชื่อแอพพลิเคชันที่มีช่องโหว่ที่มีความร้ายแรงสูง (high severity) มากที่สุด โดยอาศัยข้อมูลจากฐานข้อมูล National Vulnerability Database ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (National Institute of Standards and Technology) ระหว่าง 1 ม.ค.-21 ต.ค. โดยระบุว่า Google Chrome ที่มีช่องโหว่มากถึง 76 รายการ มาเป็นอันดับหนึ่ง ตามด้วย Apple Safari และ Microsoft Office มาเป็นสองและสามตามลำดับ ส่วน Microsoft Internet Explorer นั้นอยู่ที่อันดับ 8 (อย่างไม่น่าเชื่อ!) โดยพบช่องโหว่ลักษณะข้างต้นเพียง 32 รายการเท่านั้น
สำหรับรายชื่อทั้งหมดใน Dirty Dozen มีดังนี้
- Google Chrome – 76
- Apple Safari – 60
- Microsoft Office – 57
- Adobe Acrobat – 54
- Mozilla Firefox – 51
- Sun JDK – 36
- Adobe Shockwave Player – 35
- Microsoft Internet Explorer – 32
- RealNetworks RealPlayer – 14
- Apple Webkit – 9
- Adobe Flash Player – 8
- Apple Quicktime and Opera Web browser (tied) – 6
เมื่อปีที่แล้ว Bit9 ก็ได้ออก Dirty Dozen มาเช่นกัน ซึ่งคราวนั้น Mozilla Firefox ได้อันดับหนึ่งไป แต่หากดูแล้วก็มีหลักเกณฑ์ของการสำรวจปีนี้กับปีที่ผ่านมาที่แตกต่างกัน อาทิ ปีนี้ได้สำรวจแอพพลิเคชันจาก Apple ด้วย แต่ปีที่แล้วไม่ได้สำรวจ เป็นต้น
ที่มา: Bit9 ผ่าน TodayISP.com ผ่าน Neowin.net
Comments
browser ติดทุกตัว
หนึ่งอุดมการณ์ ล้านหนทาง
อ้าวไหนบอกว่า Chrome ปลอดภัยอ่ะ ?
ยาดีขมปากแต่โรคหาย คำซื่อไม่เพราะแต่มีคุณ
อาจจะไม่ใช่บั๊กเกี่ยวกับความปลอดภัยก็ได้ครับ
Chrome อันตราย Flash ปลอดภัย .. ทำไมมันสวนทางกับสิ่งที่เข้าใจหว่า
แฟนพันธุ์แท้สตีฟจ็อบส์
เพิ่งเคยได้ยินชื่อ Bit9
ผมว่าเปลี่ยนจาก "ช่องโหว่ที่มีความรุนแรงสูง" เป็น "ช่องโหว่ที่มีความร้ายแรงสูง" น่าจะดีกว่าครับ เพราะคำว่ารุนแรงน่าจะเป็นคำที่ใช้กับทางกายภาพซึ่งอธิบายแรงที่กระทำต่อสิ่งใดสิ่งนึงมากกว่าครับ
คุณ nuntawat เป็นคนนึงที่ชอบใช้ภาษาไทยแบบเยอะมากจนบางครั้งทำให้งงกว่าภาษาอังกฤษอีกครับ
ผมก็พยายามมาแก้ภาษาไทยให้ครับ แต่ยังไงคนไทยก็ควรใช้ภาษาไทยครับ ถ้ามันผิดก็ต้องมาแก้ไขกันไปครับ
555 จริงครับ
ผมก็บ่นไปงั้นๆ แหละครับตามประสาคนแก่ บางทีเราเจอแต่คำภาษาอังกฤษ พอมาเจอภาษาไทยที่เป็นคำแปลแล้วมันงงน่ะครับ
+1 ครับ มีภาษาไทย ใช้ภาษาไทยก่อน อ่านแล้วงงก็ค่อยมาถกเป็นคำๆ ไป
[ kantiya.com ]
ที่ IE มันห่วยก็เรื่อง CSS, DOM, performance เท่านั้นล่ะครับ เรื่อง secure นี่ OK เลยนะครับผมว่า
no system is safe.
ไม่จริง ไปเล่นเวบที่ติดไวรัสเป็นอันเสร็จ ของโครมกับไฟร์ฟอกซ์ยังบล็อคได้ถ้ามันตรวจเจอกัน แต่ของไออีสคริปต์อันตรายผ่านฉลุย
v___v
IE ตัวไหนครับ น่าจะระบุด้วย
my disclaimer
ไม่จริงนะครับ ถ้าเป็นพวก ie 6ก็ว่าไปอย่าง
ถ้าจำไม่ผิด Sandbox ของ Chrome แข็งแรงดีนี่นา
Sun JDK ??? เพิ่งรู้นะเนี่ยเหอๆ
ผมใช้บราวเซอร์ที่อันตรายที่สุดอยู่เหรอเนี่ย สุดยอดอ่ะ ความรู้สึกเหมือนยืนอยู่ปากปล่องภูเขาไฟ
กินตับทำให้ร่างกายแข็งแรง
เคยอ่านข่าวเก่า ไหนบอกว่าแฮกเกอร์เจาะเข้าไปแต่ทำอะไรไม่ได้?
