iOS และ OS X มีช่องโหว่ SSL ตั้งแต่ตุลา 2013, นักวิจัยเตือนผู้ใช้ OS X ย้ายไปใช้ OS อื่นก่อนชั่วคราว

By Bigta Contributor on Tag: Apple, Security, iOS, OS X
Apple

จากปัญหา Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด ทำให้ไม่สามารถตรวจสอบใบรับรอง SSL ที่ผิดพลาดได้ ซึ่งปัญหาที่ว่าเกิดขึ้นทั้งใน iOS และ OS X นักวิจัยได้ตรวจสอบข้อมูลซอร์สโค้ดย้อนหลังแล้วพบว่าโค้ดเจ้าปัญหานี้ถูกใส่เข้ามาในระบบตั้งแต่ช่วงก่อนหน้าเดือนตุลาคม ปี 2013 ทำให้ iOS 6.1, iOS 7 และ OS X 10.9 ได้รับผลกระทบจากช่องโหว่ที่ว่านี้ (@thegrugq, @Pod2G)

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายได้ออกมาแจ้งเตือนผู้ที่ยังใช้งาน iOS รุ่นต่ำกว่า 6.1.6 และ 7.0.6 ให้รีบอัพเดตทันที ส่วนผู้ที่ใช้ OS X ให้หยุดใช้งานก่อนชั่วคราว จนกว่าจะมีแพตช์อย่างเป็นทางการออกมา (@Pod2G, @declanm) เพราะความเสียหายจากช่องโหว่นี้ ไม่ใช่แค่ผู้ไม่หวังดีจะสามารถดักอ่านข้อมูลด้วยวิธี Man-in-the-Middle ได้เท่านั้น แต่ยังสามารถส่งโค้ดอันตรายอะไรก็ได้มารันในเครื่องของผู้ใช้ (Remote Code Execution) โดยอาจใช้วิธีการโจมตีโปรแกรมประเภท Auto update ที่เชื่อมต่อผ่าน SSL แต่ไม่ได้มีการตรวจสอบความถูกต้องของไฟล์อัพเดต (@CrowdStrike)

เนื่องจากว่าซอร์สโค้ดส่วนที่ใช้ตรวจสอบใบรับรอง SSL มีการเปิดเผยต่อสาธารณะ ทำให้นักวิจัยด้านความมั่นคงปลอดภัยชื่อ Stefan Esser (@i0n1c) ได้พัฒนาแพตช์ขึ้นมาเพื่อใช้แก้ไขช่องโหว่นี้ใน OS X 10.9.x อย่างไรก็ตามตัวแพตช์นี้ทำขึ้นมาเพื่อใช้แค่ทดสอบว่าสามารถอุดช่องโหว่ที่โค้ดตรงส่วนนี้ได้หรือไม่แค่นั้น แต่ไม่ใช่แพตช์อย่างเป็นทางการจาก Apple และไม่แนะนำให้เอาไปติดตั้งใช้งานในระบบจริง ใครสนใจสามารถดูข้อมูลเพิ่มเติมได้ที่เว็บไซต์ SektionEins

ใครที่ต้องการตรวจสอบว่าระบบที่ใช้งานอยู่ถูกแก้ปัญหาช่องโหว่ SSL หรือยัง สามารถตรวจสอบได้ที่เว็บไซต์ goto fail; และสำหรับใครที่ยังจำเป็นต้องใช้งาน OS X อยู่ ในระหว่างที่ยังรอแพตช์จาก Apple อาจเปลี่ยนไปใช้ Chrome แทน Safari ไปก่อนได้ เพราะ Chrome ใช้ไลบรารี NSS ในการตรวจสอบ SSL/TLS ไม่ได้ใช้ฟังก์ชันของระบบปฏิบัติการ (@0xabad1dea) แต่อย่างไรก็ตาม เพื่อความปลอดภัย ในระหว่างนี้หากต้องเชื่อมต่อกับ Wi-Fi สาธารณะ ยังไม่ควรเปิดใช้งานโปรแกรมอื่นๆ ที่ต้องใช้การเชื่อมต่อแบบ SSL (เช่น โปรแกรมจดบันทึกรหัสผ่าน หรือโปรแกรมธุรกรรมออนไลน์) และควรหลีกเลี่ยงการใช้งานฟังก์ชัน Auto update ของโปรแกรมต่างๆ ไปก่อนจนกว่า Apple จะยอมแก้ปัญหาให้

