พบช่องโหว่ในระบบ SMS ของ Windows Phone 7.5

By Pup Writer on Tag: Security, SMS, Windows Phone
Security

Khaled Salameh ซึ่งเป็นผู้ที่เข้าอ่านเว็บไซต์ WinRumors เป็นประจำได้พบช่องโหว่ของ Windows Phone 7.5 โดยเขาสามารถโจมตีโทรศัพท์ที่ใช้ Windows Phone 7.5 ด้วยการส่ง SMS เท่านั้น (ไม่มีการเปิดเผยว่าใน SMS นั้นต้องมีอะไรอยู่บ้าง) หลังจากที่เครื่องได้รับ SMS แล้วก็จะรีบูตตัวเองหนึ่งรอบแล้วก็จะไม่สามารถใช้งาน messaging hub ได้อีกเลย ลองชมวีดีโอได้หลังข่าว

Read more

พบช่องโหว่ใน Adobe Flash Player และ Adobe Reader

By Pup Writer on Tag: Security, Adobe Flash, Adobe
Security

ขอรวมเป็นสองข่าวไว้ด้วยกันครับ

เริ่มจาก Adobe Reader ซึ่งทีมงานจาก Adobe โพสต์ลงในบล็อกเองว่า Adobe Reader เวอร์ชัน 10.1.1 สำหรับ Windows และ 9.4.6 สำหรับ UNIX รวมไปถึงเวอร์ชันที่ต่ำกว่าข้างต้น มีช่องโหว่ที่อันตราย สามารถทำให้คอมพิวเตอร์หยุดทำงาน (crash) และแฮกเกอร์สามารถที่จะอาศัยช่องโหว่เข้าควบคุมคอมพิวเตอร์ได้ โดย Adobe แนะนำให้เปิดใช้งาน Adobe Reader ในโหมด Protected View และจะปล่อยอัพเดตมาอุดช่องโหว่นี้ในวันที่ 10 ธันวาคม (ข่าวนี้ตั้งแต่วันที่ 6 ธันวาคม)

Read more

Accuvant ชี้ Internet Explorer ปลอดภัยกว่า Firefox

By Pup Writer on Tag: Security, Firefox, Browser, Chrome, Internet Explorer
Security

ทีมวิจัย Accuvant (ซึ่งได้รับทุนสนับสนุนจากกูเกิล) ชี้ว่าขณะนี้ Firefox มีความปลอดภัยน้อยกว่า Internet Explorer โดยสาเหตุมาจากการที่ Firefox ไม่สามารถทำ sandbox โค้ดในเบราว์เซอร์ได้ ทำให้เครื่องของผู้ใช้งานตกเป็นเป้าของการถูกโจมตีจากแฮกเกอร์ได้ง่ายกว่า ส่วนเบราว์เซอร์ที่ปลอดภัยที่สุดตอนนี้ก็คือ Chrome (ซึ่งเป็นของกูเกิล)

Read more

ไมโครซอฟท์สามารถลบแอพที่ติดตั้งใน Windows 8 ได้จากระยะไกล

By mk Founder on Tag: Security, Windows 8, Microsoft
Security

หลังจากที่ไมโครซอฟท์เปิดตัว Windows Store ร้านขายแอพของ Windows 8 ไปเมื่อวันก่อน ก็มีคนตาดีไปเห็นข้อมูลในเงื่อนไขการใช้งาน (term of use) ว่าไมโครซอฟท์สามารถสั่งลบแอพที่เราติดตั้งไปแล้วได้

Read more

พบช่องโหว่ใน Facebook ทำรูปส่วนตัวของ Mark Zuckerberg หลุดออกสู่สาธารณะ

By mk Founder on Tag: Security, Privacy, Mark Zuckerberg, Facebook
Security

มีคนค้นพบช่องโหว่ด้านการตั้งค่าความเป็นส่วนตัวของ Facebook โดยเข้าไปที่หน้าแจ้งภาพแสดงตนไม่เหมาะสม และเลือกว่าเป็นภาพเปลือยหรืออนาจาร จากนั้นระบบของ Facebook จะนำ "ภาพอื่นๆ" ของผู้ใช้คนนั้นขึ้นมาถามเราด้วยว่าเป็นภาพอนาจารหรือไม่ (แม้ว่าเราจะตั้งค่าความเป็นส่วนตัวเอาไว้ก็ตาม)

ช่องโหว่นี้ทำให้ใครก็ได้สามารถดูภาพใดๆ ของผู้ใช้คนใดก็ได้ และสามารถเซฟภาพออกนี้มาเผยแพร่ต่อสาธารณะได้ด้วย

