Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยตามรอบเดือนกันยายน โดยรอบนี้มีแพตช์ช่องโหว่ระดับวิกฤติ 23 รายการ, ระดับสำคัญ 105 รายการ, และระดับปานกลาง 1 รายการ ไม่มีช่องโหว่ใดมีการโจมตีก่อนปล่อยแพตช์

แต่ช่องโหว่หนึ่งที่น่าสนใจเป็นพิเศษคือ CVE-2020-16875 ที่เป็นช่องโหว่รันโค้ดระยะไกลของ Exchange Server โดยตอนแรกไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกโจมตีผ่านอีเมลจากภายนอกได้ ทำให้ความร้ายแรงสูงมาก แต่ภายหลังไมโครซอฟท์เปลี่ยนคำอธิบายช่องโหว่ระบุว่าต้องโจมตีโดยผู้ใช้ที่ล็อกอินแล้วเท่านั้น ทำให้ความร้ายแรงลดลงไปมาก

Tags:
Node Thumbnail

OpenSSL รายงานถึงช่องโหว่ CVE-2020-1968 หรือ Racoon Attack ที่เป็นช่องโหว่ของตัวมาตรฐานการเข้ารหัส TLS เอง ทำให้ไลบรารีที่ใช้กระบวนการแลกเปลี่ยนกุญแจแบบ Diffie-Hellman โดยใช้ค่าความลับแบบคงที่ (pre-master secret) ถูกดักฟังการสื่อสารที่เข้ารหัสไว้ได้ หากคนร้ายเก็บข้อมูลจากการเชื่อมต่อได้หลายๆ ครั้งและใช้ค่าความลับเดียวกันทั้งหมด

ช่องโหว่นี้ไม่กระทบ OpenSSL เวอร์ชั่น 1.1.1 ขึ้นไปเพราะได้ถอดกระบวนการเข้ารหัสที่เข้าข่ายไปทั้งหมดแล้ว ที่น่ากังวลคือ OpenSSL 1.0.2 ที่หมดซัพพอร์ตไปแล้วแต่ยังรองรับกระบวนการเข้ารหัสที่มีช่องโหว่เหล่านี้ พร้อมกับตั้งค่าเริ่มต้นไว้จนได้รับผลกระทบทั้งหมด และทาง OpenSSL จะปล่อยอัพเดต OpenSSL 1.0.2w ให้กับลูกค้าที่ซื้อซัพพอร์ตเท่านั้น

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยรอบเดือนสิงหาคม โดยรอบนี้มีช่องโหว่รวม 120 รายการ แต่จุดร้ายแรงเป็นพิเศษคือช่องโหว่ CVE-2020-1380 ของสคริปต์เอนจินของ Internet Explorer ที่มีช่องโหว่จนคนร้ายสามารถรันโค้ดใดๆ ในเครื่องของเหยื่อได้ เพียงแค่เหยื่อเปิดเว็บดู หรือส่งไฟล์ไปให้เปิดในเครื่องที่อาจจะเป็นไฟล์ HTML หรือ Office

Tags:
Node Thumbnail

เมื่อวานนี้หลังทางบริษัท Eclypsium ได้เปิดเผยช่องโหว่ของ GRUB2 ออกมาผู้ผลิตระบบปฎิบัติการก็ออกแพตช์กันตามนัดหมาาย แต่ปรากฎว่าผู้ใช้ RHEL 8.2 จำนวนหนึ่งกลับพบว่าแพตช์ทำให้เครื่องบูตไม่ขึ้น

ผู้ใช้จำนวนหนึ่งระบุว่าทางออกคือปิด Secure Boot ไปก่อน สำหรับผู้ใช้บางส่วนระบุว่าต้อง downgrade แพ็กเกจ shim-x64 และ grub2

ระหว่างนี้ใครใช้ RHEL 8.2 ควรระวังการแพตช์แพ็กเกจที่เกี่ยวข้อง หากติดตั้งไปแล้วและพบปัญหาให้ติดต่อซัพพอร์ตของทาง Red Hat

