Google เปิดตัวส่วนเสริม Password Checkup สำหรับตรวจสอบรหัสผ่านที่หลุดออนไลน์, ตรวจสอบการล็อกอินเว็บที่ credential ไม่ปลอดภัย รวมถึงแนะนำให้เปลี่ยนรหัสผ่านทันที

ล่าสุดฟีเจอร์ที่ตรวจสอบรหัสผ่านว่ามีการรั่วไหลหรือไม่ จะกลายมาเป็นฟีเจอร์ดีฟอลต์บน Chrome คาดว่าน่าจะมาใน Chrome 78 เพื่อแก้ปัญหาที่เกิดกับส่วนเสริม ทั้งในแง่การเป็นฟีเจอร์แบบ opt-in ที่ต้องเป็นคนที่สนใจด้านความปลอดภัยหน่อยถึงจะเลือกใช้งาน (ทั้งที่เป็นฟีเจอร์สำคัญ) และการที่ Chrome บนแอนดรอยด์ไม่รองรับส่วนเสริม

การทำงานของฟีเจอร์นี้เมื่อกลายมาเป็นฟีเจอร์หลักใน Chrome จะเหมือนกับบนส่วนเสริม คือ Chrome จะตรวจรหัสผ่านทุกอย่างผ่านการเข้ารหัสทั้งหมด

ไฟร์ฟอกซ์ประกาศเดินตาม Chrome เลิกแสดงแถบชื่อองค์กรที่ใช้ใบรับรองแบบ Extended Validation (EV) ในเวอร์ชั่น 70 ที่มีกำหนดการออกเดือนตุลาคมนี้ อย่างไรก็ตาม แนวทางของไฟร์ฟอกซ์จะเพิ่มตัวเลือกให้สามารถแสดงชื่อองค์กรหน้า URL เหมือนเดิมได้

ตัวเลือก security.identityblock.show_extended_validation ถูกเพิ่มเข้ามาเพื่อให้คนที่ต้องการหน้าจอแบบเดิมสามารถใช้งานได้ต่อไป แต่ตัวเลือกนี้จะถูกปิดไว้เป็นค่าเริ่มต้น

ทางไฟร์ฟอกซ์ระบุว่าการปลอมแปลงชื่อองค์กรในใบรับรอง EV นั้นมีรายงานมาถึง 18 เดือนแล้ว จนตอนนี้ยังไม่มีทางแก้ ทำให้ทีมพัฒนาเลือกจะปิดการแสดงข้อความส่วนนี้

Eyal Itkin นักวิจัยด้านความปลอดภัยได้เสนอวิธีการเจาะช่องโหว่ของกล้อง Canon ผ่านทาง Wi-Fi และ USB ซึ่งช่องโหว่เหล่านี้เปิดให้ผู้บุกรุกสามารถใช้งานกล้องและฟีเจอร์ต่าง ๆ ได้

ช่องโหว่เหล่านี้ อยู่ภายใต้ Picture Transfer Protocol หรือ PTP ของ Canon ที่อยู่ในเฟิร์มแวร์ของตัวกล้อง โดยเป็นมาตรฐานของกล้อง DSLR ยุคใหม่ที่ใช้ในการถ่ายโอนไฟล์ภาพระหว่างตัวกล้องกับคอมพิวเตอร์หรืออุปกรณ์พกพาผ่าน USB หรือ Wi-Fi กระทบทั้ง Canon EOS ที่เป็น DSLR และ Mirrorless, PowerShot SX740 HS, PowerShot SX70 HS และ PowerShot G5X Mark II

ทีมวิจัยความปลอดภัยไซเบอร์ของ Netflix รายงานถึงช่องโหว่ในโปรโตคอล HTTP/2 จำนวน 8 รายการ พร้อมๆ กับอีกช่องโหว่ที่พบโดยกูเกิล เป็นชุดของช่องโหว่ที่ไคลเอนต์มุ่งร้ายกำหนดพารามิเตอร์ให้กินทรัพยากรเซิร์ฟเวอร์จนหมด และเว็บล่มได้ในที่สุด

