Tags:
Node Thumbnail

เมื่อคืนนี้ ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday รอบเดือนพฤศจิกายน 2022 มีแพตช์สำคัญ 4 ตัวของ Windows และ 2 ตัวของ Exchange Server ที่ควรอัพเดตกันด่วน เนื่องจากพบการโจมตีช่องโหว่เหล่านี้แล้ว

ช่องโหว่ 4 ตัวของ Windows กระจายกันไปหลายด้าน เช่น Windows Scripting Languages, Web Security, Print Spooler, CNG Key Isolation กระทบกับ Windows ทุกเวอร์ชัน (ที่ยังอยู่ในระยะซัพพอร์ตคือ 10, 11 และ Windows Server 2016, 2019, 2022) ส่วนช่องโหว่ของ Microsoft Exchange กระทบตั้งแต่เวอร์ชัน 2013, 2016, 2019

ช่องโหว่ทั้งหมดของรอบนี้มี 68 ตัว ครอบคลุมผลิตภัณฑ์หลากหลาย เช่น .NET, Azure, Dynamics, Office, Visual Studio รวมถึงเคอร์เนลลินุกซ์ที่ใช้ใน WSL2 ด้วย

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday ประจำรอบเดือนสิงหาคม 2022 มีช่องโหว่ความปลอดภัยสำคัญคือ CVE-2022-34713 ที่มีชื่อเล่นว่า DogWalk ความร้ายแรงระดับสูง (high severity) และพบการใช้โจมตีจริงแล้ว

ช่องโหว่นี้เกี่ยวกับเครื่องมือ Windows Support Diagnostic Tool (MSDT) ที่ไมโครซอฟท์ใช้ซัพพอร์ตลูกค้า โดยผู้โจมตีสามารถรันโค้ดในระบบปฏิบัติการได้ โดยต้องอาศัยการส่งไฟล์หลอกให้ผู้ใช้กดก่อนผ่านเทคนิค phishing แบบต่างๆ เช่น อีเมลหรือส่งลิงก์

Windows รุ่นที่ได้รับผลกระทบมีตั้งแต่ 7, 8.1, 10, 11, Server 2008 R2, 2012, 2012 R2, 2016, 2019, 2022 เรียกว่าโดนครบถ้วนหน้าเสมอภาคกัน

Tags:
Node Thumbnail

ไมโครซอฟท์ออกอัพเดตประจำเดือนมิถุนายน 2022 มีรายการสำคัญคือการแก้ไขช่องโหว่ความปลอดภัย CVE-2022-30190 ที่เรียกว่า Follina อาศัยช่องโหว่ใน MSDT ฝังมาในเอกสาร Word ที่มีรายงานเมื่อเดือนที่แล้ว มีการโจมตีแล้ว แต่ยังไม่มีแพตช์

อัพเดตที่แก้ไขช่องโหว่นี้ครอบคลุมทั้ง Windows 10 (KB5014699) และ Windows 11 (KB5014697) โดยไมโครซอฟท์แนะนำให้ลูกค้าอัพเดตทันทีเพื่อป้องกันปัญหาที่อาจเกิดขึ้น

ที่มา: The Verge

Tags:
Node Thumbnail

Lenovo ออกอัพเดตเฟิร์มแวร์ UEFI/BIOS ให้กับโน้ตบุ๊กสายคอนซูเมอร์จำนวนมากกว่า 100 รุ่นย่อย หลังพบช่องโหว่ความปลอดภัย

ช่องโหว่นี้ถูกค้นพบโดยบริษัทความปลอดภัย ESET มีด้วยกันทั้งหมด 3 ตัว โดย 2 ตัวแรกเป็นช่องทางพิเศษที่ใช้สำหรับตอนผลิตโน้ตบุ๊ก แต่กลับไม่ได้ถูกปิดในเฟิร์มแวร์เวอร์ชันใช้งานจริง และอาจถูกแฮ็กเกอร์ใช้เป็นช่องทางฝั่งมัลแวร์ในเฟิร์มแวร์ได้

