Avast บริษัทซอฟต์แวร์รักษาความปลอดภัยไซเบอร์แจ้งผู้ใช้ว่าบริษัทถูกแฮกตั้งแต่กลางเดือนพฤษภาคมที่ผ่านมา จนกระทั่งรู้ตัวเมื่อวันที่ 23 กันยายน เมื่อพบความผิดปกติของเน็ตเวิร์คในบริษัท จึงจ้างทีมงานภายนอกเข้ามาหาหลักฐานเพิ่มเติม

จากนั้นทีมงานพบว่ามีความพยายามสำเนาข้อมูลระบบ directory service เข้าไปยังไอพีต้นทางที่เป็นไอพีกลุ่ม VPN เมื่อตรวจสอบลงไปจึงพบว่าเป็นโปรไฟล์ VPN ชั่วคราวที่ลืมปิดทิ้ง และยังไม่ได้บังคับล็อกอินสองขั้นตอน

เซิร์ฟเวอร์ของ NordVPN ผู้ให้บริการ VPN รายใหญ่ถูกแฮกตั้งแต่เดือนมีนาคม 2018 และบริษัทรู้ถึงการแฮกครั้งนี้ "ไม่กี่เดือนก่อนหน้านี้" ก่อนจะประกาศสาธารณะให้ผู้ใช้รับรู้โดยทั่วกัน

ทางบริษัทระบุว่าช่องโหว่เกิดจากระบบจัดการเซิร์ฟเวอร์ระยะไกล ที่ตัวศูนย์ข้อมูลใช้จัดการเซิร์ฟเวอร์ โดยทางศูนย์ข้อมูลปล่อยให้มีช่องโหว่ในระบบจัดการและแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์ของ NordVPN ได้สำเร็จ ตัวเซิร์ฟเวอร์ตั้งแต่สิ้นเดือนมกราคม 2018 จากนั้นทางศูนย์ข้อมูลพบช่องโหว่และลบบัญชีล็อกอินทิ้งในวันที่ 20 มีนาคม 2018 โดยไม่ได้แจ้ง NordVPN

เราเคยรายงานประเด็น Pixel 4 ปลดล็อคใบหน้าแม้เจ้าของยังหลับตาไปเมื่อก่อนหน้า ตอนนี้ Google ชี้แจงกับ The Verge ว่ากำลังแก้ปัญหานี้อยู่และจะเพิ่มตัวเลือกว่าต้องลืมตาอยู่เพื่อปลดล็อคมาให้ในภายหลัง แต่คาดว่าจะใช้เวลาพอควรและจะปล่อยอัพเดตให้กับเจ้าของ Pixel 4 ในอีกไม่กี่เดือนต่อจากนี้

Google Pixel 4 ที่จะวางขายในตอนแรกจะยังมีปัญหานี้อยู่ แต่ก็แก้ไขได้ด้วยการกดปุ่ม power ค้างไว้แล้วเลือกใช้ฟีเจอร์ Lockdown (ต้องไปเปิดก่อนใน Setting) ทำให้การปลดล็อคครั้งถัดไปจะไม่สามารถใช้ Biometric หรือ Smart Lock ได้ ต้องใช้ PIN, รหัสผ่านหรือแพทเทิร์นเท่านั้น

มีผู้ใช้รถยนต์ Mercedes-Benz รายงานว่า แอป Mercedes-Benz สำหรับใช้งานเพื่อระบุตำแหน่งรถยนต์, ปลดล็อก และสตาร์ทรถยนต์กำลังมีปัญหาเรื่องข้อมูลส่วนตัวรั่วไหล เพราะเขาสามารถเห็นข้อมูลบัญชีของคนอื่น และรายงานข้อมูลรถยนต์ของคนอื่นด้วย

TechCrunch ได้สอบถามผู้ใช้รถยนต์และแอปของ Mercedes-Benz สองคน และได้รับทราบว่าตัวแอปมีการดึงข้อมูลจากบัญชีอื่นที่ไม่ใช่ของตัวเองมา ทำให้สามารถเห็นชื่อเจ้าของรถคนอื่น, กิจกรรมล่าสุด, เบอร์โทรศัพท์ และอื่น ๆ ซึ่งหากมองในทางกลับกัน ไม่แน่ว่าข้อมูลส่วนตัวของตนเองก็อาจจะหลุดไปสู่คนอื่นได้เช่นกัน

