Tags:
Node Thumbnail

บริษัท Intevydis เป็นบริษัทวิจัยช่องโหว่ของซอฟต์แวร์จากรัสเซีย ระบุว่าบริษัทกำลังเตรียมเผยแพร่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข้จำนวนมากภายในเดือนนี้เนื่องจากหมดความอดทนที่จะทำงานร่วมกับผู้ผลิตแล้ว

โดยปรกติแล้วหลักจริยธรรมของนักวิจัยด้านความปลอดภัยทั่วโลกจะให้โอกาสผู้ผลิตในการแก้ไขช่องโหว่ก่อนที่เปิดเผยข้อมูลเหล่านั้นสู่สาธารณะ ทำให้ช่องโหว่ที่ถูกโจมตีมักเป็นเพราะลูกค้าไม่ได้อัพเดตซอฟต์แวร์อย่างถูกต้อง

Evgeny Legerov ผู้ก่อตั้งบริษัท Intevydis ระบุว่าการรอผู้ผลิตแก้ไขนั้นเสียเวลามาก และผู้ผลิตไม่ได้ใส่ใจที่จะแก้ไขบั๊กที่ไม่ได้รับการเปิดเผยเหล่านี้ เช่น บั๊กของ RealPlayer ตัวหนึ่งที่บริษัทค้นพบตั้งแต่สองปีก่อน ยังไม่ได้รับการแก้ไขแม้จะมีการติดต่อแจ้งไปแล้ว

ซอฟต์แวร์ที่อยู่ในรายชื่อของ Intevydis มีดังนี้

  • เว็บเซิร์ฟเวอร์: Zeus Web Server, Sun Web Server
  • ฐานข้อมูล: MySQL, IBM DB2,Lotus Domino, Informix
  • ไดเรกทอรี: Novell eDirectory, Sun Directory, Tivoli Directory

เราๆ ท่านๆ อาจจะรออ่านด้วยใจจดจ่อ แต่งานนี้ผู้ดูแลระบบตามบริษัทอาจจะเครียดกันหนักทีเดียว

ที่มา - Krebs on Security

Get latest news from Blognone

Comments

By: meawwat
ContributoriPhoneAndroidSymbian
on 12 January 2010 - 08:36 #148595
meawwat's picture

Sun โดนทุกดอกเลยแฮะ

By: Thaina
Windows
on 12 January 2010 - 09:06 #148603 Reply to:148595

+1

แอบสะใจ

By: tomazzu
AndroidUbuntu
on 12 January 2010 - 08:39 #148596

แปลกแฮะ เพราะความจริงของฟรี นี่มักจะสุดยอด แท้ๆ

By: mokin
Contributor
on 12 January 2010 - 18:21 #148726 Reply to:148596
mokin's picture

ของฟรี นี่มักจะสุดยอด <- แต่ทำไมของขายถึงยังขายได้ล่ะถ้าเป็นแบบนั้น

By: Perl
ContributoriPhoneUbuntu
on 12 January 2010 - 08:42 #148598
Perl's picture

Zero Day โผล่เพียบละซิงานนี้
บริษัทไหน Security ไม่รัดกุมเพียงพอ เจาะยาวได้ไปถึง root ปุ๊ป เป็นเรื่อง..

By: Wizard.
iPhoneAndroidUbuntuWindows
on 12 January 2010 - 09:07 #148606
Wizard.'s picture

งานเข้า ๆ ๆ

By: animateex
iPhoneAndroidUbuntuWindows
on 12 January 2010 - 09:29 #148611
animateex's picture

RealPlayer ยังมีคนใช้อยู่อีกหรือนี้ .... นึกว่าไป Youtube กันหมดแล้ว

By: McKay
ContributorAndroidWindowsIn Love
on 12 January 2010 - 09:39 #148618 Reply to:148611
McKay's picture

บางคนลง Real ไว้แค่เพื่อโหลด video จาก youtube - -


In Soviet Warcraft, Argus comes to you.

By: winggundamth
ContributorAndroidUbuntuIn Love
on 12 January 2010 - 09:55 #148624
winggundamth's picture

หง่ะมี MySQL ด้วย ตัวหากินโผมมม


I will change the world, to the better day.

