Tags:

Let's Encrypt เปิดโครงการมาตั้งแต่ปลายปีที่แล้ว ทางโครงการวางเป้าหมายว่าจะเริ่มให้บริการช่วงกลางปี ตอนนี้กำหนดการชัดเจนออกมาแล้วว่าคนทั่วไปจะเริ่มขอใช้บริการได้ในช่วงสัปดาห์ของวันที่ 14 กันยายนนี้

ทาง Let's Encrypt ระบุว่าจะออกใบรับรองใบแรกในช่วงสัปดาห์ของวันที่ 27 กรกฎาคมนี้ แต่ช่วงแรกจะใช้งานในวงจำกัดและยังไม่มี cross-signature ทำให้เบราว์เซอร์ทั่วไปจะไม่รองรับใบรับรองจาก Let's Encrypt ในช่วงแรก และโดเมนที่เข้าใช้งานได้ก็ต้องได้รับอนุญาตล่วงหน้า

ทาง IdenTrust จะเริ่มให้ cross-signature กับใบรับรองของ Let's Encrypt ก่อนที่จะเปิดให้บริการกับคนทั่วไป ดังนั้นเมื่อเปิดบริการจริงเดือนกันยายนนี้ก็เบราว์เซอร์ทั่วไปก็น่าจะใช้งานได้ทันที

ที่มา - Let's Encrypt

Tags:
Android

กูเกิลเปิดโครงการ Android Security Rewards ให้รางวัลนักวิจัยที่พบช่องโหว่ความปลอดภัยของแอนดรอยด์ โดยจำกัดเฉพาะแอนดรอยด์บนอุปกรณ์ของกูเกิลเอง คือ Nexus 6 และ Nexus 9 เท่านั้น

เงินรางวัลสำหรับการรายงานช่องโหว่อย่างเดียวจะสูงสุดที่ 2,000 ดอลลาร์ แต่หากเขียนเทสเคสก็จะได้รางวัลเพิ่ม หากให้แพตช์แก้ไขมาด้วยรางวัลจะเพิ่มไปสูงสุด 8,000 ดอลลาร์ และในกรณีที่ช่องโหว่เหล่านั้นสามารถเจาะเข้าถึงเคอร์เนลได้จะได้รางวัลเพิ่มอีกสูงสุด 20,000 ดอลลาร์ รางวัลใหญ่ที่สุดคือการเจาะเข้า TrustZone และระบบ Verified Boot จะได้รางวัลเพิ่มสูงสุดไปถึง 30,000 ดอลลาร์

ที่มา - Google Online Security

Tags:
Microsoft Azure

ไมโครซอฟท์ประกาศเพิ่มบริการตรวจสอบบัญชีผู้ใช้ใน Active Directory ที่ใช้บริการผ่าน Azure AD Premium ว่าหลุดออกมากับฐานข้อมูลผู้ใช้ในเว็บหรือบริการใดหรือไม่ และแจ้งเตือนให้ผู้ดูแลระบบได้รับทราบเพื่อแก้ปัญหาล่วงหน้า

แนวทางนี้ช่วยลดความเสี่ยงให้กับองค์กรในกรณีที่ผู้ใช้ตั้งรหัสผ่านกับหลายๆ บริการเหมือนกัน ทางไมโครซอฟท์แนะนำว่าหากผู้ใช้อยู่ในรายการรหัสผ่านหลุดออกไปแล้ว ให้เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (multi-factor authentication) หรือรีเซ็ตรหัสผ่านเสียใหม่

ที่มา - TechNet

Tags:
BitTorrent

BitTorrent เปิดแอพพลิเคชั่นใหม่ใช้ชื่อว่า Shoot สำหรับส่งภาพและวิดีโอขนาดใหญ่ระหว่างอุปกรณ์เคลื่อนที่

กระบวนการส่งคือทั้งผู้ส่งและผู้รับต้องลงแอพ Shoot จากนั้นผู้ส่งจึงเลือกภาพและวิดีโอเพื่อสร้าง QR code ผู้รับสามารถสแกนโค้ดแล้วรับภาพได้ทันที