เจอให้รู้แล้วมานั่งแก้ดีกว่า มีแต่ไม่เจอ -
ยักษ์อาศัยอยู่ใต้ดิน เอเลี่ยนอยู่หลังดวงจันทร์
จำได้ตอนที่งานแฮกเกอร์ครั้งก่อน แฮกเกอร์เข้าไปนั่งเล่นใน sandbox กันสนุกเลย ส่วนอันอื่นโดนแฮกเกอร์เล่นระบบแทน
ในที่สุดวันนี้ก็มาถึง...
แล้วจะเชื่อถือใคร
คงจะได้เงินหลายจากการแจ้งช่องโหว่ของ Chrome
ที่จริงต้องดูครับ ว่า "high severity" หมายถึงอะไร โดยทั่วไป denial of service จะถูก rate ไว้ที่ high severity ด้วย และช่องโหว่ส่วนใหญ่ของ chrome จะโดนโจมตีด้วยวิธีนี้ แต่ high severity ของเจ้าอยู่นั้น จะโดนทั้ง denial of service และ remote code execution เลย
เหตุผลที่ chrome โดยเฉพาะ denial of service เพราะว่า chrome มีการใช้งาน sandbox ทำให้ช่องโหว่ที่เจอไม่สามารถใช้ในการ execute คำสั่งต่างๆ ได้ครับ
ถ้าพูดกันตรงๆ ก็คือ ช่องโหว่ที่เจอบน chrome นั้น จะส่งผลให้ chrome ปิดตัวลง แต่ไม่มี virus ลงบนเครื่อง เวลาเข้าเว็บที่มีช่องโหว่ แต่ช่องโหว่ที่เจอบน browser อื่นจะทำให้ virus ลงเครื่องได้ครับ
ตอนนี้ผมก็ไม่ได้ใช้มันแฮะนอกจากตอนทดสอบเว็บ มันใช้ Webkit เหมือน safari แต่ผลออกมาทำไหมไม่เหมือนกัน หว๋า? มันออกมาแย่ๆ มาก เรนเดอร์หน้าออกมาเร็วก็จริงน่ะ แต่พวก CSS มันเรนเดอร์ไม่สวยแฮะ สำหรับ chrome ตอนนี้ผมว่านิยามว่า "ทำลวกๆ เอาเร็ว เอามัน"
<@mOkin>Every thing that has a beginning has an end.<mOkin/>
+1
ผมใช้ chrome เปิดบางเว็บแล้ว render ห่วยสิ้นดี บางเว็บที่ใช้ wysiwyg ก็ไม่ยอมโหลด ใช้ firefox, IE ไม่เป็น
no system is safe.
แสดงว่า chrome เริ่มแย่ขนาดนั้นแล้วสินะ
Android จ๋า~*
เป็นนานแล้วครับไม่ยอมแก้สักที มีดีก็แค่เร็วเท่าน่ะครับ
no system is safe.
คิดว่าจุดประสงค์การทำ Application ของ Google ต่างออกไป โดยเน้นที่การตอบสนองบริการ online ของ GG ให้ครบวงจรมากกว่า ส่วนเรื่องความสวยงาม ความเข้ากันได้ คงเป็นเรื่องรองลงไป
ผมว่าเขาเรียงตามจำนวนช่องโหว่นะครับ ไม่ได้เรียงว่าอันไหนร้ายแรง
ใช้ firefox ทำธุรกรรมตลอดล่ะครับ chrome ยังไม่มั่นใจ (นานแล้ว) ส่วน ie ไม่ใช่ตัวเลือกเลย ซาฟารีกับโอเปร่าก็นานๆ ใช้ที เหตุที่ใช้ firefox เพราะบางทีเวลามีสคริปต์แปลกๆ เริ่มทำงานมันจะเตือนทันที เลยมั่นใจกว่าน่ะครับ (ผมไม่เคยเห็น ie เตือนนะ ปรับทุกอย่างเป็น default ตลอด ส่วน firefox ไม่ปรับอะไรเลยนอกจากใส่ปลั๊กอินบางตัวเท่านั้น)
อันดับแรก ๆ นี่มีอยู่ในเครื่องเกือบครบเลย
แล้วบั๊กที่ยังไม่เจอหล่ะ ?
หาไม่เจอว่า 76 นี่มีอะไรบ้าง - -*
ในที่นี้การเจอบัคผมว่าอันไหนเยอะน่าจะดีนะ คิดสภาพเราใช้โปรแกรมที่ไม่รู้ว่ามันมีปัญหาตรงไหนสิ(จะล่มจะพังจะโดนแฮ๊กตรงไหนนักไม่รู้), กลับกันใช้ของที่เรารู้อยู่แล้วว่ามีปัญหาตรงไหนบ้าง เราก็เลี่ยงที่จะเข้าไปตรงนั้น(แล้วนักพัฒนาก็กำลังจะแก้เรื่องพวกนั้น),
บัคของ Safari , webkit ถูกค้นพบผ่านโปรเจค Chrome เยอะนะ
crbug.com ตอนนี้วิ่งไป 6 หมื่นกว่า report แล้วนะ
Moss 's blog