คนที่โดนช่องโหว่นี้เล่นงานก็ไม่ใช่ใครอื่น เขาคือ Mark Zuckerberg

Read more

OpenDNS เปิดบริการแบบเข้ารหัส

By lew Founder on Tag: Security, Internet, DNS, OpenDNS
Security

OpenDNS นั้นให้บริการ DNS ฟรีมาเป็นรายแรกๆ (ช่วงหลังมีกูเกิลลงมาแข่งด้วย) แต่ล่าสุด OpenDNS ก็เปิดบริการ DNSCrypt เพิ่มขึ้นมาแล้ว

บริการ DNSCrypt นี้จริงๆ ก็คือการเชื่อมต่อกับ OpenDNS ผ่าน SSL เพื่อป้องกันการปลอมแปลงข้อมูลหรือดักฟังการใช้งานเว็บ มันช่วยลดความเสี่ยงในบางกรณีเช่น DNS Poisoning ลงได้ แต่มันไม่ใช่การรักษาความปลอดภัยเต็มรูปแบบเหมือน DNSSEC คือหากข้อมูลฝั่ง OpenDNS ผิด เราก็จะได้ข้อมูลมาผิดด้วย

Read more

ธนาคารไทยพาณิชย์ใช้ข้อมูลใน URL ตรวจสอบผู้ใช้ในเว็บ EasyFund ผู้ใช้ทุกคนควรระวังทำประวัติเว็บรั่วไหล

By lew Founder on Tag: Security, Thailand, Banking, SCB
Security

มีรายงานในห้องสินธรเว็บ Pantip.com ว่าบริการ EasyFund ของธนาคารไทยพาณิชย์ว่านั้นส่งข้อมูลสำคัญหลายอย่างไปกับ URL ที่อยู่ใน iframe ของเว็บธนาคาร ทำให้เมื่อลิงก์เหล่านี้หลุดออกสู่ภายนอก ผู้ที่รู้ค่าพารามิเตอร์ที่ถูกต้องจะสามารถเข้าใช้งานเว็บได้เสมือนเจ้าของบัญชี

ปรกติแล้วเว็บในส่วนของ EasyFund จะถูกรวมอยู่กับเว็บ SCB Easy ภายใต้ iframe ทำให้เบราเซอร์มองไม่เห็น URL จริงๆ แต่หากใครสามารถดึง URL เหล่านั้นออกมาได้ จะพบว่ามีค่าหลายอย่างเช่นหมายเลขบัญชี, หมายเลขผู้ใช้, ตลอดจนหมายเลขประจำ session ซึ่งโดยปรกติแล้วค่าเหล่านี้ควรถูกเก็บไว้กับ cookie มากกว่าที่จะส่งไปมากับ URL เช่นนี้

Read more

นักวิจัยจากกูเกิลเรียกร้องให้ CA เปิดเผย log การออกใบรับรอง

By lew Founder on Tag: Google, Security, Computer Science, PKI
Google

Ben Laurie และ Adam Langley นักวิจัยด้านความปลอดภัยจากกูเกิลได้ตีพิมพ์ข้อเสนอ (PDF) ปรับปรุงระบบโครงสร้างความปลอดภัยของอินเทอร์เน็ต (Public Key Infrastructure - PKI) จากบทเรียนที่เราพบกว่าหน่วยงานออกใบรับรอง (Certification Authorities - CA) นั้นกลายเป็นรูรั่วหลายครั้งทำให้ความปลอดภัยของอินเทอร์เน็ตโดยรวมมีอันตราย เพราะ CA อาจจะออกใบรับรองให้กับเว็บใดๆ ก็ได้

Read more

BlackBerry Mobile Fusion ชุดรักษาความปลอดภัยองค์กรสำหรับ iOS/Android

By mk Founder on Tag: Security, RIM, Android, Enterprise, iOS, BES, BlackBerry, Mobile
Security

ข่าวนี้เป็นความเคลื่อนไหวทางยุทธศาสตร์ของ RIM ที่น่าสนใจมากครับ

จุดแข็งของแพลตฟอร์ม BlackBerry ที่ผ่านมาโดยตลอดคือการใช้งานในองค์กร ซึ่งมีฟีเจอร์ด้านความปลอดภัย การเข้ารหัสข้อมูล การดูแลจากระยะไกล ฯลฯ (ต้องทำงานร่วมกันระหว่างตัวมือถือ BlackBerry และเซิร์ฟเวอร์ BES) แต่ตอนหลังเราก็เห็นข่าวว่ามือถือแพลตฟอร์มอื่นๆ โดยเฉพาะ iOS/Android เริ่มเจาะตลาดเดิมของ RIM มากขึ้นเรื่อยๆ (ถึงแม้ว่าจะมีฟีเจอร์ด้านองค์กรเยอะไม่เท่า BlackBerry ก็ตาม)