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

panurat2000 Sun, 23/02/2014 - 12:58

Stefan Esser (@i0n1c) ได้พัฒนาแพทช์ขึ้นมาเพื่อใช้แก้ไขช่องโหว่นี้ใน OS X 10.9.x

แพทช์ => แพตช์

swagen.xivth Sun, 23/02/2014 - 14:10

คนส่วนมากผมถ้าใช้เครื่อง mac ก็ใช้แต่ os x ถ้าไม่ใช่เครื่อง mac ก็ linux....รายล้อมด้วย geek กับ otaku ^^
ถ้ารอบ ๆ เก็ยเกมเมอร๋ ก็อาจจะคนละเรื่อง

crusio Sun, 23/02/2014 - 15:24

ผมก็ส่วนน้อย ครับ 555

ใช้ Bootcamp วินโดวส์ ช่วงแรกที่โอนย้ายไฟล์ ประมาณเดือนนึงตอนซื้อ MAC ใหม่ๆ หลังจากนั้นลบทิ้งเลย และตลอด 6 ปีที่ใช้ OSX ก็ไม่เคยใช้ Bootcamp วินโดวส์ บน OSX อีกเลย

PandaBaka Sun, 23/02/2014 - 15:38

ผมว่าคนส่วนมากคนที่ซื้อ mac เพราะต้องการใช้ mac ส่วน Bootcamp มันส่วนน้อย
หลักๆ เลย hardware ทำงานได้ไม่ 100% อย่างน้อยๆ ก็ keyboard ล่ะ ใช้แล้วหงุดหงิดมาก =*=)

illusion Sun, 23/02/2014 - 21:38

เอาตรงๆ แบบไม่โลกสวยนะครับ ที่ที่ผมอยู่เนี่ย สิ่งที่คอมเมนต์นี้ว่าก็เป็นจริงนะครับ

คือซื้อแมคบุ้คมาใช้วินโดวส์กันเป็นเรื่องปกตินี่แหละครับ จนผมชินตาไปแล้ว

ผมเคยถามว่าทำไมคนใช้เครื่องแมค ไม่ไปใช้ OS X คำตอบอยู่ที่ Office เป็นปัจจัยสำคัญเลยครับ เนื่องด้วยคนอย่างผมจำเป็นต้องใช้ Word กับ PowerPoint กันเป็นเรื่องปกติอยู่แล้ว และฟอร์แมทของเอกสารสำคัญมากด้วย ซึ่ง iWork รวมถึง Office for Mac ไม่ตอบโจทย์จริงๆ

ส่วนที่ทำไมต้องซื้อเครื่องแมคทั้งๆ ที่นำมาใช้กับวินโดวส์เป็นหลัก ก็เพราะเป็นเรื่องแบรนด์ คุณภาพ ภาพลักษณ์ และใช้ iPhone อยู่ด้วยไงครับ

ดังนั้นเรื่องคนซื้อเครื่องแมคมาใช้วินโดวส์ เป็นเรื่องปกติมากๆ ที่ผมเจอ

แต่คนที่นี่ซึ่งเป็นระดับ geek ทั้งนั้น ก็ไม่แปลกที่จะซื้อ Mac เพื่อมาใช้ OS X จริงๆ ครับ เพราะในมุมมองของ geek มองว่าเมื่อซื้อ Mac มา ก็ต้องคู่กับการใช้ OS X อยู่แล้ว

nrml Sun, 23/02/2014 - 23:10

จากประสบการณ์ที่ผ่านมานี่ยังไม่ค่อยเจอใครที่ใช้ bootcamp สักเท่าไหร่นะครับ มันคงอยู่ที่ว่าเราไปอยู่ในกลุ่มสังคมแบบไหน อย่างที่คุณ illusion ว่ามานั่นแหละครับ