ช่องโหว่เหล่านี้ไม่มีช่องโหว่ใดทำให้ข้อมูลรั่วไหล หรือยึดเซิร์ฟเวอร์ได้แต่อย่างใด โดยช่องโหว่มี 8 รายการ ได้แก่

แพตช์ความปลอดภัยตามรอบปกติ แต่รอบนี้มีความพิเศษที่ไมโครซอฟท์แจ้งเตือนสองช่องโหว่ คือ CVE-2019-1181 และ CVE-2019-1182 ว่าสามารถนำไปสร้างเวิร์มทำให้ติดมัลแวร์กันเป็นวงกว้างได้ เหมือนกับ CVE-2019-0708 หรือ Bluekeep ที่รายงานออกมาเมื่อเดือนพฤษภาคม

ช่องโหว่นี้ค้นพบโดยไมโครซอฟท์เอง ระหว่างที่เพิ่มความปลอดภัยให้ซอฟต์แวร์ และยังไม่มีรายงานถึงการโจมตีจากภายนอกไมโครซอฟท์

ช่องโหว่กระทบ Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, และ Windows 10 แต่ไม่กระทบเวอร์ชั่นเก่าๆ อย่าง Windows XP, Windows Server 2003, และ Windows Server 2008

กูเกิลปล่อยฟีเจอร์ FIDO2 บนโทรศัพท์ ทำให้ผู้ใช้ที่เคยล็อกอินบริการและลงทะเบียนโทรศัพท์เอาไว้ สามารถล็อกอินซ้ำโดยไม่ต้องใส่รหัสผ่านอีกครั้งเมื่อใช้โทรศัพท์เครื่องเดิม (local user verification)

การปรับปรุงครั้งนี้ใช้ฟีเจอร์ของมาตรฐาน FIDO2, WebAuthn, และ FIDO CTAP เมื่อเข้าเว็บหรือแอปที่เคยลงทะเบียนโทรศัพท์ไว้ เว็บจะเรียก WebAuthn API เพื่อข้อข้อมูลเข้ารหัสลับยืนยันว่าเป็นโทรศัพท์เครื่องเดิมที่เคยลงทะเบียนไว้ ตัวโทรศัพท์จะขอให้ผู้ใช้ยืนยันลายนิ้วมือหรือปลดล็อกหน้าจอด้วยวิธีอื่น เช่น PIN หรือรหัสผ่านของโทรศัพท์

Vasily Kravets นักวิจัยความปลอดภัยไซเบอร์จาก Amonitoring บริษัทความปลอดภัยไซเบอร์ในรัสเซีย รายงานถึงช่องโหว่การยกระดับสิทธิ์ซอฟต์แวร์ด้วย steam client ที่เป็นโปรแกรมหน้าร้านขายเกม

รายงานระบุถึงช่องโหว่ของ Steam Client Service ที่ถูกหลอกด้วย symbolic link ใน Windows registry ทำให้แฮกเกอร์ที่อยู่บนเครื่องของเหยื่อ สามารถยกสิทธิ์ของซอฟต์แวร์ตัวเองได้ ทาง Kravets แจ้งช่องโหว่นี้ผ่านทาง HackerOne ตั้งแต่กลางเดือนมิถุนายนที่ผ่านมา แต่ทาง Valve ระบุว่าไม่เข้าข่าย เพราะแฮกเกอร์ต้องสามารถวางไฟล์บนเครื่องของเหยื่อและเข้าถึงตัวเครื่องได้ ซึ่งก็น่าจะเป็นเงื่อนไขปกติของช่องโหว่ local privilege escalation (LPE)

