กระทรวงความมั่นคงภายในของสหรัฐ (DHS) ออกประกาศเตือนผู้ใช้ Windows ทุกรุ่น ให้ติดตั้ง critical security patch ชื่อ MS06-040 โดยด่วน

"Users are encouraged to avoid delay in applying this security patch," the Department of Homeland Security said in the statement. The patch fixes a serious flaw that, if exploited, could enable an attacker to remotely take complete control of an affected system, the agency said.

บริษัทที่ปรึกษาด้านความปลอดภัย SPI Dynamics เริ่มออกมาเตือนให้ผู้ใช้ระวังอันตรายที่อาจแฝงมากับเทคโนโลยีใหม่ๆ อย่าง Feed

ผู้ประสงค์ร้ายอาจใช้วิธีสร้างบล็อกขึ้นมาให้คนรับ Feed จากนั้นแอบยัดจาวาสคริปต์ที่ทำความเสียหายมาด้วย ถ้าตัว reader ไม่ระวังเรื่องนี้ ก็ย่อมมีสิทธิ์โดนได้ SPI ยังเตือนว่ามี Feed reader หลายตัวบนวินโดวส์ที่เรียกใช้ IE เป็นตัวแสดงผลเนื้อหา แต่ดันไม่ได้ดึงเอาค่าด้านความปลอดภัยของ IE ตามมาใช้ด้วย

ใน DVD นั้นใช้การเข้ารหัสเนื้อหาที่เรียกว่า CSS (คนละอันกับที่ใช้ทำเว็บ ย่อมาจาก Content-scrambling system) ซึ่งมันโดนแกะได้ง่ายมาก ถ้าใครยังจำข่าว DVD Jon ได้คงจะนึกออกกัน ในแผ่นยุคถัดมาจึงใช้การเข้ารหัสแบบใหม่ที่เรียกว่า AACS ซึ่งทางผู้ผลิตภูมิใจกับมันมาก (แผ่นทั้งสองแบบใช้ AACS เหมือนกัน)

Patch นี้ชื่อ 2006-004 ติดตั้งได้ผ่าน System Preferences (ภายใต้ Apple menu) แล้วเลือก Software Update แก้ปัญหา 26 จุดใน AFP Server Bluetooth Bom DHCP dyld fetchmail gnuzip ImageIO LaunchServices OpenSSH telnet และ WebKit ติดตั้งเสร็จแล้ว จะต้อง Restart

ที่มา: Apple

ไม่ว่าเทคโนโลยีจะเปลี่ยนไปแค่ไหน ก็ยังมีคนอาศัยช่องโหว่จากรูรั่วของเทคโนโลยีใหม่อยู่ตลอด หลังจากมีอีเมลหลอกลวง, Paypal ปลอม ก็ถึงคิวของทูลบาร์และ extension ปลอมบ้าง

รายงานล่าสุดจาก McAfee คือมีโทรจันตัวใหม่ชื่อ FormSpy จะแนบไฟล์มากับอีเมลสแปม เมื่อผู้ใช้เปิดไฟล์แนบก็จะพบการติดตั้ง extension ปลอมๆ ของ Firefox (ซึ่งมี extension นั้นจริงๆ) โดย extension ปลอมจะแอบหาข้อมูลในเครื่องผู้ใช้ และส่งกลับไปยังสแปมเมอร์ กรณีคล้ายๆ กันแบบนี้เกิดกับ Google Toolbar ด้วย

แม้ลินุกซ์จะมีชื่อเสียงด้านความปลอดภัยที่ค่อนข้างดี แต่ความผิดพลาดก็ยังมีอยู่เสมอๆ โดยในวันนี้ Debian ซึ่งเป็นดิสโทรฐานของดิสโทรยอดนิยมอย่าง Ubuntu ก็โดนแฮกเซิร์ฟเวอร์ตัวหนึ่งจนต้องปลดการทำงานลง พร้อมกับเพิ่มมาตรการความปลอดภัยให้กับเซิร์ฟเวอร์ทุกตัวของ Debian เป็นการชั่วคราว ส่งผลให้บริการหลายๆ อย่างใช้การไม่ได้