อย่างไรก็ดี มีบางคนทดลองกดปุ่มสั่งล็อค/ปลดล็อค หรือสตาร์ทเครื่องยนต์ พบว่าไม่สามารถใช้งานได้ ทำให้ผลกระทบค่อนข้างจำกัด

Yubico ออกแอปใหม่สำหรับผู้ใช้ Windows และ YubiKey ให้สามารถใช้กุญแจเพื่อความปลอดภัยในการล็อกอินเพื่อเข้าใช้งาน Windows สามารถใช้งานได้ทั้ง Windows 7, 8.1 และ 10

Yubico Login for Windows Application ในตอนนี้จะเน้นการใช้งานกับ local user บน Windows (ล็อกอินแบบไม่ใช้ Active Directory หรือ Microsoft Account) และผู้ใช้ที่ยังไม่ได้เปิดใช้งาน Windows Hello, PIN หรือ Picture Password ของ Windows

การที่ Yubico ลงมาทำแอปเองโดยตรง ก็เพื่อให้การล็อคอิน Windows ด้วย YubiKey ใช้งานได้ง่าย และยังทำให้ Yubico ใส่ฟีเจอร์ใหม่ ๆ ในแอปได้ด้วย เช่น ลงทะเบียน YubiKey สำรอง หรือกู้คืนระบบเมื่อทำ YubiKey หาย เป็นต้น

ไม่นานหลังมีประเด็นว่า Galaxy S10 พบบั๊กอ่านลายนิ้วมือถ้าใช้ฟิล์มกันรอย ทำให้ใครปลดล็อกก็ได้

ล่าสุดซัมซุงแถลงเรื่องนี้แล้ว โดยยืนยันว่า S10 และ Note 10 ทุกรุ่นได้รับผลกระทบนี้ พร้อมทั้งแนะนำให้ลอกฟิล์มที่มีปัญหาออกไปก่อน ลบข้อมูลลายนิ้วมือเดิมแล้วค่อยบันทึกลายนิ้วมือใหม่

ซัมซุงแนะนำให้เลี่ยงการใช้ฟิล์มไปก่อนจนกว่าจะมีการปล่อยแพทช์อัพเดต ซึ่งคาดว่าจะมาอย่างเร็วในสัปดาห์หน้า

ที่มา - ซัมซุง

Google Pixel 4 ยังไม่ทันขายก็เป็นประเด็นเมื่อคุณ Chris Fox นักข่าว BBC ที่ได้เครื่องไปใช้ก่อนก็โพสท์ในทวิตเตอร์ส่วนตัวว่าเขาปลดล็อค Pixel 4 ได้ถึงจะหลับตาอยู่ แม้ก่อนหน้านี้ที่มีข่าวหลุดว่าในหน้า Face Unlock มีตัวเลือกว่าต้องลืมตาอยู่เพื่อปลดล็อคนั้น ทาง Android Police แจ้งว่ายังไม่มีตัวเลือกนี้

นอกจากนี้ในหน้าสนับสนุนของมือถือ Pixel ยังแจ้งไว้ในหมวดวิธีการทำงานของการปลดล็อคด้วยใบหน้าว่า "มือถือของคุณปลดล็อคได้ด้วยบุคคลอื่นที่หันจอมือถือคุณใส่หน้าแม้หลับตาอยู่ กรุณาเก็บมือถือเอาไว้ในที่ปลอดภัยเช่นกระเป๋ากางเกงหรือกระเป๋าถือด้วย" (Your phone can also be unlocked by someone else if it’s held up to your face, even if your eyes are closed.) รวมถึงระบุชัดเจนว่าคนที่หน้าคล้ายกันก็สามารถปลดล็อคแทนกันได้ สำหรับทางแก้ไขนั้นคงต้องรอกูเกิลจัดการต่อไป

ซัมซุงประกาศเตรียมออกแพตช์ให้ Samsung Galaxy S10 หลังมีรายงานว่าผู้ใช้สามารถปลดล็อกเครื่องผู้ใช้อื่นได้ หากบนหน้าจอมีฟิล์มกันรอยจากผู้ผลิตอื่นบางยี่ห้อติดอยู่