ทาง BitTorrent ระบุว่าเทคโนโลยีที่ใช้เป็นเทคโนโลยีเดียวกับ BitTorrent Sync โดยข้อมูลการส่งภาพไม่ได้ผ่านเซิร์ฟเวอร์ของ BitTorrent โดยตรงทำให้การส่งมีความเป็นส่วนตัวกว่าบริการอื่น

รองรับทั้ง iOS, แอนดรอยด์, และวินโดวส์โฟน การรับไฟล์ฟรีเสมอแต่การส่งไฟล์จะฟรีสามครั้งแรก หลังจากนั้นจะคิดเงินครั้งเดียว 1.99 ดอลลาร์

ที่มา - BitTorrent

Tags:
Adobe

Adobe ปล่อยอัพเดต Adobe CC ครบชุด เพิ่มฟีเจอร์ใหม่ๆ เช่น Dehaze ลบหมอกควันออกจากภาพ, Morph Cut ใน Premier Pro CC ตัดต่อการสัมภาษณ์เชื่อมการตอบคำถามหลายๆ ชุดเข้าด้วยกัน, Character Animator ใน After Effect ทำอนิเมชั่นหน้าตาได้ง่ายๆ ด้วยการจับภาพหน้าคนแสดงจากเว็บแคม

บริการใหม่ที่เปิดตัวพร้อมๆ กับอัพเดตครั้งนี้คือ Adobe Stock บริการภาพถ่าย ที่ Adobe ไปซื้อมาจากบริษัท Fotolia ขายภาพราคาเดียวคือ 9.99 ดอลลาร์ต่อภาพ ลูกค้า Creative Cloud หากสมัครรายเดือนเดือนละ 29.99 ดอลลาร์จะใช้ ภาพได้สิบภาพต่อเดือน หากไม่ได้ใช้จะสะสมเครดิตได้รวมไม่เกิน 120 ภาพ ลูกค้าทั่วไปเดือนละ 49.99 ดอลลาร์

สำหรับช่างภาพที่ต้องการขายภาพสามารถไปสมัครได้ที่เว็บ Fotolia ภาพที่ขายได้จะได้รับส่วนแบ่ง 33% โดยภาพราคาถูกที่สุดที่ Adobe Stock ขาย 750 ภาพต่อเดือน 199 ดอลลาร์

ผู้ใช้ Adobe CC เริ่มดาวน์โหลดอัพเดตได้แล้ว

ที่มา - Adobe Newsroom, ProDesignTools

Tags:
LastPass

LastPass ประกาศว่าบริษัทพบความผิดปกติในเครือข่ายภายใน และเมื่อตรวจสอบแล้วพบว่าฐานข้อมูลที่มีข้อมูล อีเมล, ข้อมูลช่วยจำรหัสผ่าน, ค่า salt ของผู้ใช้รายคน, และค่าแฮชรหัสผ่าน ได้ถูกขโมยออกไปจากเซิร์ฟเวอร์

ทาง LastPass ระบุว่ายังมั่นใจว่าการเข้ารหัสตัวรหัสผ่านด้วย PBKDF2-SHA256 ที่หนึ่งแสนรอบบนเซิร์ฟเวอร์เพิ่มจากฝั่งไคลเอนต์จะช่วยให้รหัสผ่านของผู้ใช้ปลอดภัยดีอยู่ แต่เพื่อความไม่ประมาททาง LastPass จะให้ผู้ใช้ทุกคนที่ล็อกอินจากไอพีหรืออุปกรณ์ที่แปลกไปจากเดิมให้ยืนยันตัวตนอีกครั้ง พร้อมกับแจ้งเตือนให้ผู้ใช้เปลี่ยนรหัสผ่านหลัก (master password)

ทาง LastPass ขออภัยผู้ใช้ที่ต้องลำบากจากขั้นตอนที่เพิ่มขึ้นมา และแนะนำให้เปิดใช้าน multifactor authentication อีกชั้นเพื่อความปลอดภัย