quake_the_rock Sun, 23/02/2014 - 23:32

คนส่วนน้อยอีกคนครับ แรกๆ ก็ลงไว้นะครับ bootcamp แต่มันเปลือง storage มาก ยิ่ง macbook air ด้วยแล้ว... มันอยู่ในเครื่องผมแค่ตอนแรกๆ หลังจากซื้อมาใหม่ๆ เท่านั้นแหละครับ ตอนนี้ลบไปหมดแล้ว

word, excel ยังมีใช้บ้าง แต่ก็จะใช้บน windows7 ของ workstation ที่ออฟฟิตแทน และถ้าหากอยู่ข้างนอกก็ remote desktop เข้าไปเพื่อใช้ word, excel ได้ครับ (แอบ nat ip จริงไว้)

zigheart Mon, 24/02/2014 - 12:13

ไม่ได้ลง bootcamp เลยด้วยซ้ำครับ

ผมใช้แต่แมค ถ้าจะเข้าวินโดวก็เปิด VM เอา

แมคเหมาะสำหรับทำงานมากกว่าวินโดวอยุ่แล้ว

ไม่เหมาะแค่เรื่องเล่นเกม

neizod Sun, 23/02/2014 - 15:42

ว่าแต่เมื่อไหร่ไอ้สไตล์การเขียน code แบบ if / for กับ statement เดียวแล้วยอมไม่มีวงเล็บปีกกามันจะหมดไปซักที ไม่ได้เขียน python นะยอมเปลืองหน่อยก็ได้ :/

PandaBaka Sun, 23/02/2014 - 16:39

งั้นใช้ condition?true:false แทนก็ได้ :P
ปล.ส่วนตัวผมชอบใช้นะแบบไม่มีวงเล็บปีกกา ประหยัดเวลาพิมพ์ได้อีกนิดนึงก็ยังดี

neizod Sun, 23/02/2014 - 19:13

สับสนอะไรหรือเปล่าครับ cond ? on_true : on_false ; นี่สำหรับ expression เท่านั้นนะครับ statement ไม่ได้ แถมยังบังคับว่าต้องมีทั้งกิ่ง on_true และ on_false ทั้งคู่ ไม่เหมือนกับ if ที่ไม่จำเป็นต้องมี else ก็ได้

ปล.ขอให้เจอ bug บ่อยๆ :P

cartier Sun, 23/02/2014 - 22:40

สำหรับผมมันคือวิธีเขียน​แบบ​ต้อง​ห้าม​ครับ​ ประหยัดเวลานิดเดียว​ แต่บั๊กมาทีหากันหัวแตก​ แถมขอบเขต​ไม่ชัดเจนด้วย​ งานมีความเป็นไปได้​ที่คนอื่น​เค้า​ต้อง​มา​สาน​ต่อ​เรา​อีก​ ลด​ปัญหา​ก็ตัดวิธีแบบนี้ไปเลย​

nuttdam Mon, 24/02/2014 - 12:19

เห็นด้วยคนครับ
ถ้าเป็นโปรเจ็ค หรือโปรแกรมที่ต้องทำงานร่วมกับคนอื่น ถึงทั้งไฟล์มีโค๊ดอยู่ 10 บรรทัดผมก็เขียนฮะ

mode Mon, 24/02/2014 - 13:37

ถ้าเราไปดูโค้ดคนอื่น แล้วเราไม่ชอบ style บางอย่างของคนเขียนโค้ด ซึ่งคนบางกลุ่มก็เป็นเหมือนเราและมีเหตุผลที่ควรแก้เหมือนกัน (เหตุผลมีได้ร้อยแปด) เราควรบอกให้เขาแก้ไหมครับ