ตัวอ่านลายนิ้วมือแบบอัลตร้าโซนิคใน Galaxy S10 มีปัญหากับฟิล์มกันรอยบางประเภทมาตั้งแต่ช่วงแรกๆ โดยผู้ใช้อาจไม่สามารถปลดล็อกเครื่องได้เมื่อติดฟิล์มกันรอย แต่สัปดาห์นี้ Lisa Neilson ผู้ใช้จากอังกฤษรายงานว่าเธอสามารถปลดล็อกโทรศัพท์ตัวเองได้แม้ใช้นิ้วปลดผิดนิ้วก็ตาม และเมื่อทดสอบไปปลดล็อกโทรศัพท์เครื่องน้องสาวที่ใช้ฟิล์มรุ่นเดียวกันก็ปลดล็อกได้เหมือนเดิม

มอซิลล่าประกาศความเปลี่ยนแปลงในเบราว์เซอร์ไฟร์ฟอกซ์เวอร์ชั่น 70 โดยมีความเปลี่ยนแปลงสำคัญที่แถบ URL ที่จะแสดงกระบวนการเข้ารหัสและใบรับรองที่เปลี่ยนไป 3 ประการหลัก ได้แก่

Elastic ที่มีซอฟต์แวร์หลัก คือ Elasticsearch หันมาทำตลาดกลุ่มความปลอดภัยไซเบอร์อย่างหนักในช่วงหลัง เปิดตัว Elastic Endpoint ซอฟต์แวร์รักษาความปลอดภัยเครื่องไคลเอนต์

ตัว Endpoint เป็นซอฟต์แวร์ของบริษัท Endgame ที่ Elastic ไปซื้อมาตั้งแต่ช่วงกลางปีที่ผ่านมา โดยตอนนี้ยังเป็นซอฟต์แวร์แยกกับชุดซอฟต์แวร์ Elasticsearch อยู่ แต่ทาง Elastic ระบุว่าในอนาคตจะรวมเป็นชุดเดียวกัน โดยตัว Endpoint จะเข้าเป็นไคลเอนต์ของ Elasticsearch

แม้ทาง Elastic จะเข้าตลาดมาทีหลัง แต่บริษัทก็ชูจุดขายว่า Endpoint จะไม่คิดราคาตามจำนวนเครื่องไคลเอนต์ที่ติดตั้ง แต่ไปคิดค่าไลเซนส์ตามทรัพยากรฝั่งเซิร์ฟเวอร์ที่เก็บข้อมูลแทน

The Hacker News รายงานการพบช่องโหว่ CVE-2019-14287 ที่ค่อนข้างร้ายแรง ในคำสั่ง sudo โดยกระทบกรณีที่ผู้ดูแลระบบให้สิทธิ์ผู้ใช้ในการรันคำสั่งแทนผู้ใช้อื่น แต่จำกัดไม่ให้รันในสิทธิ์ root

ช่องโหว่นี้มีผลเมื่อผู้ใช้ที่มุ่งร้าย ระบุเลข user id ให้กับคำสั่ง sudo เป็น -1 หรือ 4294967295 ระบบจะบั๊กแล้วตีความว่าเป็นคำสั่งจาก user 0 ซึ่งเป็นสิทธิระดับ root แม้ว่าไฟล์ sudoer จะระบุไว้ว่าไม่ให้สิทธิ์ก็ตาม

ช่องโหว่นี้กระทบ sudo เวอร์ชัน 1.8.28 ลงไป ซึ่งก็คาดว่าดิสโทรต่าง ๆ น่าจะปล่อยอัพเดตอุดช่องโหว่ให้เร็ว ๆ นี้ ผู้ใช้ลินุกซ์ควรติดตามและรีบอัพเดตเร็วที่สุด

ที่มา - The Hacker News

Google เปิดตัว Titan Security Key กุญแจ U2F อีกรุ่นเป็นหัว USB-C จากเดิมที่มีแค่ USB-A/NFC และ Bluetooth โดยรุ่นนี้ไม่ได้มี NFC ติดมาด้วย แต่ก็น่าจะสะดวกกับการใช้งานกับสมาร์ทโฟนหรือแล็บท็อปใหม่ ๆ มากขึ้น

ราคาของรุ่น USB-C อยู่ที่ 40 เหรียญ ผลิตโดย Yubico ทว่าไม่รองรับมาตรฐาน FIDO2 (รองรับแค่ WebAuthn) นอกจากนี้ Google ยังประกาศแยกขายกุญแจ U2F รุ่น USB-A กับ Bluetooth ด้วยจากเดิมที่บันเดิลรวมกัน 50 เหรียญ แยกเป็น USB-A/NFC 25 เหรียญ ส่วน Bluetooth 35 เหรียญ