ทีมงาน Chromium ประกาศว่า Chrome 77 จะเลิกแสดงแถบ SSL EV ที่เคยแสดงชื่อองค์กรผู้ขอใบรับรองแบบ Extended Validation (EV) แล้วจะนำข้อมูลนี้ไปแสดงเมื่อผู้ใช้กดไอคอนกุญแจเพื่อขอดูข้อมูลเว็บไซต์แทน ทำให้หลังจากนี้เว็บธนาคารจำนวนมาก ที่มักแสดงชื่อธนาคารบนแถบ URL จะเหลือเพียงโดเมนอย่างเดียว

Chrome มีแนวทางลดความสำคัญของใบรับรองแบบ EV เรื่อยมา จากแต่เดิมแถบ EV เคยเป็นสีเขียวเด่นก็กลายเป็นสีเดียวกับโดเมน ส่วน iOS และ macOS นั้นเลิกแสดงไปก่อนหน้านี้แล้ว

ทุกคนต่างรู้กันดีว่าการเปิด S3 เป็น public เป็นหนึ่งในสาเหตุของข้อมูลหลุดหลายครั้ง จนสุดท้าย AWS ต้องออก Block Public Access ไม่ให้เปิด S3 เป็นสาธารณะตลอดไป แต่จริง ๆ แล้วคลาวด์มีส่วนประกอบจำนวนมาก ดังนั้น S3 จึงไม่ใช่อย่างเดียวที่คนใช้งานจะพลาดในด้านความปลอดภัย

Ben Morris นักวิเคราะห์ความปลอดภัยอาวุโสจาก Bishop Fox ระบุว่า snapshot ของ EBS คือสิ่งหนึ่งที่ถูกละเลยความปลอดภัย เพราะตัว snapshot เก็บข้อมูลทุกอย่างของแอปบนคลาวด์ แต่กลับมีคนปล่อยเป็นสาธารณะ

Bill Demirkapi นักเรียนที่เพิ่งจบจากไฮสคูลในเมืองบอสตันได้ทำการทดสอบต่าง ๆ กับระบบจัดการและเก็บข้อมูลของนักเรียนในโรงเรียน ซึ่งเขาพบว่าระบบจัดการการเรียนรู้ของโรงเรียนอย่าง Blackboard และระบบข้อมูลโรงเรียนในเขตของเขา Aspen ซึ่งพัฒนาโดย Follett มีปัญหาความปลอดภัยหลายอย่าง

Demirkapi ได้นำข้อมูลนี้เปิดเผยในงาน Def Con ซึ่งเป็นงานด้านความปลอดภัยซึ่งจัดขึ้นในวันศุกร์ที่ผ่านมา โดยมีช่องโหว่หลายอย่างที่น่าสนใจและถือเป็นช่องโหว่ที่รุนแรงต่อระบบ

ช่องโหว่หนึ่งที่ Demirkapi ค้นพบอยู่บนระบบข้อมูลของนักเรียน เป็นช่องโหว่ที่จัดการ access control แบบไม่เหมาะสม ซึ่งหากมีการเจาะระบบขึ้นมา แฮกเกอร์ก็อ่านเขียนฐานข้อมูลหรือจะเอาข้อมูลนักเรียนคนใดออกไปจาก Aspen ก็ได้

หลังมีข่าวลือ ว่า Broadcom เจรจาซื้อ Symantec วันนี้ข่าวอย่างเป็นทางการออกมาแล้วว่า Broadcom ประกาศซื้อกิจการ Symantec ครึ่งบริษัท

บริษัท Symantec จะขายกิจการฝั่งลูกค้าองค์กร (Enterprise Security) พร้อมสิทธิการใช้แบรนด์ "Symantec" รวมมูลค่า 10.7 พันล้านดอลลาร์ (3.3 แสนล้านบาท) ให้กับ Broadcom โดยจ่ายเป็นเงินสดทั้งหมด