ที่มา - LastPass

Tags:
Edward Snowden

หนังสือพิมพ์ The Sunday Times อ้างแหล่งข่าวไม่เปิดเผยตัวตนระบุว่าหน่วยสืบราชการลับ MI6 ของสหราชอาณาจักรต้องถอนสายลับออกจากรัสเซียหลังจากทางรัสเซียสามารถอ่านเอกสารทั้งหมดกว่าหนึ่งล้านฉบับที่ Snowden ดาวน์โหลดออกไปจากเซิร์ฟเวอร์ NSA นอกจากนั้นทางจีนเองก็สามารถอ่านเอกสารเหล่านี้ได้แล้วเช่นกัน และมีความเป็นไปได้ว่ารัสเซียจะแชร์ข้อมูลให้กับพันธมิตรอื่น มีแหล่งข่าวรายหนึ่งถึงกับระบุว่า Snowden นั้น "มือเปื้อนเลือด" เพราะการเปิดเผยข้อมูลของเขา

Glenn Greenwald นักข่าวที่รายงานจากเอกสารของ Snowden มาแต่ต้นเขียนบทความตอบโต้รายงานของ Sunday Times ว่ามีแต่ข้อมูลจากที่มาไม่เปิดเผยตัวที่กล่าวหาซ้ำไปมา และหน่วยงานรัฐเองก็ใช้คำกล่าวหาว่าเจ้าหน้าที่ที่ออกมาเปิดเผยข้อมูล เป็นสายลับรัสเซียบ้าง, ทำให้เอกสารตกไปอยู่ในมือของรัสเซียบ้าง มาตั้งแต่ยุค 1970 ที่ Daniel Ellsberg เปิดเผยข้อมูลของเพนตากอน มาจนถึงล่าสุดที่ Chelsea Manning เปิดเผยข้อมูลเคเบิลจำนวนนับแสนรายการ

บทความยังระบุว่า David Miranda แฟนหนุ่มของ Greenwald เคยถูกคุมตัวที่สนามบินฮีทโธรว์โดยมีเอกสารอยู่กับตัวถึง 58,000 รายการที่ได้มาจาก Snowden หลังไปพบกันในมอสโคว์ Greenwald โต้ว่าเนื้อหาส่วนนี้ไม่มีความจริงแต่อย่างใด แม้ Miranda จะเคยถูกคุมตัวในฮีทโธรว์จริงแต่ก็หลังจากไปพักอยู่ในเบอร์ลิน ไม่ใช่มอสโคว์ และ Miranda ไม่เคยพบกับ Snowden ทาง Sunday Times ลบข้อความนี้ออกไปเงียบๆ ภายหลัง

ที่มา - The Telegraph, The Intercept

Tags:
Intel

Intel Edison เปิดตัวมาช่วงต้นปีที่แล้ว และขายจริงช่วงปลายปี จนตอนนี้บ้านเราเองกลุ่มนักพัฒนาอิเล็กทรอนิกส์ก็น่าจะหาซื้อมาเล่นกันได้ไม่ยาก (ที่แน่ๆ คือสั่งผ่าน Seeed Studio ได้) ผมได้รับตัวอย่าง Edison มาจากทางอินเทลโดยตรง

ชุดที่ผมได้รับคือ Intel Edison Breakout Kit มันเป็นชุดเล็กที่สุดที่จะเข้าคอนฟิกพื้นฐานได้และยังแยกขา I/O ต่างๆ ออกมาเป็นขาขนาดให้เหมาะกับการบัดกรีสำหรับโครงการทั่วๆ ไปมากขึ้น

Tags:
Amazon

อเมซอนเปิดรายงานความโปร่งใสเป็นครั้งแรก นับเป็นบริษัทไอทีชั้นนำขนาดใหญ่ลำดับท้ายๆ ที่เปิดรายงานนี้ โดยระบุว่าจะเปิดเผยสองครั้งต่อปี

รายงานของอเมซอนไม่ได้แยกรายละเอียดตามบริการ แต่แยกตามประเภทคำขอ ได้แก่ หมายศาล (subpoena) ที่ใช้ขอข้อมูลที่ไม่เกี่ยวกับเนื้อหา, หมายค้น (search warrant) เป็นการค้นเนื้อหาหรือข้อมูลที่เกี่ยวข้อง, หมายอื่นๆ เช่น หมายศาลสั่งลบข้อมูล, จดหมายความมั่นคง จากหน่วยงานความมั่นคงออกโดยศาล FISA ไม่สามารถเปิดเผยตัวเลขแน่ชัดได้, และคำสั่งจากรัฐบาลอื่นๆ นอกสหรัฐฯ