ที่มา - Red Hat

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ประจำเดือนกรกฎาคมโดยแยกประกาศพิเศษให้กับช่องโหว่ CVE-2020-1350 กระทบตั้งแต่ Windows Server 2003 มาจนถึง Windows Server 2019 เปิดทางให้แฮกเกอร์ยิงคิวรี DNS ที่สร้างเฉพาะขึ้นมารันโค้ดบนเซิร์ฟเวอร์เหยื่อได้ โดยระบุว่าแฮกเกอร์อาจโจมตีได้ง่าย คะแนนความร้ายแรงตาม CVSSv3 เป็น 10.0

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ความปลอดภัยพิเศษ นอกรอบ Patch Tuesday ตามปกติ อุดช่องโหว่ระดับวิกฤต (critical) และระดับสำคัญ (important) อย่างละหนึ่งตัวของ Windows 10 (ย้อนไปตั้งแต่ v1709) และ Windows Server 2019

ช่องโหว่ทั้งสองตัวอยู่ในส่วน Windows Codecs Library ซึ่งเกี่ยวข้องกับหน่วยความจำ หากผู้ใช้รันไฟล์มีเดียที่มีช่องโหว่ และแอพพลิเคชันที่เปิดไฟล์เรียกใช้ Windows Codecs Library ก็อาจได้รับผลกระทบได้

หมายเลขของช่องโหว่รอบนี้คือ CVE-2020-1425 และ CVE-2020-1457 สามารถอัพเดตกันได้ผ่าน Windows Update ตามปกติ

Tags:
Node Thumbnail

ซัมซงออกอัพเดตเฟิร์มแวร์รอบเดือนกรกฎาคม 2020 ให้กับ Galaxy S20, S20+, 20 Ultra โดยรวมแพตช์ความปลอดภัย Android ประจำเดือนกรกฎาคมมาให้เรียบร้อยแล้ว รวมถึงการปรับปรุงซอฟต์แวร์กล้อง และเพิ่มฟีเจอร์ให้แอพ Voice Recorder รองรับไมโครโฟนแบบ Bluetooth

ช่วงหลัง ซัมซุงปรับปรุงเรื่องการอัพเดตซอฟต์แวร์ประจำเดือนที่ทำได้เร็วขึ้นมาก (แถมซัพพอร์ตยาวนานขึ้นด้วย) และมีบางเดือนที่สามารถออกแพตช์ความปลอดภัย Android ได้ก่อน Google Pixel ด้วยซ้ำ

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนมิถุนายนตามรอบ Patch Tuesday โดยรอบนี้มีความพิเศษสักหน่อยคือช่องโหว่รันโค้ดระยะไกล (remote code execution - RCE) ที่เป็นช่องโหว่ร้ายแรงระดับวิกฤตินั้นมากถึง 11 รายการ กระทบตัววินโดวส์เอง อย่าง File Explorer, เซิร์ฟเวอร์ SharePoint, เบราว์เซอร์ Edge ในส่วนของ ChakraCore, และ Internet Explorer ส่วน VBScript

แม้จะมีช่องโหว่ร้ายแรงสูงจำนวนมาก แต่ช่องโหว่ในกลุ่มนี้ก็ยังไม่มีรายละเอียดออกมาสู่สาธารณะและไม่มีรายงานการโจมตีจริง โดยมีช่องโหว่ระดับสำคัญรองลงมามีรายงานออกมาจาก ZDI ก่อนหน้านี้เพราะเกินกำหนดการปิดบังช่องโหว่

Tags:
Node Thumbnail

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนพฤษภาคม 2020 อัพเดตแพตช์ชุดใหญ่ให้ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET, Power BI รวมอุดช่องโหว่ทั้งหมด 111 ตัว