ไมโครซอฟท์ประกาศตั้ง Azure Security Lab โดยเชิญนักวิจัยด้านความปลอดภัยจำนวนหนึ่งมาช่วยกันแฮ็ก Azure เหมือนกับเป็นอาชญากรไซเบอร์จริงๆ

เครื่องที่ใช้ใน Azure Security Lab เป็นเครื่องที่เซ็ตขึ้นมาเฉพาะกิจเพื่อการทดสอบโจมตีเพียงอย่างเดียว ถูกกันแยกจากเครื่องที่ให้บริการลูกค้าจริงๆ เพื่อให้นักวิจัยด้านความปลอดภัยมีอิสระอย่างเต็มที่ในการคิดค้นวิธีโจมตีแบบใหม่ๆ และไมโครซอฟท์ก็มีเงินรางวัลให้เป็นแรงจูงใจด้วย (รางวัลใหญ่ที่สุด 300,000 ดอลลาร์ หรือเกือบ 10 ล้านบาท - รายละเอียด)

ทีมวิจัย Blade Team ของ Tencent รายงานถึงช่องโหว่ระดับวิกฤติในโมดูลเคอร์เนลของ Qualcomm เปิดทางให้แฮกเกอร์สามารถยึดโทรศัพท์แอนดรอยด์ผ่านทางการยิงแพ็กเก็ต Wi-Fi โดยใช้ชื่อช่องโหว่กลุ่มนี้ว่า QualPwn

ช่องโหว่เกิดจากโมดูลเคอร์เนลที่เป็นไดร์เวอร์โมเด็มของ Qualcomm ที่ไม่ตรวจข้อมูลอินพุตจากตัวโมเด็มดีพอ เมื่อแฮกเกอร์ broadcast แพ็กเก็ตมุ่งร้ายที่ออกแบบมาเฉพาะ จะทำให้เคอร์เนลเขียนข้อมูลลงหน่วยความจำโดยเชื่อข้อมูลจากโมเด็มทันที และนำไปสู่การเขียนข้อมูลทับโมดูลเคอร์เนลและนำไปสู่การรันโค้ดในเครื่องของเหยื่อ

ช่องโหว่ที่จริงแล้วเป็นกลุ่ม รวม 3 รายการ ได้แก่ CVE-2019-10539, CVE-2019-10540, และ CVE-2019-10538

เมื่อเดือนที่แล้ว LibreOffice ปล่อยแพตช์ตามรอบปกติเป็นรุ่น 6.2.5 โดยส่วนหนึ่งของแพตช์คือการแก้ช่องโหว่ CVE-2019-9848 ที่เปิดทางให้แฮกเกอร์สร้างไฟล์มุ่งร้ายเพื่อรันสคริปต์ยึดเครื่องได้ โดยหลังจากแพตช์ออกมาแล้วช่วงปลายเดือนก็มีการเปิดเผยรายละเอียดช่องโหว่ออกมา แต่พบว่าแพตช์นั้นไม่สามารถอุดช่องโหว่ได้ครบถ้วน ทำให้ต้องการเตรียมแพตช์ใหม่อีกครั้ง

ช่องโหว่ CVE-2019-9848 เป็นฟีเจอร์ LibreLogo ที่ทำให้สามารถฝังสคริปต์เพื่อวาดภาพกราฟิกได้ แต่ช่องโหว่กลับเปิดทางให้แฮกเกอร์รันสคริปต์ไพธอน จนนำไปสู่การรันโค้ดอื่นๆ ได้ในที่สุด และตัว LibreOffice จะยังรันสคริปต์เสมอแม้จะตั้งค่าความปลอดภัยระดับสูงสุดไว้แล้วก็ตาม