มีรายงานการค้นพบช่องโหว่ใน Bonjour เครื่องมือสำหรับจัดการเครือข่ายของแอปเปิลบน Windows ซึ่งติดตั้งมาพร้อมกับ iTunes และ iCloud for Windows ทำให้มัลแวร์ Bitpaymer สามารถโจมตีโดยเรียกการทำงานของโปรแกรมได้เสมือนเป็นโปรแกรมปกติ

ทั้งนี้แอปเปิลได้ออกอัพเดตล่าสุด iTunes บน Windows เวอร์ชัน 12.10.1 เพื่อปิดช่องโหว่ดังกล่าวแล้ว จึงแนะนำให้ผู้ใช้ iTunes บน Windows อัพเดตซอฟต์แวร์ทันที

เนื่องจากช่องโหว่นี้เป็นการโจมตีผ่าน Bonjour หากผู้ใช้งานเคยลง iTunes หรือ iCloud for Windows แต่ถอนการติดตั้งไปแล้ว ซึ่งจะไม่มีการถอน Bonjour ออกไปให้ด้วย จึงแนะนำให้ลบ Bonjour ออกไปด้วย เนื่องจากแอปเปิลไม่มีแพตช์สำหรับ Bonjour โดยเฉพาะ ต้องทำผ่าน iTunes อีกที

Ken Thompson เป็นหนึ่งในผู้สร้างระบบปฎิบัติการยูนิกซ์ ที่เป็นต้นแบบของมาตรฐาน POSIX ที่ไลนัสนำมาสร้างลินุกซ์อีกที เป็นหนึ่งในผู้พัฒนา BSD 3.0 มาตั้งแต่ปี 1980 และซอร์สโค้ดก็อยู่รอดมาจนทุกวันนี้ โดยพบว่ามีไฟล์ /etc/passwd ที่เก็บค่าแฮชรหัสผ่านหลุดมาด้วย ล่าสุดรหัสผ่านของ Thompson ที่มีค่าแฮชเป็น ZghOT0eRm4U9s ก็ถูกถอดรหัสออกมาแล้ว

FortiGuard Labs รายงานการค้นพบช่องโหว่ระดับร้ายแรง (CVE-2019-16920) ในเราท์เตอร์ 4 รุ่นได้แก่ DIR-655, DIR-866L, DIR-652, DHP-1565 ซึ่งเปิดโอกาสให้รันโค้ดผ่านทางไกล (RCE) โดยไม่ต้องยืนยันตน

อย่างไรก็ตามทาง FortiGuard Labs ได้รับการติดต่อจาก D-Link แจ้งว่าเราท์เตอร์ทั้ง 4 รุ่นเข้าสู่สถานะ End-of-Life เรียบร้อยแล้ว D-Link ไม่มีการผลิตและจำหน่ายเราท์เตอร์ทั้ง 4 รุ่นที่ออกมาตั้งแต่ปี 2005 นี้อีกแล้ว เลยไม่ได้ซัพพอร์ทและแพตช์ช่องโหว่ดังกล่าวให้ ทว่า Tom's Guide ระบุว่ายังพบการขายเราท์เตอร์ทั้ง 4 รุ่นอยู่ในช่องทางออนไลน์ โดยในประเทศไทยเท่าที่ผมเจอคือรุ่น DIR-655 ที่ยังขายอยู่ผ่าน JIB (แต่ขึ้น out of stock)

กูเกิลปล่อยแพตช์ความปลอดภัยประจำรอบเดือนตุลาคม 2019 (2019-10-05) ซึ่งถือเป็นแพตช์ชุดแรกของ Android 10 ที่ออกตัวจริงในช่วงต้นเดือนกันยายน

แพตช์ตัวนี้ถือว่ามีความสำคัญ เพราะฟีเจอร์ใหม่ของ Android 10 คือ Project Mainline ทำให้กูเกิลสามารถอัพเดต "บางส่วน" ของตัว OS ผ่าน Google Play Store ได้เหมือนกับการอัพเดตแอพทั่วไป แพตช์ตัวนี้ถือเป็นครั้งแรกที่กูเกิลปล่อยอัพเดตความปลอดภัยผ่านระบบใหม่ที่ว่านี้

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) แจ้งเตือนช่องโหว่รันโค้ดจากระยะไกล (remote code execution - RCE) ของเมลเซิร์ฟเวอร์ Exim ที่ได้รับความนิยมสูงในกลุ่มเซิร์ฟเวอร์โอเพนซอร์ส

