Tags:
Node Thumbnail

Chris Jackson พนักงานของไมโครซอฟท์ เขียนลงบล็อกของบริษัท เชิญชวนให้องค์กรทั่วโลกเลิกใช้งาน IE กันอย่างจริงจัง

เขาเล่าจากประสบการณ์ที่พบกับลูกค้าจำนวนมาก และได้คำถามอยู่เสมอว่าจะใช้งานเว็บไซต์เดิมด้วย IE ได้อย่างไร ซึ่งเขามองว่าการเลือกใช้ IE ต่อไปเป็นทางเลือกที่ "ง่าย" แต่ก่อหนี้ทางเทคนิค (technical debt) ตามมามากมาย

เขาย้อนประวัติศาสตร์ของ IE ในอดีต และยอมรับว่าแนวทางของ IE ก็เลือกความง่ายที่ก่อหนี้ตามมาในระยะยาวเสมอ ตัวอย่างคือ IE6 ที่มีโหมดเรนเดอร์แบบ quirks ยอมแสดงผลเว็บที่เขียนมาสำหรับ IE5 ซึ่งในกรณีของ IE8 ก็ทำแบบเดียวกันกับโหมดรองรับการแสดงผลแบบ IE7

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์อุดช่องโหว่ CVE-2018-8653 หลังได้รับรายงานจาก Google’s Threat Analysis Group เป็นการปล่อยแพตช์นอกรอบประจำเดือนตามปกติ เนื่องจากพบการโจมตีแล้ว

ช่องโหว่อาศัยการจัดการหน่วยความจำของเอนจินสคริปต์ ทำให้แฮกเกอร์สามารถรันโค้ดด้วยสิทธิ์ของผู้ใช้ปัจจุบัน

แฮกเกอร์ไม่ทราบกลุ่มใช้ช่องโหว่นี้โจมตีแบบเจาะจงเป้าหมาย โดยตอนนี้ยังไม่มีข้อมูลว่าใครเป็นเหยื่อของการโจมตี

ที่มา - Microsoft, The Register

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนสิงหาคม โดยรอบนี้แม้จะมีช่องโหว่สำคัญๆ จำนวนหนึ่ง แต่มีช่องโหว่สองรายการที่เปิดเผยข้อมูลต่อสาธารณะแล้ว และเริ่มมีการโจมดีไปแล้ว ได้แก่ CVE-2018-8373 ช่องโหว่รันโค้ดบน Internet Explorer และ CVE-2018-8414 ช่องโหว่ Windows Shell

ซอฟต์แวร์ที่ได้มีรายงานเยอะสักหน่อย คือ Chakra Scripting Engine ที่มีช่องโหว่ระดับวิกฤติถึง 6 รายการ ส่วนซอฟต์แวร์ระดับเซิร์ฟเวอร์นั้น มีช่องโหว่ของ Microsoft SQL และ Exchange

รวมรายการ CVE รอบนี้มีทั้งหมด 60 รายการ เป็นระดับวิกฤติ 20 รายการและระดับสำคัญ 38 รายการ

ช่องโหว่ที่ไคลเอนต์นั้นทั้งร้ายแรงและมีการโจมตีแล้ว ดังนั้นรอบนี้ก็อาจจะต้องเร่งแพตช์กันกว่าปกติ

Tags:
Node Thumbnail

หลังจาก Adobe ประกาศยุติการพัฒนา Flash ในปี 2020 วันนี้ผู้พัฒนาเว็บเบราว์เซอร์ทุกรายก็ประกาศแผนการหยุดรองรับ Flash กันหมด

เว็บเบราว์เซอร์ที่ผนวก Flash เข้ามาในตัวมี 2 ตัวคือ Chrome และ Edge โดยข่าวของ Chrome ประกาศไปแล้ว ฝั่งไมโครซอฟท์ก็ประกาศแผนการดังนี้