Project Zero ของกูเกิลออกบทความคำถามพบบ่อย (FAQ) ระบุถึงเหตุผลที่ต้องเปิดเผยช่องโหว่ภายใน 90 วันหลังจากรายงาน แม้ผู้ผลิตจะไม่สามารถแก้ไขได้ทันเวลาก็ตาม โดยระบุว่าด้วยนโยบายปัจจุบัน ผู้ผลิตสามารถแก้ไขได้ก่อนที่ Project Zero จะเปิดเผยช่องโหว่คิดเป็น 95.8% หรือตลอดช่วงเวลาตั้งแต่ปี 2015 เป็นต้นมา มีช่องโหว่ถูกเปิดเผยโดยยังไม่ได้แก้ไขเพียง 66 รายการเท่านั้นจากที่มีการรายงาน 1,585 รายการ

นโยบายของ Project Zero ตอนนี้กำหนดว่าจะเปิดเผยช่องโหว่ภายใน 90 วัน เว้นแต่ผู้ผลิตสัญญาว่าจะออกแพตช์ได้ทันเวลา เช่น มีแพตช์แล้วแต่รอรอบการออกแพตช์ถัดไป ก็จะยืดเวลาให้อีกไม่เกิน 14 วันเพื่อรอแพตช์ก่อน โดยหากคิดเฉพาะช่วงเวลาที่มีนโยบายยืดเวลา 14 วันนี้ อัตราการแพตช์ทันเวลาจะเพิ่มเป็น 97.5%

Tanmay Ganacharya ผู้บริหารฝ่ายวิจัยความปลอดภัยของไมโครซอฟท์ เปิดเผยว่า Windows Defender มีส่วนแบ่งตลาดเกิน 50% ของผู้ใช้ Windows ทั้งหมดแล้ว หรือถ้านับเป็นจำนวนอุปกรณ์คือมากกว่า 500 ล้านเครื่อง

ในแง่จำนวนผู้ใช้ Windows Defender อาจไม่ใช่เรื่องน่าแปลกใจนัก เพราะมาพร้อมกับตัวระบบปฏิบัติการอยู่แล้ว แต่ Ganacharya ก็ให้ข้อมูลว่าการที่ Windows Defender มีส่วนแบ่งตลาดสูงสุด ก็ตกเป็นเป้าโจมตีของไวรัสและมัลแวร์ต่างๆ มากตามไปด้วยเช่นกัน เพราะการเจาะผ่าน Windows Defender สำเร็จมีรางวัลเป็นฐานผู้ใช้จำนวนมากที่สุดนั่นเอง

กูเกิลมีฟีเจอร์รักษาความปลอดภัยระดับสูง Advanced Protection Program เปิดตัวมาตั้งแต่ปี 2017 โดยเปิดให้ผู้ใช้ Google Account ใช้งาน ล่าสุดฟีเจอร์นี้ขยายมายังผู้ใช้ฝั่งองค์กร G Suite เรียบร้อยแล้ว

ผู้ใช้ที่เปิด Advanced Protection Program จะถูกบังคับให้ต้องล็อกอินด้วยอุปกรณ์ยืนยันตัวตน U2F มาตรฐาน FIDO, บล็อคการเข้าถึงแอพ 3rd party ทั้งหมด (ยกเว้นที่แอดมินองค์กร whitelist), อีเมลจะถูกสแกนไวรัส มัลแวร์ ฟิชชิ่ง และการกู้คืนบัญชีจะต้องให้แอดมินองค์กรเป็นคนทำให้เท่านั้น (เพื่อแก้ปัญหาบัญชีผู้ใช้บางบัญชีโดนแฮ็กง่าย และกลายเป็นจุดเริ่มต้นของการเจาะเข้ามาในองค์กร)

กูเกิลเริ่มขยายตลาดของ กุญแจยืนยันตัวตน Titan Security Keys ที่เชื่อมต่อกับพีซีหรืออุปกรณ์พกพาผ่าน USB/Bluetooth/NFC ไปยังประเทศอื่นนอกสหรัฐอเมริกาแล้ว