James Troup หนึ่งในนักพัฒนา Debian เขียนอีเมลประกาศถึงการสร้างความเสียหายครั้งนี้ว่า อยู่ระหว่างการตรวจสอบว่าและจะมีการประกาศถึงรายละเอียดให้เร็วที่สุด

ก่อนหน้านี้ในปี 2003 เคยเกิดเหตุการณ์แบบเดียวกันนี้ โดย Troup ก็เป็นหนึ่งในผู้ที่ร่วมตรวจสอบสาเหตุเช่นกัน

ตั้งแต่ปีที่แล้ว เวลาเราจะโหลดโปรแกรมใหม่ๆ จากไมโครซอฟท์ เราคงได้เห็นตรา WGA หรืือ Windows Genuine Advantage กันมาบ้าง โดยหลักๆ มันคือโปรแกรมที่ไมโครซอฟท์ขอลงที่เครื่องของเรา เพื่อตรวจสอบว่าวินโดวส์ที่เราใช้นั้นเป็นของแท้จากทางไมโครซอฟท์

ตามกำหนดการเดิม ไมโครซอฟท์จะหยุดสนับสนุนทางเทคนิคแก่ Win98, Win98 SE และ Win ME ในวันที่ 11 กรกฎาคม 2006 นี้ ซึ่งในกรณีนี้รวมถึงการออกแพตช์ด้วย แต่เอาเข้าจริง แค่เดือนมิถุนายน รูรั่วบางตัวที่ค้นพบอย่างเช่น MS06-015 ก็มีแต่แพตช์สำหรับวินโดวส์เวอร์ชันใหม่ๆ เท่านั้น

ไมโครซอฟต์ให้เหตุผลว่าต้องการลดภาระในการออกแพตช์ข้ามแพลตฟอร์มลง เพราะความแตกต่างระหว่างรุ่นวินโดวส์นั้นทำให้การแพตช์บนวินโดวส์เวอร์ชันใหม่ๆ ยากขึ้นอีกมาก

ที่มา - Microsoft Technet Blog

ไหนๆ แล้วพ่วงอีกข่าว

Data on 2.2M Active Troops Stolen From Veterans Affairs

ข้อมูลส่วนตัวของทหารประจำการของสหรัฐถูกขโมยจากกิจการทหารผ่านศึก (Veterans Affairs) ข้อมูลที่ถูกขโมยเหล่านี้ทำให้ทหารประจำการสองล้านสองแสนคนเสี่ยงต่อการถูกการนำเอาข้อมูลส่วนตัวอันประกอบไปด้วย ชื่อ วันเกิด รหัสประกันสังคม (social security number) ไปใช้ในในทางที่มิชอบ

ที่มา -- the Guardian Unlimited

FreeBSD Security Team ได้ขอให้ผู้ใช้ FreeBSD โดยเฉพาะคนที่ทำงานเป็นแอดมิน ช่วยตอบแบบสำรวจสั้นๆ 12 ข้อ เกี่ยวกับความปลอดภัยใน FreeBSD เพื่อที่จะได้นำความคิดเห็นไปปรับปรุงแก้ไข คิดว่าแถวนี้มีแอดมินและผู้ใช้ FreeBSD อยู่บ้าง เลยเอามาประชาสัมพันธ์ต่อให้ อยากได้ของดีก็ช่วยกันคนละไม้ละมือครับ

ที่มา - FreeBSD Security Survey

มีรายงานว่าพบช่องโหว่ที่มีระดับความรุนแรงสูงสุดซึ่งสามารถจะใช้เครื่องแมคของผู้ใช้ Mac OS X 10.4.6 ทำการโจมตีแบบ DoS ได้ แต่ยังไม่มีการยืนยันว่าจะมีผลกระทบกับ OS X เวอร์ชั่นอื่นๆ หรือไม่