Tags:
Node Thumbnail

ใบรับรองดิจิตอลที่เซ็นรับรองด้วย SHA-1 ถูกเตือนว่าไม่ปลอดภัยมาตั้งแต่ปี 2014 ตามกำหนดการ เงื่อนไขการซัพพอร์ตใบรับรอง SHA-1 จะลดลงเรื่อยๆ จนกระทั่งโครม และไฟร์ฟอกซ์เริ่มหยุดซัพพอร์ตทุกกรณีต้นปีที่ผ่านมา และฝั่งแอปเปิลก็หยุดซัพพอร์ตในเดือนมีนาคม เดือนนี้แพตช์ของไมโครซอฟท์ก็ปิดการซัพพอร์ตใบรับรอง SHA-1 ใน Internet Explorer 11 และ Edge ทั้งหมดแล้ว นับเป็นผู้ผลิตเบราว์เซอร์หลักรายสุดท้ายที่ปิดการซัพพอร์ต

SHA-1 ถูกทีมวิจัยของกูเกิลเจาะได้สำเร็จโดยสร้างไฟล์สองไฟล์ที่มีค่าแฮชตรงกันเมื่อเดือนกุมภาพันธ์ที่ผ่านมา

Tags:
Node Thumbnail

ทีมงาน WordPress ออกมาประกาศว่าในเวอร์ชัน 4.8 จะหยุดรองรับบนเบราว์เซอร์ Internet Explorer ในเวอร์ชัน 8, 9 และ 10

เรื่องนี้สืบเนื่องมาจาก Microsoft เคยประกาศว่าหยุดพัฒนา IE เวอร์ชัน 8, 9 และ 10 เมื่อเดือนมกราคม ปี 2016 ทำให้ทีมพัฒนาของ WordPress รวบรวมตัวเลขผู้ใช้ IE ทั้ง 3 รุ่นจากทั่วโลกว่ามีจำนวนมากน้อยขนาดไหน

ทีมพบว่าตั้งแต่เดือนมีนาคม 2016 มีผู้ใช้อยู่ 7.44% จนถึงเดือนมีนาคม 2017 ลดลงเหลือ 4.18% ประกอบกับ TinyMCE ก็ออกมาบอกว่าจะไม่รองรับการพัฒนาต่อบน IE เวอร์ชันเก่าแล้ว WordPress จึงตัดสินใจหยุดรองรับบน IE ทั้ง 3 รุ่นนั่นเอง

Tags:
Node Thumbnail

เมื่อวันที่ 23 กุมภาพันธ์ที่ผ่านมา Project Zero เปิดเผยรายละเอียดช่องโหว่ของเว็บเบราว์เซอร์ Internet Explorer และ Microsoft Edge ของไมโครซอฟท์

ตามรายงาน ระบุรายละเอียดว่าเป็น type confusion ใน HandleColumnBreakOnColumnSpanningElement การโจมตีสามารถใช้โค้ด html เพียง 17 บรรทัด ทำให้เว็บเบราว์เซอร์ใช้งานไม่ได้ (crash) เปิดโอกาสให้มีการรันโค้ดที่เป็นอันตราย (Malicious Code) ได้

ในรายงานยังระบุว่าพบปัญหาใน IE รุ่น 64-bit ที่รันบน Windows Server 2012 R2 และเชื่อว่ารุ่น 32-bit และ Microsoft Edge น่าจะได้รับผลกระทบเช่นเดียวกัน (should behave similarly)

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

บทความที่เกียวข้อง: เตรียมลา SHA-1 ตอบคำถามทำไมเข้ารหัสยุ่งยากแล้วต้องอัพเดตใหม่

Tags:
Node Thumbnail

ไมโครซอฟท์ยังคงเดินหน้าปรับปรุง Enterprise Mode เพื่อช่วยลดปัญหาความเข้ากันได้กับเว็บเก่าภายในองค์กร ซึ่งอาจทำงานได้ไม่ดีนักเมื่อเปิดด้วยเบราว์เซอร์ที่ไม่รองรับมาตรฐานเก่าอย่าง Microsoft Edge และการปรับปรุงครั้งนี้จะมาพร้อมกับ Windows 10 Anniversary Update ที่จะออกตัวจริงกลางปีนี้