ช่องโหว่ในกลุ่มเดียวกันมีรายงานออกมาเรื่อยๆ นับแต่ CVE-2019-10149 ที่รายงานมาตั้งแต่เดือนมิถุนายนที่ผ่านมา, CVE-2019-15846 ที่รายงานต้นเดือนกันยายน, และ CVE-2019-16928 ที่เพิ่งรายงานช่วงปลายเดือนกันยายน ช่องโหว่ทั้งหมดเป็นช่องโหว่ระดับวิกฤติ เปิดทางรันโค้ดจากอินเทอร์เน็ตโดยไม่ต้องล็อกอินสู่ระบบก่อน

Google ประกาศเตรียมบล็อคคอนเทนต์ที่เป็น HTTP ภายใต้หน้าเว็บที่เป็น HTTPS เป็นค่าเริ่มต้น ซึ่งจะช่วยเพิ่มความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้มากยิ่งขึ้น รวมถึงสามารถแสดง UX ที่ชัดเจนกับผู้ใช้ได้ด้วยว่าหน้าเว็บนี้ปลอดภัยจริงหรือไม่

ปัจจุบัน เว็บไซต์กว่า 90% ได้ปรับเปลี่ยนเป็น HTTPS แล้ว และผู้ใช้ Chrome ก็ใช้เวลากว่า 90% ใช้งานเว็บ HTTPS บนแพลตฟอร์มหลักทุกแพลตฟอร์ม แต่ก็ยังมีประเด็นเรื่องคอนเทนต์ภายในหน้าเว็บที่ยังเป็น HTTP ผสมอยู่บ้าง แม้ว่า Chrome จะบล็อคคอนเทนต์ประเภทบางอย่างเช่นสคริปต์หรือ iframe แล้ว แต่ภาพ, เสียง หรือวิดีโอยังคงโหลดได้อยู่ ซึ่งเป็นประเด็นเพราะหน้าเว็บก็ไม่ได้ปลอดภัยเต็มที่

กูเกิลออกมาเผยว่าล่าสุด ทีม Project Zero ได้พบช่องโหว่ที่ยังไม่ได้แพทช์และถูกโจมตีแล้ว (0-day) บนแอนดรอยด์หลายรุ่น ซึ่งช่องโหว่นี้สามารถใช้เจาะเข้าถึง Root ของแอนดรอยด์ได้และทีม Threat Analysis Group (TAG) พบการโจมตีช่องโหว่นี้แล้ว

ช่องโหว่นี้เป็นบั๊กที่แก้ไขไปตั้งแต่ปลายปี 2017 แต่กลับพบว่าเคอร์เนลที่ติดตั้งไปกับโทรศัพท์หลายรุ่นกลับมีช่องโหว่นี้อยู่ โดยทีม TAG ระบุว่าได้ข้อมูลว่า บริษัท NSO Group ความปลอดภัยไซเบอร์สัญชาติอิสราเอล ได้ใช้ช่องโหว่นี้แล้ว เนื่องจากช่องโหว่กระทบถึงโค้ดที่รันใน sandbox ของ Chrome ทำให้การโจมตีสามารถทำได้ผ่านเว็บ

โดยสมาร์ทโฟนรุ่นที่เข้าข่ายมีรายชื่อดังนี้:

ไม่กี่วันก่อนเอเอ็มดีเปิดตัว Ryzen Pro 3000 สำหรับผู้ใช้ระดับองค์กร ซึ่งโดยทั่วไปจะเพิ่มฟีเจอร์การจัดการระยะไกล แต่ในรุ่นนี้เอเอ็มดีเพิ่มฟีเจอร์ AMD Memory Guard ที่เป็นฟีเจอร์เข้ารหัสหน่วยความจำเข้ามาด้วย

ฟีเจอร์ AMD Memory Guard เคยเป็นฟีเจอร์เฉพาะสำหรับซีพียูตระกูลเซิร์ฟเวอร์ EPYC โดยใช้ชื่อ AMD Secure Memory Encryption โดยฟีเจอร์นี้จะป้องกันเครื่องจากการโจมตี cold boot attack ที่คนโจมตีเข้าถึงตัวเครื่องได้ และบูตเครื่องใหม่จากระบบปฎิบัติการของตัวเองเพื่อดูดข้อมูลในแรมออกไป ที่ผ่านมาการป้องกันการโจมตีเช่นนี้ต้องอาศัยการปิดเครื่องอย่างถูกต้องเพื่อให้ระบบปฎิบัติการล้างข้อมูลในแรมออกไปก่อนดับเครื่อง