ประเทศชุดที่สองที่ Titan Security Keys วางขายมี 4 ประเทศคือ แคนาดา ฝรั่งเศส ญี่ปุ่น สหราชอาณาจักร โดยยังจำกัดช่องทางการขายผ่านร้านออนไลน์ Google Store ในแต่ละประเทศเท่านั้น

กุญแจ Titan Security Keys ถือเป็นกุญแจยืนยันตัวตนแบรนด์ของกูเกิลเอง ถือเป็นอีกหนึ่งทางเลือกนอกเหนือจากกุญแจยี่ห้อ Yubico ที่นิยมใช้งานกันทั่วไป

ธนาคาร Capital One ออกประกาศว่าเมื่อวันที่ 19 กรกฏาคมที่ผ่านมาทางธนาคารพบว่าระบบถูกแฮกเข้าถึงระบบข้อมูลผู้สมัครบัตรเครดิต ทำให้สามารถเข้าถึงข้อมูลผู้สมัครบัตรที่อยู่ในสหรัฐฯ 100 ล้านคน และจากแคนาดาอีก 6 ล้านคน

ข้อมูลได้แก่ ชื่อ, ที่อยู่, รหัสไปรษณีย์, อีเมล, วันเกิด, ข้อมูลรายได้, คะแนนเครดิต, วงเงิน, ประวัติการจ่ายเงิน, ข้อมูลติดต่อ, และรายการจ่ายเงินบางส่วน รวม 23 วัน นอกจากนี้ยังมีผู้สมัคร 140,000 รายที่ข้อมูลหมายเลขประกันสังคมสหรัฐรั่วไปด้วย และอีก 80,000 รายมีหมายเลขบัญชี ส่วนข้อมูลประกันสังคมแคนาดารั่วไป 1 ล้านเลขหมาย

John Bel Edwards ผู้ว่าการรัฐลุยเซียนา (Louisiana) ของสหรัฐอเมริกา ใช้อำนาจผู้ว่าการรัฐประกาศภาวะฉุกเฉิน (Emergency Declaration) หลังพบว่าโรงเรียนในสังกัดรัฐบาลจำนวนมาก ติดมัลแวร์จนไม่สามารถดำเนินการเรียนการสอนตามปกติได้

ตอนนี้ยังไม่มีข้อมูลว่ามัลแวร์ตัวนี้คืออะไร และมีรูปแบบการโจมตีอย่างไร แต่ในแถลงการณ์ของ Edwards ระบุว่าต้องประกาศภาวะฉุกเฉิน เพื่อให้มีผลทางกฎหมาย สามารถสั่งการให้หน่วยงานที่เกี่ยวข้อง ทั้งตำรวจ หน่วยงานด้านบริการไอทีภาครัฐ และผู้เชี่ยวชาญด้านความปลอดภัยจากหลายส่วน เข้ามาช่วยกันแก้ปัญหาได้โดยเร็ว

Sephora ประกาศพบการเข้าถึงข้อมูลบนเว็บขายสินค้าออนไลน์ในโซนเอเชียตะวันออกเฉียงใต้ กระทบลูกค้าใน สิงคโปร์ มาเลเซีย อินโดนีเซีย ไทย ฟิลิปปินส์ ฮ่องกง ออสเตรเลีย และนิวซีแลนด์ โดยเบื้องต้นได้ยกเลิกรหัสผ่านและแจ้งลูกค้าให้รีเซ็ตรหัสใหม่แล้ว

ทาง Sephora พบการรั่วไหลตั้งแต่สองสัปดาห์ที่ผ่านมา โดยข้อมูลที่รั่วไหลได้แก่ ชื่อต้น, นามสกุล, วันเกิด, เพศ, อีเมล, รหัสผ่านแบบเข้ารหัส, และข้อมูลเกี่ยวกับความพึงพอใจด้านความงาม โดยไม่มีการเข้าถึงข้อมูลบัตรเครดิตแต่อย่างใด