โดยได้ปรับปรุงฟีเจอร์เดิมอย่างการใช้รายการ Enterprise Mode List ในการเลือกเปิดเว็บแอพแบบเก่าด้วย IE11 และในทางกลับกันคือใช้ Enterprise Mode เลือกเปิดเว็บมาตรฐานใหม่ด้วย Microsoft Edge ด้วยการข้ามหน้าแจ้งเตือนก่อนสลับเบราว์เซอร์เป็นค่าตั้งต้น ทำให้การสลับเบราว์เซอร์เป็นไปอย่างอัตโนมัติกว่าเดิมเพื่อลดความสับสนของผู้ใช้งาน

Tags:
Node Thumbnail

StatCounter บริษัทที่เก็บสถิติด้านการเข้าเว็บของอินเทอร์เน็ต เปิดเผยว่าตอนนี้ยอดการเข้าชมเว็บไซต์บนเดสก์ท็อปผ่าน Firefox นั้นมากกว่าทั้ง Microsoft Edge และ Internet Explorer รวมกันแล้ว ส่วน Chrome ยังคงเป็นอันดับ 1 อยู่

จากข้อมูลของ StatCounter ระบุว่า Chrome นั้นมีผู้ใช้นับพันล้านคนทุกแพลตฟอร์ม คิดเป็นยอด 60.5% ของ StatCounter แต่สิ่งที่น่าสนใจในสถิติรอบนี้คือ Firefox อยู่ที่ 15.6% แซง Microsoft Edge และ Internet Explorer ที่คิดรวมกันเป็น 15.5% ไปอย่างฉิวเฉียด และตามมาห่างๆ ด้วย Safari และ Opera

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ความปลอดภัยตามรอบเดือนมกราคม เป็นแพตช์ระดับวิกฤติ 6 รายการ กระทบแทบทุกส่วน เช่น Internet Explorer (MS16-001), Edge (MS16-002), Windows (MS16-003, MS16-005), Office (MS16-004), และ Silverlight (MS16-006)

ความสำคัญของการออกแพตช์รอบนี้นอกจากตัวบั๊กต่างๆ เองแล้ว ยังเป็นรอบการอัพเดตรอบสุดท้ายสำหรับ Internet Explorer รุ่นเก่าๆ ทั้งหมดตามที่ไมโครซอฟท์ประกาศไว้ล่วงหน้า

Tags:
Node Thumbnail

ไมโครซอฟท์ย้ำเส้นตายสุดท้ายหยุดซัพพอร์ต Internet Explorer ทีเดียวสามรุ่น 8, 9, 10 ในวันที่ 12 มกราคมนี้ โดยมีอัพเดตแจ้งเตือนลูกค้าว่ากำลังใช้งานรุ่นที่หมดซัพพอร์ตมาตั้งแต่เดือนที่แล้ว

สำหรับผู้ใช้ทั่วไป การใช้งานซอฟต์แวร์ที่ไม่มีซัพพอร์ตแล้วแปลว่าไมโครซอฟท์จะไม่ออกแพตช์ใหม่ให้อีกแม้จะพบช่องโหว่ความปลอดภัยเพิ่มเติมในอนาคต ผลิตภัณฑ์หลายตัวจะไม่สนใจปัญหาที่เกิดกับเบราว์เซอร์รุ่นเก่า เช่น Office 365 อาจจะมีปัญหากับเบราว์เซอร์เหล่านี้ และที่สำคัญคือหน่วยงานที่ถูกควบคุมความปลอดภัย เช่นหน่วยงานเก็บข้อมูลสุขภาพ อาจจะมีเงื่อนไขต้องใช้เฉพาะซอฟต์แวร์ที่มีซัพพอร์ตเท่านั้น