แพตช์สำคัญในเดือนนี้คืออุดช่องโหว่ไดรเวอร์ของเคอร์เนล (Win32k), Windows Graphics Component, Microsoft Color Management, Windows Media Foundation จึงส่งผลต่อ Windows แทบทุกรุ่น อย่างไรก็ตาม ช่องโหว่ประจำเดือนนี้ยังไม่มีรายงานว่าถูกใช้โจมตีโดยแฮ็กเกอร์ เหมือนที่เกิดขึ้นในเดือนที่แล้ว

Tags:
Node Thumbnail

SaltStack เฟรมเวิร์คจัดการโครงสร้างพื้นฐานไอที แจ้งเตือนช่องโหว่ CVE-2020-11651 และ CVE-2020-11652 ที่ฟังก์ชั่นตรวจสอบอินพุตไม่ครบถ้วน ทำให้แฮกเกอร์ยิงโค้ดจากระยะไกลเข้าไปรันบนเซิร์ฟเวอร์ได้ โดยช่องโหว่ CVE-2020-11651 นั้นไม่จำเป็นต้องเป็นผู้ใช้ที่ล็อกอินล่วงหน้า ทำให้เซิร์ฟเวอร์จำนวนมากตกอยู่ในความเสี่ยงทันที ตอนนี้มีหน่วยงานหลายหน่วยงานรายงานว่าถูกโจมตีแล้ว ได้แก่ DigiCert หน่วยงานออกใบรับรองเข้ารหัส, Ghost แอปเขียนบล็อก, และ LineageOS ผู้พัฒนาระบบปฎิบัติการแอนดรอยด์อิสระ

Tags:
Node Thumbnail

ภาระการอัพเดตแพตช์ความปลอดภัยของ OS เป็นเรื่องน่าปวดหัวของแอดมินทุกสมัย แม้ย้ายขึ้นมาบนคลาวด์แล้วก็ตาม ล่าสุด Google Cloud เปิดตัวบริการอัพเดตแพตช์ของ OS ใน VM ให้อัตโนมัติ ใช้ได้ทั้ง VM ที่เป็นวินโดวส์และลินุกซ์

ฟีเจอร์นี้มีชื่อเรียกว่า OS patch management service ตอนนี้ใช้ได้กับ Google Compute Engine โดยแอดมินจะเห็นหน้าแดชบอร์ดรายงานสถานะแพตช์ความปลอดภัยของ VM ทั้งหมด และสามารถตั้งค่าการอัพเดตแตช์อัตโนมัติได้ กำหนดเวลาล่วงหน้าได้ด้วย

กูเกิลเปิดให้ใช้ฟีเจอร์นี้ฟรีจนถึงสิ้นปี 2020

ที่มา - Google

Tags:
Node Thumbnail

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนเมษายน 2020 ให้กับผลิตภัณ์ในเครือชุดใหญ่ ทั้ง Windows, Edge (เก่า+ใหม่), Office, Visual Studio, Dynamics ฯลฯ เพื่ออุดช่องโหว่จำนวนทั้งหมด 113 ช่องโหว่

ในจำนวนนี้มีช่องโหว่ระดับร้ายแรง (critical) จำนวน 15 ช่องโหว่ มีช่องโหว่แบบ zero-day จำนวน 4 ตัว โดย 2 ตัวถูกใช้โจมตีแล้ว ต้นเหตุสำคัญมาจากไลบรารี Adobe Font Manager ที่ฝังอยู่ใน Windows ทุกรุ่น

ไมโครซอฟท์เตือนว่าการโจมตีผ่านช่องโหว่ Adobe Font Manager Library ในระบบปฏิบัติการ Windows รุ่นเก่าๆ (ทุกตัวยกเว้น Windows 10) แฮ็กเกอร์สามารถเข้ามารันโค้ดในเครื่องของเราได้ ในกรณีที่ที่เป็น Windows 10 แฮ็กเกอร์เจาะเข้ามาได้แต่จะรันโค้ดได้ใน sandbox เท่านั้น