ผมเคยอ่านในหนังสือ จำไม่ได้แล้วครับว่าอันไหน คนเขียนบอกว่า style การเขียนโค้ดของโปรแกรมเมอร์เป็นเหมือนคล้าย ๆ ประเด็นความเชื่อทางศาสนา เราอย่าไปบังคับโปรแกรมเมอร์ให้เปลี่ยนตามที่เราต้องการ

neizod Mon, 24/02/2014 - 22:06

ควรบอกให้แก้ครับ ส่วนคุณจะแก้หรือไม่แก้อันนี้ก็ขึ้นอยู่กับการตัดสินใจของคุณ ถ้าเหตุผลที่ผมข้อให้แก้มันไม่ดีพอก็ไม่ต้องแก้ มองในแง่ดีนะถ้าคุณให้เหตุผลผมกลับมาว่าทำไมถึงไม่แก้ แล้วผมยอมรับได้ ผมก็จะเข้าใจว่าสไตล์การเขียนแบบนี้มันก็มีข้อดีของมัน ในอนาคตผมก็ไม่ติดใจอีกถ้าเจอใครเขียนแบบนี้ และถ้าเหตุผลคุณดีมากๆ ผมอาจจะเห็นด้วยกับสไตล์การเขียนแบบนั้น แล้วก็กลับไปเปลี่ยนโค้ดของผมให้เป็นสไตล์แบบคุณก็ได้

คนเรานับถือศาสนาได้ ก็เปลี่ยนศาสนาหรือเลิกนับถือศาสนาได้ครับ ผมไม่ได้บังคับให้ใครๆ เปลี่ยนศาสนานะ แค่เสนอแนะแนวทางแก้ไขกับเรื่องที่ผมเห็นว่ามันมีความเสี่ยงที่จะผิดพลาดในอนาคตได้ครับ

wiennat Tue, 25/02/2014 - 16:53

ใครอยากเขียนยังไงก็เขียนไปครับ

ออกจากบริษัทไปแล้วก็คนที่มาดูแลโค้ดแทนบ่นว่าอ่านยากก็คงไม่ได้ยินอยู่ดี

ปล. ผมเคยโง่เพิ่มบรรทัดคำสั่งลงไปใน if clause ที่เคยมีบรรทัดเดียวแล้วไม่ได้ใส่ปีกกาแล้วไม่ทันสังเกต รันออกมางานผิด หาอยู่ห้านาทีก็รู้ว่าโง่เอง แก้ใหม่ก็แป๊บเดียวแหละ แต่ถ้าเลือกได้ใช้ปีกกาครอบไว้ก็ไม่เสียเพิ่มห้านาทีแล้วแท้ๆ

lew Tue, 25/02/2014 - 16:57

มันมี practice หลายอย่างที่ไม่ควรทำโดยทั่วไปครับ อย่างพวก one-liner ทั้งหลาย ไม่ว่าภาษาใดๆ coding style บริษัทไหนๆ ก็ไม่แนะนำให้ทำกัน หรืออย่าง goto ก็ไม่แนะนำกันโดยทั่วไป

ตรงข้ามกับความเชื่อของคุณ (และคนเขียนหนังสือที่คุณอ้าง) หน่วยงานสมัยนี้ต้องมี coding style กลางเพื่อให้โค้ดอ่านเข้าใจได้ตรงกันได้รวดเร็ว เพิ่มประสิทธิภาพการทำงานโดยรวม สิบคนสิบลายมือ ร้อยคนร้อยลายมือ แก้โค้ดคนอื่นทีอ่านไม่เข้าใจใช้เวลาปรับใหม่นี่บริษัทขนาดใหญ่แย่กันพอดีครับ

ตัวอย่าง Google C++ Style Guide, GNU Coding Standard, Mozilla Coding Style

โปรเจคพวกนี้รับโค้ดจากโปรแกรมเมอร์จำนวนมาก หลายโปรเจคโปรแกรมเมอร์ส่วนใหญ่ไม่ได้เป็นพนักงานประจำ โปรแกรมเมอร์เหล่านี้ต้องปรับเปลี่ยนทั้งนั้นครับ

Noppon Mon, 24/02/2014 - 10:00

เครื่องใคร Jailbreak สามารถปิดช่องโหว่นี้ได้ด้วย SSLPatch ครับ ไม่ต้องอัพ iOS ก็ได้
Source : http://rpetri.ch/repo/

ปล. คนทำ SSLPatch คือ Ryan Petrich ผู้พัฒนา Activator ไว้ใจได้ครับ