ESET ค้นพบช่องโหว่นี้และแจ้งไปยัง Lenovo ตั้งแต่เดือนตุลาคม 2021 และทั้งสองบริษัทประกาศข้อมูลช่องโหว่ต่อสาธารณะในสัปดาห์ที่ผ่านมา

Tags:
Node Thumbnail

ออราเคิลปล่อยอัพเดตตามรอบปกติเดือนเมษายน มีการแก้ไขช่องโหว่ในซอฟต์แวร์จำนวนมากนับร้อยรายการ แต่ช่องโหว่หนึ่งที่กระทบคนจำนวนมากและค่อนข้างร้ายแรง คือ CVE-2022-21449 เป็นบั๊กการตรวจสอบลายเซ็นดิจิทัลแบบ EDSDA ทำให้คนร้ายสามารถปลอมลายเซ็นและเซิร์ฟเวอร์ตรวจสอบไม่ได้

กระบวนการเซ็นลายเซ็นดิจิทัลแบบ ECDSA ได้รับความนิยมสูงมากในช่วงหลังเพราะมีขนาดลายเซ็นเล็ก มีการใช้งานเป็นวงกว้าง เช่น JWT สำหรับการล็อกอินเว็บ, SAML/OIDC สำหรับการล็อกอินแบบ single sign-on, และ WebAuthn สำหรับการล็อกอินแบบหลายขั้นตอนหรือการล็อกอินแบบไร้รหัสผ่าน หากเว็บใดใช้การล็อกอินเพื่อตรวจสอบลายเซ็นเช่นนี้ก็เสี่ยงจะถูกแฮกเกอร์ปลอมตัวเป็นผู้ใช้สิทธิ์ระดับสูงได้

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ความปลอดภัยของเดือนเมษายน 2022 หรือ Patch Tuesday แก้ไขช่องโหว่ทั้งหมด 128 รายการ โดยมีผลิตภัณฑ์ที่ได้รับผลกระทบครอบคลุมทั้ง Windows, Office, Dynamics, Edge, Hyper-V, File Server, Skype for Business และ Windows SMB มี 10 รายการที่ระบุว่าเป็นช่องโหว่ระดับร้ายแรง (Critical)

มีช่องโหว่ 2 รายการที่เป็นช่องโหว่ Zero-Day ซึ่งได้รับการแก้ไขแล้ว คือ CVE-2022-26904 และ CVE-2022-24521 ที่เป็นช่องโหว่ของ EoP ใน Windows User Profile Service และ Windows Common Log File System Driver

Tags:
Node Thumbnail

VMware ออกรายงานเกี่ยวกับช่องโหว่ Spring4Shell ของผลิตภัณฑ์ในกลุ่ม Tanzu โดยทางบริษัทยืนยันว่ามีผลิตภัณฑ์ได้รับผลกระทบจริง

สำหรับผลิตภัณฑ์ในกลุ่ม Tanzu ที่ได้รับผลกระทบคือ VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager และ VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) ซึ่งทางบริษัทยืนยันว่าถ้าสามารถเข้าถึงผลิตภัณฑ์ที่ได้รับผลกระทบของ VMware ก็สามารถเข้าควบคุมระบบเป้าหมายได้

ช่องโหว่ Spring4Shell (CVE-2022-22965) เป็นช่องโหว่บน Spring Framework ซึ่งเป็นเฟรมเวิร์คยอดนิยมของ Java ที่ยึดเครื่องได้โดยการเปิดทางผ่าาน HTTP request โดยช่องโหว่นี้กำหนดความร้ายแรงไว้ที่ 9.8

Tags:
Node Thumbnail

Spring Framework ออกแพตช์เวอร์ชั่น 5.3.18 และ 5.2.20 เป็นแพตช์ฉุกเฉินหลังเมื่อวานนี้มีโค้ดตัวอย่างสำหรับโจมตีเซิร์ฟเวอร์ที่รันเฟรมเวิร์คหลุดออกมา เปิดทางให้แฮกเกอร์สามารถรันโค้ดบนเครื่องของเหยื่อได้