Tags:
Node Thumbnail

โครงการแอนดรอยด์ออกแพตช์ความปลอดภัยรอบเดือนกุมภาพันธ์ โดยช่องโหว่ชุดที่ร้ายแรงที่สุดได้แก่ CVE-2020-2022 ที่เป็นช่องโหว่รันโค้ดระยะไกลที่คนร้ายยิงโค้ดเข้ามารันในเครื่องได้เมื่อเครื่องของเหยื่อเปิด Bluetooth โดยยืนยันว่ากระทบแอนดรอยด์ 8.0 ถึง 9.0 ส่วนเวอร์ชั่น 10 นั้นทำให้โมดูล Bluetooth แครชเท่านั้น ไม่ได้เปิดทางให้รันโค้ดแต่อย่างใด

ช่องโหว่นี้รายงานโดยบริษัท EMRW บริษัทด้านความมั่นคงปลอดภัยไซเบอร์จากเยอรมัน

หากยังไม่ได้รับแพตช์ ผู้ใช้มีทางลดความเสี่ยงคือปิด Bluetooth เมื่อไม่ได้ใช้งาน โดยช่องโหว่นี้จะเจาะได้เฉพาะช่วงเวลาที่ Bluetooth อยู่ในโหมด discoverable หรือช่วงเวลาสแกนเพื่อเชื่อมต่ออุปกรณ์ใหม่เท่านั้น อย่างไรก็ดีโทรศัพท์บางรุ่นเปิดโหมด discoverable ไว้ตลอดเวลา

Tags:
Node Thumbnail

ซิสโก้ออกแพตช์ความปลอดภัยสำหรับอุปกรณ์ของตัวเองชุดใหญ่ กระทบตั้งแต่อุปกรณ์เน็ตเวิร์คอย่างสวิตช์และเราท์เตอร์ ไปจนถึงอุปกรณ์ไคลเอนต์อย่างไอพีโฟน โดยความร้ายแรงของช่องโหว่นี้เปิดทางให้แฮกเกอร์เข้าไปรันโค้ดบนอุปกรณ์ได้

ช่องโหว่เกิดจากโค้ดส่วน Cisco Discovery Protocol (CDP) ที่อุปกรณ์ซิสโก้จะประกาศตัวว่าอยู่บนเน็ตเวิร์ค ทำให้อุปกรณ์ตัวอื่นๆ มองเห็นอุปกรณ์ข้างเคียง การอิมพลีเมนต์ที่ผิดพลาดทำให้แฮกเกอร์สามารถสร้างแพ็กเก็ต CDP มุ่งร้ายเพื่อเจาะระบบ

Tags:
Node Thumbnail

NSA แจ้งเตือนถึงแพตช์ช่องโหว่ CVE-2020-0601 กระทบ Windows 10, Windows Server 2016, และ Windows Server 2019 ที่เป็นความผิดพลาดของฟังก์ชั่นเข้ารหัสลับ ส่งผลให้แฮกเกอร์สามารถปลอมตัวในการเชื่อมต่อ HTTPS, การส่งเมลเข้ารหัส, และการเซ็นโค้ดจากผู้ผลิต

ผลกระทบช่องโหว่นี้มีตั้งแต่ เว็บเซิร์ฟเวอร์หรือพรอกซี่ที่เข้ารหัส, การเชื่อมต่อระหว่าง Domain Controller, การส่งโค้ดอัพเดต, การเชื่อมต่อ VPN

ช่องโหว่นี้เป็นช่องโหว่ในกระบวนการ Elliptic Curve เท่านั้นทาง NSA แนะนำถึงการตรวจสอบการโจมตีว่าหากมีการใช้พารามิเตอร์การเข้ารหัส ไม่ตรงกับ curve ที่ประกาศไว้ ก็น่าสงสัยว่าจะเป็นการโจมตี