วิธีป้องกันก็คือจงอย่าเยี่ยมเว็บอโคจรและเปิดไฟล์ ZIP แปลกๆ

ที่มา - OSNews, Secunia

ไมโครซอฟท์ออกแพตช์ใหม่ตัวใหญ่ที่ซ่อมรูรั่วใน IE6 10 จุด ที่สำคัญคือไมโครซอฟท์ได้เตือนให้ผู้ใช้ทำการอัพเกรดจาก Windows 98/ME ซึ่งอายุการสนับสนุนจะหมดลงในวันที่ 11 มิถุนายนนี้ (แปลง่ายๆ ว่า ถึงมันจะมีรูรั่วทางความปลอดภัย มันจะไม่มีแพตช์มาซ่อมอีกแล้ว และเตือนว่าอย่าล้อเล่นกับความปลอดภัยครับ)

ที่มา - eWeek, Betanews

หลังจากเก้าเดือนก่อน ไซแมนเทคออกมาแจ้งผลสำรวจว่า IE นั้นมีความปลอดกว่าไฟร์ฟอกซ์ โดยให้เหตุผลว่าบั๊กด้านความปลอดภัยของ IE นั้นนับแล้วน้อยกว่า

ตอนนี้อยู่ดีๆ ไซแมนเทคก็ออกมาประกาศผลสำรวจใหม่ ว่าไฟร์ฟอกซ์นั้นปลอดภัยกว่าแล้ว โดยระบุว่าที่ต้องกลับการสำรวจนี้ ก็เพราะการสำรวจครั้งที่แล้วไม่ยุติธรรม เพราะนับเฉพาะช่องโหว่บนที่ผู้ผลิตยอมรับ ซึ่งในกรณีของไฟร์ฟอกซ์นั้น มีการพัฒนาที่โปร่งใสกว่ามาก ทำให้บั๊กด้านความปลอดภัยทั้งหมดถูกตรวจสอบได้

อันนี้ก็ข่าวต่อเนื่องอีกอันครับ ผมรอมันจบแล้วเขียนทีเดียว

เริ่มจาก ZDNet ได้ลงข่าวการทดสอบความปลอดภัยของ Mac OS X โดยมีชาวสวีเดนคนนึงตั้งเครื่องไว้ให้ลองเจาะเข้าไปดู ปรากฎว่า root ของเครื่องนั้นถูกฉกไปในเวลา 30 นาทีเท่านั้น เรื่องนี้เลยทำให้ความเชื่อมั่นในความปลอดภัยของ Mac OS X สั่นคลอน (ข่าว OSNews)

เนื่องจากใน Vista นั้นจะเปิดออพชันการเข้ารหัสไฟล์ในเครื่องมาให้อัตโนมัติ (ชื่อเทคโนโลยีคือ BitLocker Drive Encryption) ทำให้เข้าถึงข้อมูลได้ยากขึ้นถ้าเครื่องโดนแฮปไป ซึ่งก็เป็นผลดีสำหรับลูกค้า ในอีกกรณีหนึ่งคือป้องกันการรันโปรแกรมหรือฟังเพลงที่ไม่ได้รับอนุญาต ตามแนวคิด DRM ซึ่งใช้ร่วมกับชิป Trusted Platform Module ที่อยู่ในฮาร์ดแวร์มาซักพักแล้ว

การใช้ไอพอดอาจจะไม่ใช่เรื่องส่วนตัวในที่ทำงานอีกต่อไป เมื่อมือดีชื่อ Abe Usher ผู้เชี่ยวชาญด้านความปลอดภัย ได้สร้างโปรแกรมชื่อว่า Slurp Audit [เว็บช้ามาก] ที่สามารถนำไปรันบนเครื่องเล่นเพลงอย่างไอพอดได้ โดยโปรแกรมจะรันอัตโนมัติเพียงการเสียบเครื่องเข้าพอร์ตยูเอสบี แล้วรันโปรแกรมนี้ มันจะแสกนโฟลเดอร์ Document an Settings แล้วดูดเอาไฟล์เอกสารต่างๆ เข้าสู่ไอพอดโดยอัตโนมัติ ซึ่งกับไอพอดขนาด 60 กิกะไบต์นั้น อาจจะดูดเอกสารสำคัญไปหมดโดยไม่มีใครรู้ตัวแม้แต่น้่อย

และแล้ว Trojan ที่อาจจะเป็นตัวแรกที่มีเป้าหมายไปยังกลุ่มผู้ใช้ Mac OS X ก็เผยโฉมออกมาแล้ว (พูดเหมือนรอมาเสียนาน อิอิ) โดยมีชื่อว่า Leap-A