ช่องโหว่ CVE-2022-22965 หรือ Spring4Shell อาศัยกระบวนการ RequestMapping ที่แปลงสตริงเป็นออปเจกต์ คนร้ายสามารถส่ง HTTP request ที่กระตุ้นให้เซิร์ฟเวอร์ Tomcat ที่รันแอป Spring อยู่รัน webshell เปิดทางให้แฮกเกอร์เข้ายึดเครื่องได้

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ฉุกเฉินรอบพิเศษ Out-of-band (OOB) เพื่อแก้บั๊กที่เกิดจาก Patch Tuesday รอบเดือนมกราคม 2022

แพตช์ตัวนี้ครอบคลุม Windows 7 SP1/10/11 โดยแก้ปัญหาการเชื่อมต่อ VPN และ Windows Server 2008 SP2/2016/2022 แก้ปัญหาบูตลูปของ Windows Server Domain Controllers, ระบบไฟล์ ReFS และการทำงานของ Virtual Machine

ผู้ใช้สามารถดาวน์โหลดแพตช์ผ่าน Microsoft Update Catalog หรือถ้าเป็น Windows Update สามารถเลือกได้แบบ optional update

ที่มา - Microsoft

Tags:
Node Thumbnail

ไมโครซอฟท์ระงับการปล่อยแพตช์ Patch Tuesday รอบเดือนมกราคม 2022 กับ Windows Server หลังพบบั๊กร้ายแรงหลายตัว

Windows Server ที่ได้รับผลกระทบคือ Windows Server 2012 R2, Windows Server 2019, Windows Server 2022 ที่มีบั๊กแตกต่างกันไป อาการมีตั้งแต่ เซิร์ฟเวอร์จัดการโดเมน boot loop, Hyper-V พัง และระบบไฟล์ ReFS ใช้งานไม่ได้

สถานการณ์ล่าสุดตอนนี้คือไมโครซอฟท์หยุดปล่อยแพตช์ของ Windows Server ชั่วคราว ส่วนแพตช์ของระบบปฏิบัติการอื่นๆ ยังปล่อยตามปกติ

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ตามรอบปกติเดือนมกราคม รวม 97 รายการ มีช่องโหว่ระดับวิกฤติ 9 รายการ ส่วนใหญ่เป็นช่องโหว่รันโค้ดระยะไกลใน Exchange Server, Office, Codec, และ Curl

ในบรรดาช่องโหว่ทั้งหมด ไมโครซอฟท์แนะนำให้จัดลำดับการแพตช์ช่องโหว่ CVE-2022-21907 ของ HTTP Stack ขึ้นมาเป็นพิเศษ เพราะช่องโหว่นี้เปิดทางให้แฮกเกอร์รันโค้ดผ่านเน็ตเวิร์คได้โดยไม่ต้องล็อกอิน อย่างไรก็ตามคอนฟิกเริ่มต้นไม่ได้รับผลกระทบจากช่องโหว่นี้ ผู้ใช้ต้องเปิดฟีเจอร์ HTTP Trailer Support จึงกระทบ

ในบรรดาช่องโหว่ 97 รายการ มีช่องโหว่ที่ถูกเปิดเผยข้อมูลแล้ว 6 รายการ ยังไม่พบการโจมตีช่องโหว่ใดๆ

Tags:
Node Thumbnail

เมื่อวานนี้ ไมโครซอฟท์ออก Patch Tuesday รอบเดือนธันวาคม 2021 อุดช่องโหว่ของซอฟต์แวร์หลายตัว เช่น Microsoft Edge, VS Code, Office, PowerShell, Windows Server รวมช่องโหว่ทั้งหมด 67 ตัว

ช่องโหว่สำคัญในแพตช์รอบนี้มีทั้งหมด 6 ตัว และมีช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว 1 ตัว เกี่ยวกับตัวติดตั้งแพ็กเกจ Windows AppX ที่ใช้แพ็กเกจมาทะลุช่องโหว่นี้เพื่อติดตั้งมัลแวร์ลงในเครื่อง