ตอนนี้แพตช์ออกมาแล้ว และทุกคนควรติดตั้งโดยเร็ว

Tags:
Node Thumbnail

Mozilla ประกาศออกรุ่นย่อย Firefox 72.0.1 และรุ่น ESR 68.4.1 หลังได้รับรายงานช่องโหว่ CVE-2019-17026 จากทีมงาน Qihoo 360 และพบว่ามีการโจมตีช่องโหว่นี้แล้ว โดยเป็นการโจมตีอย่างเจาะจง

รายละเอียดช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ แต่ทาง Mozilla ก็ระบุว่าเป็นช่องโหว่ของ IonMonkey JIT ที่เปิดทางให้โจมตีแบบ type confusion ได้ โดยช่องโหว่มีผลกระทบระดับวิกฤติ

Firefox 72 เพิ่งออกมาวันเดียวเท่านั้น หากใครกำลังอัพเดตก็ควรอัพเดตไปตัวล่าสุดเลยทีเดียว

ที่มา - Firefox

Tags:
Node Thumbnail

ที่ผ่านมาซัมซุงขึ้นชื่อเรื่องความช้าในการอัพเดตมาตลอด แม้ระยะหลังจะรวดเร็วขึ้นก็ตาม แต่ก็ยังถือว่าช้ากว่าหลาย ๆ เจ้า และล่าสุดดูเหมือนสัญญาณเรื่องความเร็วในการอัพเดตจะดีขึ้น เมื่อซัมซุงก็ส่งแพตช์รักษาความปลอดภัยเดือนมกราคม ให้ Galaxy Note 10 ในเยอรมันได้อัพเดตแล้ว ซึ่งปล่อยก่อน Google จะอัพเดตให้ Pixel (ตามปกติมักเป็นวันที่ 5 ของเดือน) ด้วยซ้ำ

นอกจาก Galaxy Note 10 สมาร์ทโฟน Galaxy A10, A10s, A20, A30, A50 รวมทั้งแท็บเล็ต Galaxy Tab S5e ก็ได้อัพเดตนี้เช่นกัน แต่แพตช์นี้มีแค่อัพเดตการรักษาความปลอดภัยเท่านั้น ไม่มีฟีเจอร์ใหม่เพิ่มเข้ามา โดยจะมีแจ้งเตือนให้อัพเดตแบบ OTA หรือเช็คว่าได้อัพเดตหรือยังที่ Settings > Software update ก็ได้

ที่มา: SamMobile via Android Police

Tags:
Node Thumbnail

เดือนที่แล้วเกิดปัญหาผู้ใช้ Pixel 3 หลายคนยังไม่ได้รับอัพเดตแพทช์รักษาความปลอดภัยเดือนธันวาคม 2019 จากกูเกิล จึงมีผู้ใช้ทวีตถามถึงแพทช์ดังกล่าว นอกจากนี้ในทวีตดังกล่าวก็มีผู้ใช้ Pixel 4 ยังไม่ได้อัพเดตแพทช์รักษาความปลอดภัยตั้งแต่เดือนพฤศจิกายน 2019 อีกหลายคนด้วย

ทางกูเกิลได้ตอบว่าแพทช์รักษาความปลอดภัยของเดือนธันวาคม 2019 จะอัพเดตให้พร้อมกับแพทช์รักษาความปลอดภัยเดือนมกราคม 2020 เร็ว ๆ นี้ (ตามปกติคือราววันที่ 5 ของแต่ละเดือน) แต่ยังไม่ทราบรายละเอียดว่ามีอัพเดตเรื่องใดบ้าง

ที่มา: 9to5Google

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์รายเดือนประจำเดือนธันวาคม โดยรวมมีช่องโหว่ได้รับการแก้ไข 36 รายการ เป็นช่องโหว่ระดับวิกฤติ 7 รายการ ระดับสำคัญ 27 รายการ

ช่องโหว่ที่สำคัญในรอบนี้คือ CVE-2019-1458 ช่องโหว่ยกระดับสิทธิ์ เปิดทางให้แฮกเกอร์ล็อกอินอยู่บนเครื่องแล้วสามารถรันโค้ดในเคอร์เนลได้ ช่องโหว่นี้เป็นหนึ่งในช่องโหว่ที่คนร้ายใช้โจมตี Chrome 78 เมื่อเดือนตุลาคมที่ผ่านมา จนทำให้ทีมงาน Chrome ปล่อยแพตช์นอกรอบเป็นกรณีพิเศษ