Tags:
Node Thumbnail

ไมโครซอฟท์มีฟีเจอร์ SmartScreen ช่วยให้ผู้ใช้ IE, Edge และ Windows ปลอดภัยจากมัลแวร์และเว็บไซต์หลอกลวง (phishing) มาได้สักระยะแล้ว (ฟีเจอร์นี้เหมือนกับ Google Safe Browsing ของฝั่งกูเกิล)

ล่าสุดไมโครซอฟท์ขยายความสามารถของ SmartScreen ให้เตือนภัยเว็บไซต์ที่พยายามเจาะเครื่องผู้ใช้งานผ่านช่องโหว่ 0-days ของซอฟต์แวร์บนเครื่อง (เช่น Flash/Java) ด้วย โดยไมโครซอฟท์ใช้วิธีเทียบ URL ของเว็บไซต์ที่เราเข้าชมกับฐานข้อมูลความปลอดภัยของไมโครซอฟท์เอง ถ้าหากพบว่าเป็นเว็บอันตราย หน้าเว็บจะไม่ถูกโหลดและเรนเดอร์ (เพราะเรนเดอร์ปุ๊บ โดนเจาะทันที) แต่จะแสดงหน้าจอเตือนภัยสีแดงแทน

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ประจำเดือน (Patch Tuesday) รอบสุดท้ายของปี 2015 จำนวน 11 แพตช์ อุดช่องโหว่มากถึง 71 จุด ในจำนวนนี้มีแพตช์ระดับ critical จำนวน 8 แพตช์ และแพตช์ระดับ important อีก 3 แพตช์ (หนึ่งแพตช์แก้หลายช่องโหว่)

แพตช์ตัวสำคัญที่ควรอัพเดตทันทีคือ MS15-131 ที่ใช้แก้ไขช่องโหว่ที่ถูกใช้โจมตีจริงๆ แล้ว 2 จุด ซึ่งจุดแรกเป็นช่องโหว่ของ Microsoft Office และจุดที่สองเกี่ยวกับเคอร์เนลของ Windows (เนื่องจากรายละเอียดของแพตช์แต่ละตัวมีค่อนข้างมาก อ่านต่อกันได้ตามต้นทางนะครับ)

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศเพิ่มความสามารถให้กับ Enterprise Mode บน Internet Explorer 11 เพื่อช่วยลดปัญหาความเข้ากันได้กับเว็บเก่าภายในองค์กรที่อาจยังไม่พร้อมอัพเกรดไปใช้ IE11 ในขณะที่กำหนดการเลิกสนับสนุน IE รุ่นเก่าในวันที่ 12 มกราคม 2016 กำลังใกล้เข้ามาทุกที

Tags:
Node Thumbnail

ได้เวลา Patch Tuesday ของไมโครซอฟท์ประจำเดือนตุลาคม 2015 มีแพตช์ใหม่หลายตัว ตัวที่น่าสนใจคือช่องโหว่หมายเลข MS15-106 ระดับรุนแรง (critical) กระทบ IE ทุกรุ่นย้อนไปตั้งแต่ Windows Vista (XP ก็น่าจะโดนด้วยแต่หมดอายุขัยแล้ว)

อย่างไรก็ตาม ช่องโหว่นี้ไม่มีผลกับ Microsoft Edge ซึ่งเป็นเบราว์เซอร์คนละตัวกัน

Tags:
Node Thumbnail

ระบบปฏิบัติการ Windows 10 นั้นมาพร้อมกับเบราว์เซอร์ตัวใหม่อย่าง Microsoft Edge ซึ่งไมโครซอฟท์ได้พัฒนาขึ้นมาเพื่อรองรับมาตรฐานเว็บยุคใหม่โดยเลือกที่จะถอดฟีเจอร์เก่าๆ ที่สืบทอดกันใน Internet Explorer มานานออก แต่ในขณะเดียวกันเพื่อความเข้ากันได้จึงยังเก็บ IE 11 ไว้ให้องค์กรที่ยังจำเป็นต้องรันเว็บแอพแบบเก่าใช้งานอยู่