เจ้า Leap-A ซ่อนตัวครั้งแรกใน link ในเว็บบอร์ดแห่งหนึ่ง โดยหลอกว่าเป็น Screenshort สำหรับ Leopard (Mac OS X 10.5) แล้วก็กระจายผ่านทาง iChat ในรูปของ compressed file ที่ชื่อ latestpic.tgz ซึ่งผู้รับจะต้อง download ไฟล์ดังกล่าว ถ้าไม่ดาวน์โหลด ก็ไม่ติด พวกบรรดาสาวกเป็ดเขียว Adium อย่างผมก็รอดไป

ถึงแม้จะมีอัตราการกระจายและระดับความรุนแรงต่ำ (เสียจนไม่น่าจะเป็นข่าว) แต่ที่เป็นข่าวเนี่ยก็เพราะดันมาเป็นกับ OS X มากกว่า

ไมโครซอฟท์ได้บอกว่าจะไม่รวมผลิตภัณฑ์แอนตี้ไวรัสเข้ามาใน Vista (มีแต่ Windows Defender หรือ AntiSpyware เดิม)​เนื่องจากมีแผนจะทำตลาดนี้แยกต่างหาก

และตอนนี้ก็เปิดเผยรายละเอียดของ Microsoft OneCare Live แล้ว โดยชุดโปรแกรมนี้จะรวมเอาแอนตี้ไวรัส ไฟร์วอลล แบ็คอัพเข้าด้วยกัน โดยวางขายทั้งแบบเป็นกล่องและออนไลน์ ราคาสมาชิกรายปีต่อพีซีสามเครื่องอยู่ที่ 49.95 เหรียญ

โปรโตคอล SSH หรือ Secure Shell ที่ใช้กันอย่างแพร่หลายมานาน เพิ่งจะเข้าสู่กระบวนการออกมาตรฐานของ IETF (Internet Engineering Task Force) โดยตอนนี้อยู่ในขั้นตอนเสนอมาตรฐาน และต้องผ่านกระบวนการอีกหลายชั้นกว่าจะออกเป็นมาตรฐานจริง

ปัจจุบันมีซอฟต์แวร์ที่อิมพลีเมนต์ตามสเปก SSH อยู่ 2 ค่ายใหญ่ๆ คือ SSH Communications Security (SSH.com) และ OpenSSH ที่ใช้กันในระบบปฏิบัติการโอเพนซอร์สแทบทุกตัว รวมถึง Mac OS X ด้วย ทั้งสองค่ายนี้ทำงานเข้ากันได้ไม่ 100% การออกมาตรฐานครั้งนี้ทางตัวแทนฝ่าย OpenSSH บอกว่ายินดีจะปรับเปลี่ยนให้เข้ากับมาตรฐาน

หลังจากที่คนใช้ Samba3 หลายคนต้องรอคอยให้ Samba ซึ่งเป็นโปรแกรมหลักในการเชื่อมต่อโลกของวินโดว์เข้ากับ *nix ทั้งหลายวันนี้ก็ได้ออก Samba4 รุ่นทดสอบ โดยฟีเจอร์หลักที่เป็นที่พูดถึงกันมากคือการรองรับ LDAP ในตัวพร้อมๆ กับการยืนยันบุคคลแบบ Kerberos ซึ่งทำให้เราใช้เครื่องวินโดวส์ทั่วไปมา Join Domain เข้ากับ Samba ได้เลย

เรื่องนี้อาจจะหมายถึงการขยายตัวของลินุกซ์ในกรณีที่องค์กรขนาดเล็ก ไม่ต้องการเสียเงินซื้อวินโดวส์ 2003 ซึ่งราคาค่อนข้างแพง ก็สามารถใช้ Linux + Samba4 แทนได้ระดับหนึ่ง