เหตุการณ์เกิดขึ้นสองสัปดาห์ก่อน และทาง Sephora ได้ให้ผู้เชี่ยวชาญอิสระเข้ามาสอบสวนจนยืนยันรายละเอียดได้ จึงแจ้งเตือนลูกค้า

กูเกิลประกาศข่าว Android Enterprise ผ่านการรับรองมาตรฐาน ISO 27001 ด้านความปลอดภัยของข้อมูล ทำให้หน่วยงานที่ต้องการนำ Android ไปใช้งานภายใน มั่นใจได้มากขึ้นว่ามีระดับความปลอดภัยที่ดีพอ

ISO 27001 เป็นมาตรฐานด้านการรักษาความปลอดภัยของข้อมูลที่ใช้กันอย่างแพร่หลาย (สเปกเวอร์ชันล่าสุดออกในปี 2013) โดยบริษัทไอทีทั่วโลกก็ได้ใบรับรอง ISO 27001 กันหลายราย เช่น แอปเปิล, ไมโครซอฟท์, AWS เป็นต้น

เมื่อเช้านี้มีข่าว VLC มีช่องโหว่ร้ายแรงถึงระดับรันโค้ดได้โดยไม่มีแพตช์ ตอนนี้ทาง VLC ก็แถลงผ่านทวิตเตอร์ ระบุว่าเป็นช่องโหว่ของไลบรารี libebml ที่แก้ไขไปแล้วประมาณปีครึ่ง และทาง VLC ก็ใช้ไลบรารีเวอร์ชั่นล่าสุดแล้ว โดยเวอร์ชั่นที่แก้ปัญหานั้นมาพร้อมกับ VLC 3.0.3 ตั้งแต่ปีที่แล้ว

update: ทางโครงการออกมาปฎิเสธข่าวแล้ว

เมื่อเดือนที่แล้วมีรายงานถึงบั๊กของโครงการ VLC ที่ไฟล์ mkv ที่ออกแบบมาเฉพาะสามารถทำให้ VLC แครช และแสดงให้เห็นว่ามีบั๊ก buffer overflow นำไปสู่การรันโค้ดในเครื่องของเหยื่อในที่สุด

ผู้ใช้ที่ใช้ชื่อว่า topsec รายงานช่องโหว่นี้ทางช่องทางแจ้งบั๊กปกติ โดยไม่ได้ใช้ช่องทางรายงานช่องโหว่ความปลอดภัย ทำให้ข้อมูลช่องโหว่นี้อยู่บนเว็บ Trac ของโครงการ VLC เพิ่มความเสี่ยงเพราะข้อมูลช่องโหว่ออกสู่สาธารณะก่อนที่จะมีแพตช์

ภาษา Rust เป็นภาษาโปรแกรมที่เพิ่งสร้างขึ้นมาเมื่อปี 2010 โดยมอซิลล่า ผู้สร้างเบราว์เซอร์ไฟร์ฟอกซ์ ตอนนี้ได้รับความสนใจขึ้นมาอีกครั้ง เมื่อ Joseph Birr-Pixton ทีมงาน Rustls ทดสอบการส่งข้อมูลเข้ารหัส เทียบกับ OpenSSL ไลบรารีเข้ารหัสที่แทบจะเป็นมาตรฐานกลางสำหรับการเข้ารหัสในซอฟต์แวร์โอเพนซอร์ส แล้วพบว่าสามารถเอาชนะได้แทบทุกการทดสอบ ตั้งแต่ประสิทธิภาพไปจนถึงการใช้หน่วยความจำ

ผลทดสอบ TLS 1.3 TLS_AES_256_GCM_SHA384 นั้น ประสิทธิภาพการส่งข้อมูล Rustls เร็วกว่า OpenSSL อยู่ 13% ขณะที่ฝั่งรับเร็วกว่า 5.8% ขณะที่การใช้หน่วยความจำน้อยกว่า 54%