Node Thumbnail

การเข้ารหัสแบบ RC4 มีความปลอดภัยต่ำ เพราะกระบวนการสุ่มเลขไม่ดีเท่าที่ควร ซึ่งในแวดวงความปลอดภัยเองก็เตรียมถอด RC4 ออกจากมาตรฐาน IETF มาได้สักพักแล้ว

วันนี้ผู้พัฒนาเบราว์เซอร์รายใหญ่ 3 ค่ายคือ Google, Microsoft, Mozilla ออกมาประกาศแผนว่าจะถอดการใช้งาน RC4 ออกจากเบราว์เซอร์ของตัวเอง (Chrome, IE, Edge, Firefox) พร้อมกันในช่วงต้นปี 2016

การถอด RC4 ไม่ส่งผลกระทบต่อผู้ใช้ทั่วไปมากนัก เพราะปัจจุบันเราใช้การเชื่อมต่อปลอดภัย HTTPS ผ่านโพรโทคอล TLS 1.2 ในขณะที่ RC4 จะถูกใช้ต่อเมื่อเซิร์ฟเวอร์ไม่รองรับ TLS 1.2 หรือ 1.1 และถอยกลับ (fallback) มาเชื่อมต่อผ่าน TLS 1.0 แทน

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ฉุกเฉิน (emergency patch) นอกรอบการออกแพตช์ปกติ แก้ช่องโหว่ที่พบใน Internet Explorer ทุกรุ่น รวมถึง IE11 บน Windows 10 ด้วย

ช่องโหว่ตัวนี้ครอบคลุม IE7 บน Windows Vista เป็นต้นมา (XP ก็น่าจะโดนด้วยแต่หมดอายุซัพพอร์ตแล้วนะครับ) และมีความร้ายแรงระดับ critical รูปแบบของช่องโหว่คือเปิดโอกาสให้รันโค้ดจากระยะไกล (remote code execution) ได้

ผู้ใช้ Windows ทุกคนก็อัพเดตแพตช์หมายเลข 3088903 กันด่วนครับ

ที่มา - Microsoft, Threatpost

Tags:
Node Thumbnail

จากวันที่ 16 สิงหาคม ปี ค.ศ. 1995 นับเป็นเวลาล่วงเลยมา 20 ปีแล้วที่ Internet Explorer 1.0 เว็บเบราว์เซอร์ตัวแรกจากไมโครซอฟท์ออกสู่ตลาด เนื่องในโอกาสนี้ทีม Microsoft Edge ก็ได้โพสต์ทวีตฉลองหลักไมล์ดังกล่าวลงบนทวิตเตอร์และประกาศขอรับไม้ต่อจากเบราว์เซอร์รุ่นพี่อย่าง IE เอง

โพสต์ดังกล่าวเป็นเป็นวิดีโอที่ฉายภาพของเบราว์เซอร์ Microsoft Edge กำลังเปิดเว็บฉลองวันเกิดให้กับ IE ด้วยไฟเย็นรูปตัว e อันเป็นสัญลักษณ์ที่เราๆ คุ้นเคยกันดี พร้อมข้อความขอบคุณและขอสานต่องานจาก IE ว่า

Happy 20th Birthday, Internet Explorer! Thanks for all the great work you've done, but I've got it from here ;)

Tags:
Node Thumbnail

ZDI รายงานช่องโหว่ของ Internet Explorer สี่รายการ ทั้งหมดค้นพบตั้งแต่ปลายปีที่แล้วถึงเดือนมกราคมปีนี้

ช่องโหว่ทั้งสี่มีหมายเลขประจำตัว ZDI-15-359, ZDI-15-360, ZDI-15-361,และ ZDI-15-362 มีคะแนนความร้ายแรงตามมาตรฐาน CVSS 7.5, 6.8, 6.8, และ 6.8 ตามลำดับ

Tags:
Node Thumbnail

เว็บไซต์ AnandTech นำเบราว์เซอร์ Microsoft Edge มารันเบนช์มาร์คเทียบกับเบราว์เซอร์ตัวอื่นๆ ทั้ง Chrome, Firefox, IE11 รวมถึง Project Spartan รุ่นทดสอบ