แม้รายละเอียดไม่เยอะนักแต่ก็เป็นจุดเริ่มต้นที่ดีที่ ทางอเมซอนยังยืนยันจุดยืนการอุทธรณ์ต่อหมายศาลที่กว้างเกินไป และจุดยืนที่จะให้ผู้ใช้มีสิทธิปกป้องความปลอดภัยของตัวเอง

ที่มา - Amazon Web Service Security Blog

Tags:
AWS

Amazon EC2 ประกาศเครื่องตระกูลใหม่ M4 ที่ให้ทั้งซีพียูและแรมสูง เครื่องรุ่นใหญ่สุด คือ m4.10xlarge นั้นให้ซีพียู 40 คอร์ ประสิทธิภาพตามหน่วย ECU ของอเมซอนอยู่ที่ 124.5 ECU แรม 160GB ราคาชั่วโมงละ 2.520 ดอลลาร์

เครื่องรุ่นใหม่นี้ใช้ซีพียูเป็น Intel Xeon E5-2676v3 ติดตั้งแล้วใน สหรัฐฯ, ยุโรป, เอเชียรวมถึงสิงคโปร์

นอกจากเปิดเครื่องรุ่นใหม่แล้ว ทางอเมซอนยังลดราคาเครื่องตระกูล M3 และ C4 ลงอีก 5% ในบางโซน แต่สิงคโปร์ที่คนไทยใช้กันเยอะนั้นยังไม่ได้ลดราคาในรอบนี้

ที่มา - Amazon Web Service

Tags:
USA

กระทรวงต่างประเทศสหรัฐฯ ประกาศข้อมูลเมื่อวันศุกร์ที่ผ่านมา ระบุว่าฐานข้อมูลคนเข้าเมือง (Consular Consolidated Database - CCD) ล่มไปเมื่อวันที่ 9 มิถุนายนที่ผ่านมา ส่งผลให้ไม่สามารถตรวจสอบข้อมูลทางชีวมิติ (biometric) ของผู้ขอวีซ่าสหรัฐฯ ได้ในช่วงนี้ ส่งผลให้ผู้ที่สัมภาษณ์เพื่อขอวีซ่าในวันที่ 9 มิถุนายนที่ผ่านมาและหลังจากนั้นจะไม่สามารถประมวลผลเพื่อออกวีซ่าได้

ปัญหานี้กระทบไปถึงผู้ถือพาสปอร์ตสหรัฐฯ ที่ต้องการขอเล่มใหม่จากสถานทูตนอกประเทศก็ไม่สามารถออกพาสปอร์ตได้เช่นกัน แต่ในกรณีนี้ทางกระทรวงต่างประเทศแนะนำให้ติดต่อสถานทูตขอพาสปอร์ตแบบฉุกเฉิน ตอนนี้ยอดคำขอวีซ่ากำลังสะสมเพิ่มขึ้น ทางกระทรวงต่างประเทศสหรัฐฯ ระบุว่ากำลังเร่งแก้ปัญหาเพื่อระบายคำขอทั้งหมด

ไม่มีคำอธิบายชัดเจนนักว่าปัญหานี้เกิดจากอะไร แต่ทางกระทรวงต่างประเทศระบุว่าเป็นปัญหาระดับฮาร์ดแวร์ และกำลังอยู่ระหว่างการหาต้นตอปัญหาที่แท้จริง

ที่มา - State.gov, Mashable

Tags:
Wikipedia

Wikimedia Foundation ผู้ดูแลเว็บไซต์ Wikipedia และเว็บอื่นๆ ในเครือจำนวนมากประกาศว่าตอนนี้การย้ายเว็บทั้งหมดไปใช้ HTTPS ตั้งแต่ปี 2013 เริ่มเข้ามาถึงช่วงสุดท้าย

นอกจากการเปิด HTTPS แล้ว ทาง Wikimedia จะเปิดใช้ HSTS เพื่อบังคับให้เบราว์เซอร์เข้าเว็บแบบ HTTPS ตลอด