ไมโครซอฟท์ประกาศนโยบายใหม่ล่าสุดสำหรับวินโดว์วิสต้าที่คาดกว่าจะออกปลายปีนี้ว่า ไดรเวอร์ทั้งหมดสำหรับวิสต้าเวอร์ชัน 64 บิตนั้น ต้องได้รับใบรับรองดิจิตอลจากทางไมโครซอฟท์ก่อน จึงจะสามารถลงและทำงานในวินโดว์วิสต้าได้ โดยไมโครซอฟท์ไม่เก็บค่าธรรมเนียม แต่ผู้ผลิตไดรเวอร์ยังต้องเสีย 500 ดอลล่าร์ต่อปีสำหรับใบรับรอง Class 3 Commercial Software Publisher Certificate ให้กับ Verisign

โดยทั่วไปแล้วเรื่องนี้เป็นเรื่องดีสำหรับผู้ใช้ทั่วไป เพราะเป็นการบังคับให้ผู้ผลิตฮาร์ดแวร์ทุกรายต้องได้รับการตรวจสอบคุณภาพไดรเวอร์ก่อน ราคา 500 ดอลลาร์ก็นับเป็นเรื่องเล็กสำหรับการผลิตฮาร์ดแวร์ออกมาสักชิ้นนึง

หลังจากกระทรวงยุติธรรมของสหรัฐฯ ออกคำสั่งให้ผู้ให้บริการค้นหาเว็บรายหลักๆ เช่น กูเกิล ยาฮู และไมโครซอฟท์ ต้องส่งรายการคำที่มีการค้นหาทั้งหมดในช่วงเวลาที่กำหนดให้รัฐบาล ในเวลานี้ทั้งยาฮูและไมโครซอฟท์ ต่างก็ตกลงส่งข้อมูลดังกล่าวให้กับรัฐบาลสหรัฐแล้ว โดยระบุว่าข้อมูลดังกล่าวจะไม่ละเมิดสิทธิส่วนบุคคลของผู้ใช้เว็บทั้งสองแต่อย่างใด เนื่องจากจะไม่มีข้อมูลที่ระบุตัวผู้ใช้ไว้ในข้อมูลดังกล่าวแต่อย่างใด

หลังจากยังอยู่ในเวอร์ชัน CTP อยู่มาพักนึง ตอนนี้วิสต้าซึ่งเป็นระบบปฏิบัติการรุ่นต่อไปของไมโครซอฟท์ ก็มีแพตช์ออกมาให้โหลดกันแล้ว โดยแพตช์ที่ว่านี้เป็นตัวแก้บั๊กในการแสดงผลไฟล์ WMF ซึ่งเป็นบั๊กตัวเดียวกับในวินโดวส์เอ็กซ์พี เพราะใช้โค้ดส่วนที่พอร์ตต่อๆ กันมา

ไม่แน่ใจว่าคนอ่าน Blognone มีใครใช้อยู่รึเปล่า ถ้ามีแคปเจอร์หน้าจอตอนมันอัพเดตมากฝากกันบ้าง..

ที่มา - eWeek

เมื่อต้นปีที่ผ่านมามีการรายงานถึงบั๊กที่ทำให้แฮกเกอร์สามารถรันโปรแกรมผ่านทางไฟล์ WMF ซึ่งสามารถเปิดได้จาก IE ทำให้เป็นกังวลกันเป็นวงกว้างว่าจะเป็นอันตรายแบบเดียวกันสมัยบั๊กในการแสดงภาพ JPEG

เพียงสามวันก็มีแพตช์ออกมาจากเว็บไมโครซอฟท์เป็นการแก้บั๊กดังกล่าว และในไม่กี่ชั่วโมงต่อมาไมโครซอฟท์ก็รีบเอาไฟล์นั้นออกจากเว็บอย่างรวดเร็ว แต่ยังไม่เร็วพอ โดยมีคนโหลดไฟล์นั้นมาให้เราโหลดไปลองกันได้ที่ HexBlog แต่อย่างไรก็ตามไมโครซอฟท์เตือนว่าแพตซ์ตัีวนี้ยังไม่ได้รับการตรวจสอบอย่างถูกต้อง และแพตซ์ตัวจริงจะออกในวันที่ 10 ที่จะถึงนี้

ช่วงสิ้นปีเรามีการจัดอันดับหลายต่อหลายอย่างกันไปแล้ว หลังจากผ่านพ้นปีไป ลองมาดูสรุปบั๊กที่เกิดขึ้นในรอบปีที่ผ่านมากันดีกว่า