Tags:
Node Thumbnail

Amazon ประกาศนโยบายการซัพพอร์ตของอุปกรณ์ตระกูล Fire TV ว่าจะออกแพตช์ความปลอดภัยให้นานอย่างน้อย 4 ปี หลังสินค้าหยุดขาย (after the device is last available for purchase)

ส่วนอุปกรณ์ Fire TV ที่วางขายไปก่อนหน้านี้ทั้งหมด จะการันตีอัพเดตแพตช์ความปลอดภัยอย่างน้อยถึงปี 2025 ประกาศนี้ทำให้อุปกรณ์บางตัวมีระยะซัพพอร์ตยาวนานมาก เช่น Fire TV Stick Gen 2 ที่ออกในปี 2016 จะอยู่ได้นานถึงปี 2025 (ซัพพอร์ต 9 ปี)

ประกาศนี้ของ Amazon ครอบคลุม Fire TV ทุกรุ่น รวมถึงทีวีที่ผลิตโดยบริษัทอื่น (เช่น Toshiba, Pioneer) ยกเว้น Fire TV รุ่นแรกสุดที่ออกในปี 2014-2015 เท่านั้น

Tags:
Node Thumbnail

ไมโครซอฟท์ออก Patch Tuesday ประจำรอบเดือนตุลาคม 2021 (หมายเลขแพตช์ KB5006670) ความพิเศษของรอบนี้คือ Windows 11 จะได้อัพเดตแพตช์เป็นครั้งแรกด้วย (ออก 5 ตุลาคม ได้แพตช์รอบ 12 ตุลาคมพอดี)

นอกจากการอัพเดตความปลอดภัย (ที่ได้ทั้ง Windows 10 และ Windows 11) สิ่งที่ปรับปรุงในแพตช์ของ Windows 11 คือแก้บั๊กซอฟต์แวร์เครือข่าย Intel Killer และ SmartByte ส่วนการแก้บั๊กประสิทธิภาพของซีพียู AMD ยังไม่มาในแพตช์รอบนี้

ที่มา - OnMSFT

Tags:
Node Thumbnail

ไมโครซอฟท์ออก Patch Tuesday แพตช์ความปลอดภัยประจำรอบเดือนสิงหาคม 2021 อุดช่องโหว่ทั้งหมด 44 ตัว ครอบคลุมผลิตภัณฑ์หลายตัว

ช่องโหว่สำคัญที่พบการโจมตีแล้วคือ CVE-2021-36948 ที่เกี่ยวข้องกับเซอร์วิส Windows Update Medic (ใช้ซ่อม Windows Update เวลามีปัญหาอัพเดตไม่ได้)

Tags:
Node Thumbnail

ไมโครซอฟท์รายงานช่องโหว่ความปลอดภัยใหม่ CVE-2021-34481 ของบริการ Windows Print Spooler หรือ PrintNightmare ซึ่งเป็นการรายงานถึงช่องโหว่นี้ครั้งที่ 3 ในรอบ 5 สัปดาห์ โดยผู้โจมตีสามารถเข้าถึงไฟล์ที่สำคัญของ Windows และฝังโค้ดให้รันที่ระดับ SYSTEM เมื่อมีการรีบูทเครื่องได้

ในการรายงานช่องโหว่รอบนี้ ไมโครซอฟท์ยังไม่มีรายละเอียดของแพตช์และกำหนดเวลาออกมา แต่ให้แนวทางแก้ไขปัญหาเบื้องต้น (workaround) นั่นคือหยุดและปิดการทำงาน Print Spooler ไปก่อน

Tags:
Node Thumbnail

สัปดาห์ที่ผ่านมา มีประเด็นช่องโหว่ความปลอดภัย CVE-2021-34527 ของบริการ Windows Print Spooler หรือที่เรียกกันว่า "PrintNightmare" หลังจากเถียงกันมาหลายวัน ไมโครซอฟท์ก็ยอมออกแพตช์ฉุกเฉิน (out-of-band หรือ OOB) ให้แล้ว แถมยังเป็นกรณีพิเศษคือย้อนไปออกถึง Windows 7 และ Windows Server 2008 ที่หมดระยะซัพพอร์ตไปแล้วด้วย