ทาง Wikimedia คาดว่าจะใช้เวลาไม่กี่สัปดาห์เพื่อให้เว็บทั้งหมดบังคับใช้ HTTPS ตอนที่เขียนอยู่นี้ผมทดสอบ th.wikipedia.org พบว่ายังไม่บังคับ แต่ en.wikipedia.org บังคับแล้ว ตอนนี้ถ้าใครเข้าเว็บภาษาอังกฤษก็จะพบว่าเบราว์เซอร์ไม่ส่งข้อมูลที่ไม่เข้ารหัสออกจากเบราว์เซอร์แล้ว

ที่มา - Wikimedia Blog

Tags:
Facebook

เฟซบุ๊กเปิดตัว Facebook Infer ซอฟต์แวร์สำหรับวิเคราะห์หาข้อผิดพลาดของโค้ดในภาษา Java, C, และ Objective-C ช่วยรายงานข้อผิดพลาดให้กับโปรแกรมเมอร์ล่วงหน้า

ทางเฟซบุ๊กพัฒนา Infer ขึ้นมาเพื่อตรวจสอบโค้ดของแอพบนแอนดรอยด์และ iOS โดยตอนนี้ใช้ตรวจสอบ Facebook, Facebook Messenger, Instagram, และแอพอื่นๆ โดย Infer สามารถวิเคราะห์หาการเข้าใช้ null และการปล่อยให้ทรัพยากรอย่างผิดพลาดเพราะสาเหตุเหล่านี้มักทำให้แอพแครช

ก่อนหน้าการเปิดตัวทีมงาน Infer ได้นำโค้ดของแอพพลิเคชั่น DuckDuckGo มาวิเคราะห์และพบว่าเคอร์เซอร์ฐานข้อมูลไม่ได้ปิดหลังใช้งานจึงได้แจ้งกลับไป ทาง DuckDuckGo ก็แก้ปัญหาเรียบร้อยแล้ว

ที่มา - Facebook

Tags:
OpenSSL

OpenSSL ออกแพตช์ความปลอดภัยชุดใหม่ อุดช่องโหว่ระดับปานกลางและระดับต่ำหลายตัว แต่ที่สำคัญที่สุดคงเป็นการช่องโหว่ Logjam ที่ทำให้ไคลเอนต์ถูกหลอกว่ากำลังเชื่อมต่อแบบปกติ ทั้งที่เป็นการเชื่อมต่อแบบ DHE_EXPORT ที่ความปลอดภัยต่ำ

แนวทางแก้ปัญหาคือโค้ดฝั่งไคลเอนต์ของ OpenSSL จะไม่ยอมรับ การเชื่อมต่อแบบ DH ที่ 512 บิตอีกต่อไป โดยตอนนี้จะยอมรับที่ 768 เป็นขั้นต่ำสุด และเตรียมจะปรับเป็น 1024 บิตในอนาคต

ที่มา - OpenSSL

Tags:
Go

Parse ผู้ให้บริการ API สำหรับแอพพลิเคชั่นบนสมาร์ทโฟนพัฒนาบริการขึ้นมาจาก Ruby on Rails เป็นหลัก แต่เมื่อจำนวนเครื่องลูกข่ายที่ต้องให้บริการเพิ่มขึ้นอย่างรวดเร็วและโค้ดมีขนาดใหญ่ขึ้นเรื่อยๆ Ruby on Rails กลับแสดงปัญหา

เพียงแค่ปี 2012 ทาง Parse ต้องดูแลเซิร์ฟเวอร์ถึง 200 เครื่องบน AWS เป็น unicorn worker 24 โปรเซสต่อเครื่องให้บริการ 3000 ครั้งต่อวินาทีให้กับแอพพลิเคชั่น 60,000 แอพ ระยะเวลาการขึ้นระบบแต่ละรอบใช้เวลา 20 นาที

ทาง Parse หาทางออกอื่นๆ ด้วยการหาโมเดลการให้บริการแบบ asynchronous ที่แต่ละโปรเซสสามารถรองรับการเชื่อมต่อได้จำนวนมากๆ ทีมงานศึกษาศึกษาทางเลือกหลายทาง ได้แก่ EventMachine, JRuby, C++, C#, และ Go สุดท้ายทีมงานเลือก C# และ Go เป็นสองตัวเลือกสุดท้ายเพราะรองรับ asynchronous ในตัวภาษาเอง ส่วน C# ตกไปเพราะไม่สามารถทำงานกับลินุกซ์ได้ดีพอ