กูเกิลเคยออกส่วนเสริมชื่อ Password Checkup เพื่อเช็ครหัสผ่านที่รั่วจากบริการออนไลน์ต่างๆ และเพิ่งประกาศว่าจะผนวกเข้ามาเป็นส่วนหนึ่งของ Chrome โดยจะเริ่มใน Chrome 78 (ปัจจุบันคือ Chrome 77)

วันนี้กูเกิลประกาศว่า Password Checkup กลายเป็นส่วนหนึ่งของ Password Manager ในหน้าเว็บ Google Account เรียบร้อยแล้ว (เข้าได้จาก passwords.google.com)

HackerOne ประกาศความร่วมมือกับ Government Technology Agency (GovTech) ของรัฐบาลสิงคโปร์ เปิดตัวโครงการ Vulnerability Disclosure Programme (VDP) โครงการที่เปิดให้แจ้งบั๊คและช่องโหว่ในทุกบริการของรัฐบาลไม่ว่าจะเว็บหรือแอปพลิเคชัน หลังจากก่อนหน้าคือ HackerOne เคยร่วมมือกับรัฐบาลทำ Government Bug Bounty Programme (BBP) มาแล้ว

โครงการ VDP เป็นเพียงโครงการที่เปิดให้คนทั่วไปรายงานปัญหาต่าง ๆ คนรายงานจะไม่ได้รับค่าตอบแทน แตกต่างจากโครงการ Bug Bounty ที่แฮกเกอร์จะได้เงินค่าตอบแทนตามความร้ายแรงของช่องโหว่ โดย HackerOne และ GovTech จะจัด Government BBP ครั้งที่ 3 ในเดือนพฤศจิกายนนี้

ในโอกาสที่เดือนตุลาคม ถือเป็นเดือนแห่งการรณรงค์สร้างความตระหนักรู้เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในสหรัฐอเมริกา (National Cybersecurity Awareness Month) ทาง EA ก็ได้มีส่วนร่วมโดยแจกบริการ Origin Access ให้แก่ทุกคนที่เปิดใช้บริการ Two-Factor Authentication หรือที่ EA เรียกว่า EA Login Verification ภายในเดือนตุลาคมนี้ โดยผู้ที่ไม่ได้ใช้บริการ Origin Access อยู่หรือใช้แพคเกจระดับ Basic ก็จะได้ใช้ฟรีไปอีก 1 เดือน แต่สำหรับผู้ที่ใช้งานระดับ Premier ก็จะได้ใช้งานระดับ Premier ฟรีอีก 1 เดือนเช่นกัน โดยจะได้รับสิทธิ์ในวันที่ 1 พฤศจิกายนเป็นต้นไป

เมื่อเดือนมิถุนายนที่ผ่านมา ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ OneDrive Personal Vault ให้เก็บข้อมูลลับลงในโฟลเดอร์ของ OneDrive โดยต้องใส่รหัสผ่าน, PIN, สแกนลายนิ้วมือหรือใบหน้า จึงจะปลดล็อคได้ ล่าสุดทางบริษัทเริ่มเปิดให้ใช้งานฟีเจอร์นี้แล้ว และจะขยายไปยังผู้ใช้งาน OneDrive ทั้งหมดภายในปี 2019 นี้

หลังจากนักวิจัยที่ใช้ชื่อในอินเทอร์เน็ตว่า axi0mX ประกาศช่องโหว่ Checkm8 ที่ใช้เจาะอุปกรณ์ iOS เปิดทางการทำ jailbreak และฝังซอฟต์แวร์ลงในเครื่องแม้จะเป็นระบบปฎิบัติการรุ่นล่าสุด ทาง ArsTechnica ได้ติดต่อสัมภาษณ์ axi0mX เพื่อขอข้อมูลเพิ่มเติม

ทาง ArsTechnica ยืนยันว่าช่องโหว่นี้ กระทบ Apple Watch 1/2/3 ด้วย

ช่องโหว่ Checkm8 เป็นช่องโหว่ระดับ bootrom ซึ่งเป็นโค้ดระดับต่ำสุดของกระบวนการบูตอุปกรณ์ iOS ที่เขียนโค้ดอยู่ในหน่วยความจำที่เขียนทับไม่ได้ (ROM) ทำให้ไม่สามารถแพตช์แก้ไขในอนาคตได้ axi0mX ระบุว่าช่องโหว่ระดับนี้เคยพบครั้งล่าสุดเมื่อปี 2010 ใน iPhone 4