อย่างไรก็ตาม มีรายงานในหมู่นักวิจัยความปลอดภัยว่าแพตช์เหล่านี้ไม่ช่วยแก้ปัญหาได้ 100% ซึ่งล่าสุดไมโครซอฟท์ออกมาเถียงว่า แพตช์ใช้งานได้จริงๆ แต่ปัญหาที่รายงานในข่าว เกิดจากการที่ผู้ใช้ไปแก้ registry กันเองต่างหาก

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยรอบเดือนมิถุนายน โดยรอบนี้มีช่องโหว่ที่ถูกโจมตีก่อนแพตช์ออกทั้งหมด 6 รายการ ในจำนวนนี้มีช่องโหว่ระดับ remote code execution หนึ่งรายการเป็นช่องโหว่ตัวอ่าน MSHTML แต่ความร้ายแรงไม่สูงนักเนื่องจากกระบวนการซับซ้อน และต้องอาศัยผู้ใช้ด้วยบางส่วน (user interaction)

Tags:
Node Thumbnail

มือถือตระกูล Samsung Galaxy S21 ในเกาหลีใต้ เริ่มได้รับแพตช์ความปลอดภัยเดือนมิถุนายนแล้ว แม้ยังไม่สิ้นเดือนพฤษภาคมก็ตาม โดยเป็นหมายเลขเฟิร์มแวร์เวอร์ชั่น G991NKSU3AUE8, G996NKSU3AUE8, และ G998NKSU3AUE8 สำหรับ Galaxy S21, S21+ และ S21 Ultra ตามลำดับ คาดว่าจะทยอยอัพเดตให้ประเทศอื่นในอีกไม่ช้า

ที่ผ่านมามือถือ Samsung รุ่นเรือธงปี 2020 นั้นได้อัพเดตแพตช์ความปลอดภัยไวพอๆ กับมือถือตระกูล Pixel ของ Google และดูเหมือนว่าเรือธงของปีนี้อย่าง Galaxy S21 ก็ได้อัพเดตไวเช่นเดียวกัน

Tags:
Node Thumbnail

Qualys Research Team ทีมวิจัยของ Qualys รายงานถึงช่องโหว่ใน Exim ที่เป็น mail transfer agent ยอดนิยม ช่องโหว่บางรายงานเปิดทางให้แฮกเกอร์รันโคดจากระยะไกลโดยไม่ต้องยืนยันตัวตัว (unauthenticated remote code execution)

Exim มีเซิร์ฟเวอร์รันอยู่กว่า 4 ล้านไอพีจากรายงานของ Shodan หากไม่ได้แพตช์หรือป้องกันช่องทางอื่นๆ แฮกเกอร์อาจบุกยึดเซิร์ฟเวอร์เหล่านี้ได้ โดยรายงานของ Qualys ไม่ได้ให้โค้ดโจมตีตัวอย่าง (proof of concept) มาด้วย แต่กลับรายงานอย่างละเอียดถึงโค้ดส่วนที่มีปัญหา ทำให้แฮกเกอร์สามารถสร้างเครื่องมือโจมตีได้ไม่ยากนัก

Tags:
Node Thumbnail

ข่าวสำคัญของผู้ใช้ Dell เพราะ Dell ออกอัพเดตเฟิร์มแวร์ อุดช่องโหว่สำคัญที่ส่งผลกระทบต่อพีซี Dell จำนวนมาก เนื่องจากเป็นช่องโหว่ BIOS ที่อยู่มานาน 12 ปีแล้ว

ถ้าไม่นับประเด็นเรื่องความแพร่หลาย ตัวช่องโหว่นี้ไม่ได้มีความร้ายแรงเป็นพิเศษ เป็นเรื่องสิทธิการเข้าถึง (access control) บนระบบปฏิบัติการวินโดวส์ดังที่พบได้ทั่วไป (ลินุกซ์ไม่โดน) การโจมตีจำเป็นต้องเข้าถึงบัญชี local ของเครื่องเท่านั้น และ Dell บอกว่ายังไม่พบการใช้งานช่องโหว่นี้จากกลุ่มแฮ็กเกอร์