แม้ว่า Chrome จะแพตช์ไปแล้ว แต่ช่องโหว่ฝั่งวินโดวส์ก็ควรอุดช่องโหว่ให้เรียบร้อยก่อนที่จะมีแฮกเกอร์นำช่องโหว่นี้ไปใช้อีก

Tags:
Node Thumbnail

อินเทลออกแพตช์เฟิร์มแวร์ซีพียู หลังนักวิจัยรายงานถึงการโจมตี Plundervolt ที่สามารถอ่านข้อมูลออกจากส่วน Software Guard Extensions (SGX) ได้สำเร็จ

SGX เป็นแยกการทำงานของโค้ดออกจากซีพียูปกติ ทำให้เราสามารถรักษาความปลอดภัยข้อมูลภายในแม้คนร้ายจะถือสิทธิ์ root ของระบบปฎิบัติการหลักก็ตาม การป้องกันนี้มีประโยชน์สำหรับข้อมูลชั้นความลับลึกมากๆ เช่น กุญแจเข้ารหัสเว็บ

ทีมวิจัยอาศัยการปรับความต่างศักย์ของไฟที่จ่ายเข้าซีพียู โดยเมื่อปรับลดความต่างศักย์ลงถึงค่าหนึ่งซีพียูจะเริ่มทำงานผิดพลาดในบางคำสั่ง เช่น คำสั่งคูณเลขที่ใช้พลังงานสูง นักวิจัยอาศัยการคำนวณตำแหน่งหน่วยความจำของโค้ดใน SGX ให้ผิดพลาดจนไปเขียนข้อมูลลงหน่วยความจำที่แฮกเกอร์ควบคุมไว้แทน

Tags:
Node Thumbnail

Stefan Viehböck นักวิจัยจากบริษัท SEC Consult รายงานถึงช่อโหว่ของซอฟต์แวร์รักษาความปลอดภัยของบริษัท Fortinet ที่เชื่อมต่อกับเซิร์ฟเวอร์ guard.fortinet.com เพื่อตรวจสอบข้อมูล เช่น URL มุ่งร้ายในบริการ Web Filter, ตรวจอีเมลสแปม, หรือดาวน์โหลดข้อมูลสำหรับการป้องกันไวรัส

การเชื่อมต่อใช้ UDP พอร์ต 53/8888 และ TCP พอร์ต 80 โดยกระบวนการเชื่อมต่อไม่ได้เข้ารหัส แต่ข้อความภายในมีการเข้ารหัสด้วยกุญแจเข้ารหัสที่ hard code แล้วเข้ารหัสโดยนำกุญแจมา XOR กับข้อความ นับเป็นกระบวนการเข้ารหัสที่อ่อนแอ

Tags:
Node Thumbnail

OnePlus จะปล่อยแพทช์รักษาความปลอดภัยเวอร์ชั่นสุดท้ายให้กับสมาร์ทโฟน OnePlus 3, 3T หลังจากเปิดตัวมาเมื่อปี 2016 ที่ผ่านมา อิงตามนโยบายการปรับปรุงซอฟท์แวร์ของทางบริษัท สมาร์ทโฟนของ OnePlus ทุกเครื่องจะได้การอัพเดตซอฟท์แวร์เวอร์ชั่นใหม่ต่อเนื่อง 2 ปี จากนั้นเป็นแพทช์รักษาความปลอดภัยอีก 1 ปี ก่อนที่ทางบริษัทจะหยุดการสนับสนุนลง