นี่คือวิกฤตหรือโอกาส? อันนี้ขึ้นอยู่กับมุมมองของแต่ละคน แต่ท่าทีของ RIM รอบนี้ บริษัทมองว่ามันคือ "โอกาส"

Read more

สด ๆ ร้อน ๆ กับการโจมตี DDoS ที่รุนแรงที่สุดแห่งปี 2011

By lch Contributor on Tag: Security, DDoS
Security

บริษัท Prolexic ซึ่งเป็นบริษัทรักษาความปลอดภัยให้กับเว็บไซต์ต่าง ๆ เปิดเผยว่าโลกได้เผชิญกับการโจมตีด้วยวิธี DDoS ที่รุนแรงที่สุดแห่งปี 2011 ไปเมื่อต้นเดือนพฤศจิกายนนี้เอง

การโจมตีครั้งนี้มีทั้งหมด 4 ระลอกและกินระยะเวลาหนึ่งสัปดาห์ คือระหว่างวันที่ 5 ถึง 12 พฤศจิกายนที่ผ่านมา โดยสิ่งที่เกิดขึ้นก็คือมีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ราว 250,000 เครื่องได้สร้างการเชื่อมต่อมาถล่มเครื่องเป้าหมายสูงสุดถึง 15,000 ครั้งต่อวินาที ซึ่งทำให้มีปริมาณข้อมูลสูงสุดถึง 45 Gbps

Read more

นักวิจัยพบช่องโหว่ใน Windows 8

By Pup Writer on Tag: Security, Researcher, Windows 8, Microsoft
Security

Peter Kleissner ได้พบช่องโหว่ที่เป็นปัญหาในด้านของความปลอดภัยใน Windows Developer Preview โดยเขาได้สร้าง bootkit ที่สามารถข้ามผ่านการตรวจสอบของ User Account Control (ไม่มีการถามผู้ใช้งานเลยว่าต้องการจะรันโปรแกรมนี้หรือไม่) ไปได้ด้วยโค้ดขนาดเพียง 14KB เท่านั้น การโจมตีแบบนี้ทำให้สามารถใช้งาน Command Prompt ได้ภายใต้ SYSTEM account ได้ ลองชมวีดีโอสาธิตได้ที่นี่ครับ

Read more

วิวาทะระหว่างกูเกิลกับบริษัทแอนตี้ไวรัส ว่าด้วยความปลอดภัยของ Android

By mk Founder on Tag: Google, Security, Antivirus, Android, Sophos
Google

ข่าวนี้เป็นภาคต่อของข่าว มัลแวร์ใน Android เพิ่มขึ้นกว่า 472 เปอร์เซ็นต์ตามรายงานของ Juniper นะครับ

Read more

เจ้าหน้าที่รัฐฯ ระบุ ไม่มีหลักฐานว่าแฮกเกอร์ทำลายปั๊มน้ำได้จริง

By lew Founder on Tag: Security, USA, SCADA, DHS
Security

ข่าวนี้ต่อเนื่องจากข่าวแฮกเกอร์เจาะระบบ SCADA แล้วทำลายปั๊มน้ำไป มา

Read more

แฮกเกอร์เจาะระบบ SCADA ในสหรัฐฯ สำเร็จ, ทำลายปั๊มน้ำได้ 1 เครื่อง

By lew Founder on Tag: Security, USA, SCADA
Security

เราเคยได้ยินประเด็นความปลอดภัยของระบบ SCADA มาหลายครั้งนับแต่

Read more

มัลแวร์ใน Android เพิ่มขึ้นกว่า 472 เปอร์เซ็นต์

By Pup Writer on Tag: Security, Android, Malware, Juniper, Android Market
Security

ผลสำรวจจาก Juniper ตั้งแต่เดือนกรกฎาคมจนถึงกลางเดือนพฤศจิกายนที่ผ่านมานั้น ชี้ให้เห็นว่าปริมาณของมัลแวร์ใน Android นั้นเพิ่มมากขึ้นถึง 472 เปอร์เซ็นต์ โดยในเดือนตุลาคมนั้นเพิ่มขึ้นมาถึง 110 เปอร์เซ็นต์

Read more

Steam ถูกแฮ็ก เตือนผู้ใช้เปลี่ยนรหัสผ่านโดยด่วน

By mk Founder on Tag: Security, Hacking, Valve, Steam
Security

Valve ยืนยันข่าวว่าร้านขายเกมออนไลน์ Steam ถูกแฮ็ก โดยแฮ็กเกอร์ได้ "สิทธิเข้าถึง" ฐานข้อมูลที่ถูกเข้ารหัสไป แต่ไม่สามารถยืนยันได้ว่าแฮ็กเกอร์ได้ดาวน์โหลดข้อมูลออกมา และสามารถถอดรหัสฐานข้อมูลนี้หรือไม่