ทีมงานพบว่า Go ทำงานได้อย่างน่าประทับใจ แต่ละการเชื่อมต่อกินหน่วยความจำเพียง 4 กิโลไบต์ ระบบพุชข้อความรองรับการเชื่อมต่อได้ 1.5 ล้านการเชื่อมต่อ จากเดิมที่ได้เพียง 250,000 การเชื่อมต่อ

ความยากในการพอร์ต API จาก Ruby มายัง Go คือการรองรับความผิดพลาดแบบเดียวกับที่ Ruby รองรับ เช่นการ encode ตัวอักขระแบบ Unicode อย่างผิดพลาด, หรือเนื้อข้อความใน HTTP ที่ไม่ควรมีเนื้อ ทีมงานต้องพอร์ตพฤติกรรมเหล่านี้มายัง Go เพื่อให้ API ทำงานได้เหมือนเดิม

การอัพเกรดเวอร์ชั่นใหม่ใช่เวลาลดลงจาก 30 นาทีเหลือ 3 นาที กระบวนการทดสอบ API ใช้เวลาจาก 25 นาทีเหลือ 2 นาที และ Go รองรับการรีสตาร์ตเซิร์ฟเวอร์โดยไม่ตัดการเชื่อมต่อผ่านแพ็กเกจ grace (พัฒนาโดยเฟซบุ๊กบริษัทแม่ของ Parse)

ทาง Parse จะไปร่วมงาน GopherCon ในปีนี้

ที่มา - Parse

Tags:
Steam

Steam Summer Sale เป็นเทศกาลประจำปี ปีนี้ก็ได้เวลาที่เกมเมอร์จะเสียเงินมาดองเกมกันอีกครั้งระหว่างวันที่ 11 ถึง 21 มิถุนายนนี้

วันแรกของการลดราคาเกมสำคัญที่ลดคงเป็น Grand Theft Auto V ที่ลด 25% พร้อมกับลดราคาบัตรเติมเงินในเกมอีก 33%

อีกเกมที่น่าสนใจในวันแรกคือ Sniper Elite III ที่ออกมาจะครบปีแล้วราคาลดลง 70%

หลัง Steam เปิดหน้าลดราคาไม่นานระบบก็ล่มทันที ระหว่างนี้ใครจะกดสั่งเกมอาจจะลำบากสักหน่อย ส่วนใครยังไม่เจอเกมถูกใจก็ต้องรอวันอื่นๆ ต่อไปล่ะครับ

ที่มา - Steam

Tags:
Arduino

Arduino Zero ที่ใช้ชิป Cortex-M0+ เปิดตัวมาตั้งแต่กลางปีที่แล้ว จนตอนนี้เพิ่งพร้อมวางขายจริง วันที่ 15 มิถุนายนนี้ผ่านหน้าเว็บของ Arduino.cc เอง ราคาขายรอบนี้อยู่ที่ 49.90 ดอลลาร์

ทาง Arduino จะเปิดตัวพร้อมกับ Arduino IDE 1.6.5 ที่รองรับบอร์ด Zero นี้และเพิ่มฟีเจอร์ใหม่อีกหลายอย่าง

ราคาค่อนข้างแพงและจนตอนนี้ทาง Arduino ยังไม่ได้เปิดไฟล์ Eagle ออกมาเพื่อให้ผู้ผลิตอื่นๆ นำไปผลิตเองได้ ถ้าใครอยากเล่นก่อนคงต้องลงทุนสั่งของแท้กัน

ที่มา - Arduino

Tags:
Apple

Jan Soucek นักวิจัยจาก Ernst and Young รายงานช่องโหว่ใน Mail.app ที่เชื่อแท็ก <meta http-equiv=refresh> ทำให้สามารถเปิดเว็บจากเซิร์ฟเวอร์ภายนอกได้ด้วยอีเมลที่เป็น HTML

ด้วยแนวทางนี้ Soucek สร้างเว็บที่แสดงหน้าจอเหมือนหน้าจอล็อกอิน Apple ID เพื่อล่อให้ผู้ใช้ที่ได้รับอีเมลนึกว่าแอปเปิลกำลังขอรหัสผ่านเพื่อยืนยันตัวตนซ้ำ แล้วเก็บรหัสผ่านกลับไปยังเซิร์ฟเวอร์ ขณะที่แอพพลิเคชั่นเมลโดยทั่วไปจะไม่เชื่อแท็ก <meta http-equiv=refresh> ทำให้แสดงเป็นเมลธรรมดา