โดยแพทช์รักษาความปลอดภัยของเดือนตุลาคม 2019 นี้จะแบ่งเป็นการอัพเดตแอพ GMS ในเครื่อง, แก้ไขบั๊กและเพิ่มประสิทธิภาพให้มือถือด้วย โดยจะอัพเดตแบบ OTA ให้กับผู้ใช้บางส่วนเพื่อทดสอบว่าพบปัญหาระหว่างใช้งานหรือไม่ ก่อนจะปล่อยให้เจ้าของเครื่อง OnePlus 3, 3T ทุกคนในภายหลัง

ที่มา: OnePlus via XDA-Developers

Tags:
Node Thumbnail

กูเกิลปล่อยอัพเดต Chrome 78.0.3904.87 แก้ไขช่องโหว่ระดับความร้ายแรงสูง 2 รายการได้แก่

  • CVE-2019-13721: ช่องโหว่การใช้หน่วยความจำใน PDFium รายงานโดย banananapenguin ตั้งแต่วันที่ 12 ตุลาคมที่ผ่านมา
  • CVE-2019-13720: ช่องโหว่การใช้หน่วยความจำในระบบประมวลเสียง รายงานโดยทีมวิจัย Kaspersky Labs เมื่อวันที่ 29 ตุลาคมที่ผ่านมา

ช่องโหว่ CVE-2019-13720 นั้นถูกโจมตีจริงแล้ว อย่างไรก็ดีกูเกิลจะปิดรายละเอียดช่องโหว่ทั้งสองไว้จนกว่าคนส่วนใหญ่จะได้รับแพตช์ โดย Chrome 78 เองก็เพิ่งปล่อยรุ่นเสถียรไปเมื่อสัปดาห์ที่แล้วเท่านั้น

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ด่วนหลังได้รับแจ้งการโจมตีช่องโหว่ Internet Explorer (IE) จาก Google Threat Analysis Group โดยเป็นแพตช์รันโค้ดบนเครื่องผู้ใช้ในระดับสิทธิ์เดียวกับผู้ใช้ที่รันเบราว์เซอร์อยู่ ซึ่งหากผู้ใช้รัน IE ด้วยสิทธิ์ผู้ดูแลระบบก็จะเท่ากับคนร้ายยึดเครื่องได้เต็มรูปแบบ

ช่องโหว่ CVE-2019-1367 นี้เกิดจากความผิดพลาดในการจัดการออปเจกต์ในหน่วยความจำของ IE กระทบตั้งแต่ IE 9 ถึง IE 11 ทำให้แฮกเกอร์เพียงหลอกลวงผู้ใช้ให้เข้าเว็บก็สามารถรันโค้ดได้

นอกจากการอัพเดตตรงๆ ไมโครซอฟท์ยังแนะนำทางแก้ปัญหาชั่วคราวด้วยการจำกัดการเข้าถึงไฟล์ jscript.dll แต่อาจจะกระทบต่อการใช้งาน และไมโครซอฟท์แนะนำให้ติดตั้งแพตช์โดยตรงจะดีที่สุด

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนกรกฎาคม ตามกำหนดวันอังคารที่สองของเดือน โดยรอบนี้มีแพตช์อุดช่องโหว่ระดับวิกฤติ 14 รายการ, ระดับสำคัญ 62 รายการ และปานกลาง 1 รายการ อย่างไรก็ดีมีช่องโหว่ที่มีข้อมูลหลุดสู่สาธารณะก่อนแพตช์ 6 รายการ และมีช่องโหว่ที่ถูกโจมตีไปแล้ว 2 รายการ

ช่องโหว่ที่ถูกโจมตีแล้วทั้งสองรายการเป็นช่องโหว่ ยกระดับสิทธิ์ (privilege escalation) ช่องโหว่หนึ่งทำให้แฮกเกอร์ที่รันซฮฟต์แวร์บนเครื่องได้สามารถยกระดับสิทธิ์ของโปรแกรมไปทำงานในโหมดเคอร์เนลได้ ขณะที่ช่องโหว่ระดับวิกฤติเป็นกลุ่มรันโค้ดระยะไกล (remote code execution) ทั้งหมด

Pages