By: wklk
ContributorAndroid
on 12 January 2010 - 10:15 #148636

เฮือก... ทั้ง MySQL ทั้ง DB2 เลยวุ้ย =[]=

By: tekkasit
ContributorAndroidWindowsIn Love
on 12 January 2010 - 11:21 #148654
tekkasit's picture

เอ่อ ถ้าดูจากในลิสต์นี่ งานเข้ากันเยอะนะครับ ทั้ง IBM, Oracle, Sun, Novell

http://intevydis.com/vd-list.shtml

แต่อ่าน blog เค้าก็เขียนประชดนะ คือบริษัทใหญ่ๆบางรายเมล์มาขอรายละเอียด+code ตัวอย่างในการ exploit เค้าก็ให้ความเห็นว่า เราเป็นบริษัทเล็กๆ ทำบริการด้านนี้ คุณบริษัทใหญ่ๆขายของมีบั๊กเป็นล้านทั่วโลก จะมาขอข้อมูลที่เราลงแรงขุดขึ้นมาฟรีๆง่ายๆได้อย่างไร

By: kiwi88 on 12 January 2010 - 11:23 #148660 Reply to:148654

ถูกก :)

By: EThaiZone
ContributorAndroidUbuntuWindows
on 12 January 2010 - 12:26 #148671 Reply to:148654
EThaiZone's picture

เห็นด้วย ข้อมูลพวกนี้จริงๆ ควรซื้อเอา เพราะไม่ใช่งานง่ายๆ ขนาดตัวคนเขียนเองยังไม่รู้หลังบ้านตัวเองเลย ว่ามีอะไรบ้าง


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: mr_tawan
ContributoriPhoneAndroidWindows
on 12 January 2010 - 21:06 #148751 Reply to:148654
mr_tawan's picture

แสดงว่ากะจะใช้เป็นหนทางทำกินสินะครับเนี่ย

เหมือน Black Mail นิดหน่อยแฮะ ขู่ว่า ถ้าไม่รีบแก้บั๊กที่เราค้นพบ (ซึ่งเราไม่ให้ข้อมูลนะ ไปหาเอาเอง) เราจะปล่อยรายชื่อบั๊กออกมา (แล้วเราอาจจะปล่อยข้อมูลแนบออกไปด้วย หรือเปล่านะ ~) ถ้าคุณโดนเจาะเราก็ไม่รับรู้ ~


  • 9tawan.net บล็อกส่วนตัวฮับ
By: tekkasit
ContributorAndroidWindowsIn Love
on 13 January 2010 - 10:42 #148847 Reply to:148751
tekkasit's picture

ใช่ครับ เค้าทำ software สำหรับทดสอบ/เจาะระบบ โดยเฉพาะขายครับ

ผมคิดว่า เค้าคงคิดว่าจะทำอย่างไรให้คนรู้ว่าผลิตภัณฑ์ตัวเองมันเวิร์ก เลยเอาซอฟท์แวร์ชื่อดังในตลาดมาลองว่าเฮ้ย ทูลกระผมมันเจ๋งนะ เจอรูโหว่แบบเจ้าของมันยังไม่รู้ตัวเลย อะไรอย่างงี้อ่ะ

By: tomyum
ContributorAndroidWindows
on 12 January 2010 - 11:43 #148666
tomyum's picture

พูดง่ายๆ ขู่กรรโชก เพราะเบ่งกินฟรี ไม่ยอมแก้ไขบั๊ก แล้วยังไม่ยอมจ่ายเงินซื้อข้อมูลว่างั้น

By: Golffy
ContributoriPhoneIn Love
on 12 January 2010 - 12:26 #148672 Reply to:148666
Golffy's picture

+1 เหมือนอย่างกับจับตัวประกันไว้ ถ้าไม่จ่ายเงินมาจะยิงทิ้งให้หมด


@mamuang

By: -Rookies-
ContributorAndroidWindowsIn Love
on 12 January 2010 - 14:20 #148693 Reply to:148666

นั่นสิ อ่านคอมเมนต์หลังๆ รู้สึกเหมือนอารมณ์นี้เลย แต่มันก็ว่าไม่ได้นะ บางอันบอกมานานแล้วจริงๆ = =


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: HudchewMan
ContributorAndroidWindowsIn Love
on 12 January 2010 - 17:25 #148717
HudchewMan's picture

อืม… แอบมีปาดเหงื่อบ้างแฮะ
หวังว่าเว็บเล็กๆ นอกสายตา จะอยู่รอดปลอดภัยนะ เพี้ยง ^^'a


~ HudchewMan's Station & @HudchewMan~

By: exFictitiouZ
ContributorAndroid
on 12 January 2010 - 21:55 #148757

"การตรวจหาช่องโหว่" ก็คือการทดลองเจาะระบบ ไม่ใช่หรือครับ ถ้าเจาะได้ก็แสดงว่าโหว่อยู่
ถ้าเป็นเช่นนั้นแล้ว บริษัทนี้ที่ออกมาทำเช่นนี้ ก็เหมือนกับทิ้งบท "นักวิจัยช่องโหว่" มารับบท "แฮกเกอร์" แทนไม่ใช่หรือครับ ? มีการขู่ด้วยอะไรด้วย

แต่ผมเห็นด้วยนะ ฮา ๆ


twitter.com/exfictz