Soucek ระบุว่าเขารายงานบั๊กเรื่องนี้ไปตั้งแต่เดือนมกราคมที่ผ่านมา และจนตอนนี้แอปเปิลยังไม่แก้ไข จึงได้เปิดเผยช่องโหว่ออกมา

ที่มา - The Register

Tags:
Facebook

เฟซบุ๊กประกาศให้ร้านค้าขอรับ Facebook Bluetooth Beacons จุดปล่อยสัญญาณ Bluetooth เพื่อให้โทรศัพท์มือถือสามารถรับรู้ได้ว่าอยู่ในบริเวณร้านค้าใด

แนวทางของเฟซบุ๊กคือร้านค้าลงทะเบียนธุรกิจไว้กับเฟซบุ๊กและรับ Beaconsไปวางในร้าน เมื่อลูกค้าเข้าร้านและได้รับสัญญาณ แอพเฟซบุ๊กจะขึ้นข้อความแสดงว่ากำลังอยู่ในร้านอะไร ผู้ใช้จะสามารถเลือกดูภาพหรือโพสของเพื่อนๆ ที่เคยมาร้านนั้นได้ทันที

ทางเฟซบุ๊กยืนยันว่าตัว beacon ไม่ได้เก็บข้อมูลอะไร แต่จะแสดงตำแหน่งให้กับแอพในโทรศัพท์มือถือ (ซึ่งต้องเปิด Bluetooh เอาไว้) เพื่อให้แอพสามารถค้นหาได้ว่ากำลังอยู่ในตำแหน่งใดและแสดงข้อมูลขึ้นมาได้อย่างแม่นยำ

เฟซบุ๊กประกาศทดสอบ beacon เหล่านี้มาตั้งแต่เมื่อต้นปี พร้อมกับการเปิดตัว Place Tips

ที่มา - The Register

Tags:
Xen

คล้อยหลัง VMware ไปวันเดียว QEMU ซอฟต์แวร์สร้างเครื่องเสมือนก็มีช่องโหว่เปิดทางให้ซอฟต์แวร์มุ่งร้ายที่รันอยู่ในเครื่องเสมือนสามารถเจาะทะลุเครื่องแม่ออกมาได้

ช่องโหว่อยู่ในส่วนจำลองการ์ดเครือข่าย PCNET (QEMU สามารถจำลองการ์ดได้ 8 แบบ) ที่มีความผิดพลาดในส่วนการสำเนาข้อมูลเฟรมจากเครื่องเสมือนออกมายังเครื่องแม่ ทำให้แฮกเกอร์สามารถสร้างข้อมูลเฉพาะที่ทำให้เกิด heap overflow ความร้ายแรงที่สุดคือแฮกเกอร์เข้ายึดโปรเซส QEMU ที่รันบนเครื่องแม่ได้ทั้งหมด

Xen.org ออกมาเตือนช่องโหว่นี้แต่ก็ระบุว่าผลกระทบมีจำกัดเพราะโดยค่าเริ่มต้นแล้ว QEMU ไม่ได้ใช้ PCNET สำหรับเครือข่าย เท่าที่ผมใช้งาน คนทั่วไปมักใช้ virtio ผู้ดูแลระบบควรตรวจสอบซ้ำว่าเครื่องเสมือนของตัวเองกำลังจำลองเครือข่ายด้วยโมดูลใดอยู่

เครื่องที่รันแบบ paravirtualization, เครื่องที่รันโดยคอนฟิก device_model_stubdomain_override=1, และเครื่อง ARM ไม่ได้รับผลกระทบจากบั๊กนี้ แต่ QEMU ทั้งรุ่นมาตรฐานและ qemu-xen มีโอกาสที่จะมีช่องโหว่นี้ทั้งคู่

ช่องโหว่นี้คือ XSA-135 แต่ XSA-134 และ XSA-136 ยังอยู่ในช่วงปกปิดข้อมูล ช่องโหว่ก่อนหน้านี้ที่เปิดเผยมา คือ XSA-133 หรือ VENOM

ที่มา - Xen.org