ผลออกมาว่า Edge ทิ้งห่าง IE11 ในทุกการทดสอบ, พัฒนาขึ้นจาก Spartan หลายจุด และสามารถเอาชนะ Chrome กับ Firefox ได้ในการทดสอบบางตัว (เช่น Sunspider และ Octane)

ส่วนที่ Edge ยังตามหลัง Chrome/Firefox อยู่พอสมควรคือการรองรับมาตรฐานเว็บ (HTML5Test) แต่ก็ถือว่าพัฒนาขึ้นมากจาก IE11 และ Spartan

อีกประเด็นที่น่าสนใจคือตอนนี้ไมโครซอฟท์นับเวอร์ชันของ Edge เป็น 20.10240.16384.0 แล้ว คาดว่าใช้วิธีการนับรุ่นแบบเปลี่ยนตลอดเวลาเหมือน Chrome/Firefox ครับ

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ความปลอดภัยตามรอบปกติเมื่อวานนี้ มีช่องโหว่ระดับวิกฤติสี่่รายการ เป็นช่องโหว่ใน Internet Explorer, VBScript, RDP, และ Hyper V โดยช่องโหว่ใน IE นั้นกระทบตั้งแต่ IE6 ไปจนถึง IE11 และเป็นช่องโหว่ที่หลุดออกมาจากอีเมลของ Hacking Team

ผู้วิเคราะห์อีเมลเหล่านี้คือ Vectra Networks ที่ค้นอีเมลแล้วพบว่ามีนักวิจัยภายนอก Hacking Team เสนอขายช่องโหว่โดยส่งตัวอย่างการโจมตีมาให้ ทางทีมงาน Hacking Team ทดสอบแล้วพบว่าไฟล์ที่ส่งมาสามารถทำให้ IE แครชได้จริง แต่ช่องโหว่ดูซับซ้อนทำให้ Hacking Team ตัดสินใจไม่ซื้อช่องโหว่นี้

อีเมลเสนอขายช่องโหว่นี้เพิ่งถูกส่งเมื่อเดือนที่แล้วแสดงว่าช่องโหว่นี้เพิ่งถูกพบไม่นานนัก

Tags:
Node Thumbnail

Nolan Lawson นักพัฒนาเว็บและแอพรายหนึ่งเขียนบทความนำเสนอปัญหาของวงการเว็บ ว่าทุกวันนี้เบราว์เซอร์พัฒนาเรื่องเทคโนโลยีเว็บไปมาก ผู้สร้างเบราว์เซอร์หลายค่ายทั้ง Google, Mozilla, Opera, Microsoft ต่างเข้ามามีส่วนร่วมในการร่างมาตรฐานเว็บกันเยอะ แต่ Safari ของแอปเปิลกลับแทบจะหยุดนิ่งในรอบหลายปีที่ผ่านมา

Tags:
Node Thumbnail

IE11 บน Windows 10 เริ่มทดสอบรองรับมาตรฐานการเข้ารหัสเว็บตลอดเวลา HSTS มาตั้งแต่เดือนกุมภาพันธ์ ตอนนี้อัพเดตล่าสุด KB3058515 ก็อัพเดตไปยัง Windows 7 และ Windows 8.1 แล้วทำให้ IE11 บนวินโดวส์ทั้งสองรุ่นรองรับ HSTS เต็มรูปแบบ

เว็บจำนวนหนึ่งจะบังคับเอาไว้ในตัวเบราว์เซอร์ว่าต้องเข้าเว็บด้วย HTTPS เท่านั้นโดยไมโครซอฟท์ใช้รายชื่อมาจากกูเกิล และรองรับการประกาศเว็บด้วยค่าใน header ของ HTTP ด้วยฟิลด์ Strict-Transport-Security

ใครได้อัพเดตแล้วก็จะเริ่มเข้าเว็บยอดนิยมโดยไม่มี HTTP อีกต่อไป

Pages