ฐานข้อมูลนี้เก็บชื่อผู้ใช้, รหัสผ่าน (ที่ถูกเข้ารหัสและ salted), ประวัติการซื้อเกม, อีเมล, ที่อยู่ออกใบเสร็จ, ข้อมูลบัตรเครดิต (ที่ถูกเข้ารหัส)

Valve บอกว่า ณ ตอนนี้ยังไม่พบหลักฐานว่าข้อมูลบัตรเครดิตและข้อมูลบ่งชี้ตัวตนต่างๆ ถูกเจาะไปด้วย แต่ก็จะสืบสวนเรื่องนี้ต่อไป

Read more

Charlie Miller โดนแอปเปิลถอนบัญชีนักพัฒนา หลังค้นพบช่องโหว่ใน iOS/App Store

By mk Founder on Tag: Apple, Security, App Store, iOS
Apple

ผู้อ่าน Blognone คงคุ้นชื่อของ Charlie Miller แฮ็กเกอร์-ผู้เชี่ยวชาญด้านความปลอดภัยที่ชนะการแข่ง Pwn2Own หลายครั้ง (ดูข่าวเก่าในหมวดกันเอง) Miller เชี่ยวชาญเทคโนโลยีของฝั่งแอปเปิล เคยเจาะได้ทั้ง Safari และ iOS 4 รับของรางวัลเป็นผลิตภัณฑ์ของแอปเปิล (ที่ตัวเองเจาะได้) รวมกันแล้วหลายชิ้น

ล่าสุด Miller ไปพูดที่งานสัมมนาด้านความปลอดภัย SysCan ที่ไต้หวัน และเขาได้เดโมการเจาะช่องโหว่ของระบบ code signing ใน iOS ให้แก่ผู้เข้าร่วมงานดู

Read more

Android 4.0 จะรองรับ Cisco VPN

By lew Founder on Tag: Open Source, Cisco, Security, Android, VPN, Enterprise
Open Source

แนวทางการพัฒนาให้แอนดรอยด์ได้รับการยอมรับในตลาดองค์กรนั้นเป็นแนวทางที่ชัดเจน แต่ฟีเจอร์ที่ถูกเรียกร้องมายาวนานอย่างการรองรับ Cisco AnyConnect ที่ต้องการโปรโตคอล IPSec โดยฟีเจอร์นี้ถูกเรียกร้องมาตั้งแต่ปี 2009 หรือช่วงแรกๆ ของแอนดรอยด์

บั๊กนี้ถูกปล่อยให้อยู่ในสถานะ New มาตลอดเวลาจนหลายคนบ่นว่ากูเกิลปล่อยบั๊กนี้โดยไม่สนใจ แต่ล่าสุดหลังการปล่อย Android 4.0 Ice-Cream Sandwich กูเกิลก็ออกมาบอกสั้นๆ ว่าบั๊กนี้ถูกแก้ไปแล้ว

Read more

แอปเปิลเลื่อนเส้นตาย แอพที่ขายใน Mac App Store ต้องทำงานโหมด Sandbox

By mk Founder on Tag: Apple, Security, Mac App Store
Apple

หลังจาก Mac OS X เจอโทรจัน/มัลแวร์หลายตัวในช่วงหลัง (แมคไม่มีไวรัส?) ทางแอปเปิลก็ปรับข้อกำหนดให้แอพที่จะขายบนร้านออนไลน์ Mac App Store จะต้องทำงานในโหมด sandbox เพื่อจำกัดขอบเขตความเสียหาย ในกรณีที่แอพมีปัญหาด้านความปลอดภัย

เดิมทีแอปเปิลกำหนดเส้นตายไว้ที่เดือนพฤศจิกายนนี้ แต่ก็ตัดสินใจเลื่อนเป็นเดือนมีนาคม 2012 ด้วยเหตุผลว่านักพัฒนายังไม่พร้อม

Read more

Mozilla และ Microsoft ยกเลิก CA ในมาเลเซีย

By lew Founder on Tag: Security, SSL, Malaysia, Mozilla, Microsoft
Security

DigiCert Sdn. Bhd เป็นหน่วยงานออกใบรับรองแบบตัวกลาง (Intermediate CA) ที่ได้รับการรับรองจาก Entrust และ Verizon มาอีกที แต่หลังจากพบการออกใบรับรองอย่างหละหลวมหลายใบจนมีการนำใบรับรองเหล่านั้นไปโจมตีผู้อื่น ทางมอซซิลล่าและไมโครซอฟท์ก็ประกาศยกเลิกสถานะของ CA นี้

Read more
Subscribe to Security