Tags:
Node Thumbnail

หลัง OnePlus 7, 7 Pro, 7T และ 7T Pro ได้อัพเดต OxygenOS 11 ไปช่วงปลายเดือนมีนาคมที่ผ่านมา แต่แพตช์ความปลอดภัยยังเป็นของเดือนกุมภาพันธ์อยู่

ล่าสุด OnePlus อัพเดตแพทตช์ความปลอดภัยเดือนมีนาคมให้ตระกูล OnePlus 7 และ 7T ทั้งหมดใน Oxygen OS 11 Hotfix เวอร์ชั่น 11.0.0.2 แล้ว โดย changelog ของ Hotfix 11.0.0.2 เหมือนกับตอนอัพเดต Oxygen 11 แต่เพิ่มเรื่องแพตช์ความปลอดภัยเป็นเดือนมีนาคมเข้ามาเท่านั้น สามารถดู changelog แบบเต็มได้ ที่นี่

Tags:
Node Thumbnail

Project Zero โครงการหาช่องโหว่ความปลอดภัยของกูเกิล ประกาศนโยบายการเผยแพร่ข้อมูลช่องโหว่ของปี 2021 ที่เปลี่ยนจากของเดิม โดย Project Zero ใจดีกว่าเดิม เพิ่มเวลาให้อีก 30 วันก่อนเผยแพร่ข้อมูลช่องโหว่ต่อสาธารณะ

ที่ผ่านมา นโยบายของ Project Zero คือให้เวลาผู้พัฒนาซอฟต์แวร์พัฒนาแพตช์ภายใน 90 วัน (ถ้าช่องโหว่ถูกใช้โจมตีแล้ว จะให้เวลา 7 วันแทน) ก่อนเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ เพื่อบีบให้ผู้พัฒนาซอฟต์แวร์ต้องรีบออกแพตช์ภายในระยะเวลาที่กำหนด มิฉะนั้น แฮ็กเกอร์จะได้ข้อมูลช่องโหว่ไปใช้โจมตี

นโยบายใหม่ของ Project Zero จะขยับเลขเป็น 90+30 และ 7+30 ด้วยเหตุผลว่าเพิ่มเวลาอีก 30 วัน เพื่อให้ผู้ใช้ทยอยติดตั้งแพตช์เป็นจำนวนมากๆ ก่อนเปิดเผยข้อมูลแพตช์

Tags:
Node Thumbnail

เว็บไซต์ไอทีหลายแห่งพบว่า Pixel 5 มีประสิทธิภาพกราฟฟิกดีขึ้นมาก หลังอัพ แพตช์ความปลอดภัยรอบเดือนเมษายน 2021 ที่ระบุถึงการ “ปรับปรุงประสิทธิภาพสำหรับแอพและเกมที่ใช้งานกราฟฟิกหนักบางแอพ” บน Google Pixel 5 และ Pixel 4a 5G

Andreas Proschofsky จากเว็บไซต์ Der Standard ประเทศเยอรมนี ทวิตว่าคะแนน 3DMark ของ Pixel 5 ที่ใช้ Snapdragon 765G (จีพียู Adreno 620) เพิ่มขึ้นถึงราว 30-50% หลังอัพแพตช์ดังกล่าว

Tags:
Node Thumbnail

แอปเปิลออกอัพเดต iOS 14.4.2 และ iPadOS 14.4.2 ในวันนี้ โดยเป็นการแก้ไขช่องโหว่ของ WebKit ที่อาจทำให้ถูกโจมตีแบบ Cross-Site ได้ ผู้ใช้งานจึงควรอัพเดตเพื่อความปลอดภัย

การอัพเดตทำได้โดยไปที่ Settings > General > Software Update

แอปเปิลยังออกอัพเดตเพื่อแก้ไขช่องโหว่นี้สำหรับ watchOS ระบบปฏิบัติการบน Apple Watch และ iOS ของอุปกรณ์รุ่นเก่าที่อัพเดตเป็น iOS 14 ไม่ได้ รายละเอียดดังนี้

Pages