นโยบายปล่อยแพตช์ความปลอดภัยรายเดือนของแอนดรอยด์มาถึงรอบเดือนมกราคม รอบนี้มีแพตช์ระดับวิกฤติ 6 รายการ ส่วนมากเป็นการยกระดับสิทธิ์การรัน ยกเว้นช่องโหว่ CVE 2015-6636 เป็นช่องโหว่การรันโค้ดจากภายนอก

ช่องโหว่ CVE 2015-6636 เป็นช่องโหว่แบบเดียวกับ Stagefright ที่เปิดให้คนร้ายสามารถส่งไฟล์สื่อเช่นวิดีโอเข้ามารันโค้ดในเครื่องได้

ช่องโหว่อื่นๆ มีความร้ายแรงต่างกันไป ช่องโหว่บางส่วนสามารถฝังมัลแวร์เอาไว้ในเครื่องได้โดยที่ไม่สามารถล้างออกไปได้ยกเว้นจะแฟลชรอมใหม่เท่านั้น

ที่งาน 32C3 งานสัมมนาแฮกเกอร์ประจำปี แฮกเกอร์สามคนได้แก่ Karsten Nohl, Fabian Bräunlein, dexter จาก SR Labs นำเสนอแนวทางการเจาะระบบรับจ่ายเงินผ่านเครื่องรับบัตรเครดิต (payment terminal) ที่สามารถเจาะระบบออกมาได้อย่างง่ายดาย

เครื่องรับบัตรเครดิตในยุโรปที่ต้องการรหัสผ่าน (PIN) เพื่อการยืนยันการจ่ายเงิน จะรับรหัสผ่านจากเจ้าของบัตร ทีมงานวิจัยสามารถแแฮกให้เครื่องรับบัตรเหล่านี้แสดงหน้าจอหลอกเพื่อให้เข้าของบัตรใส่รหัสผ่านบนเครื่องรับบัตรจริงแล้วเก็บรหัสผ่านไปใช้งานที่อื่นได้

ช่วงขึ้นปี 2016 นี้มีเหตุการณ์ DDoS ครั้งใหญ่สองครั้งติดๆ กัน ครั้งแรกคือเว็บสำนักข่าวบีบีซีที่ถูกโจมตีต่อเนื่อง การโจมตีกินเวลาสามชั่วโมงครึ่ง จากเจ็ดโมงเช้าเขตเวลา GMT ไปจนถึงช่วงสิบโมงครึ่งบริการส่วนใหญ่จึงกลับมาให้บริการได้อีกครั้ง

อีกครั้งหนึ่งคือ Linode ผู้ให้บริการเซิร์ฟเวอร์รายใหญ่ระบุว่าถูกโจมตี DDoS มาตั้งแต่ช่วงคริสต์มาส หลังจากนั้นทีมงาน Linode พบว่าคนโจมตีซื้อบริการ botnet จำนวนมากเพื่อโจมตีต่อเนื่องจนกระทั่งบริการ DNS ไม่สามารถให้บริการได้ บางครั้งปริมาณทราฟิกเกินกว่าเราท์เตอร์จะรองรับไหว

ปัญหาบัตรเอทีเอ็มหาย หรือแม้กระทั่งการลืมบัตรไว้ในเครื่องเป็นปัญหาของผู้ใช้ธนาคารทั่วโลก ตอนนี้ทาง Aeon ในญี่ปุ่นก็ประกาศจะหันไปใช้ลายนิ้วมือแทนบัตรเอทีเอ็มตั้งแต่เดือนมีนาคมนี้ โดยเริ่มทดสอบระบบในเดือนกุมภาพันธ์ที่ตู้ในสาขา Chiyoda ที่เดียวก่อน และมีแผนจะขยายบริการไปยังตู้ทั้งหมดของ Aeon 5,500 ตู้

ตู้จะขอตรวจสอบลายนิ้วมือสองนิ้วก่อนจะอนุญาตให้ทำรายการ เบื้องต้นกระบวนการโอนและถอนด้วยลายนิ้วมือจะจำกัดวงเงินไว้ 1 ล้านเยนต่อวัน ส่วนตัวสแกนลายนิ้วมือจะใช้เทคโนโลยีของ Liquid สตาร์ตอัพญี่ปุ่นที่ใช้ลายนิ้วมือในการจ่ายเงิน

อโดบีปล่อยอัพเดต Flash นอกรอบปกติ เนื่องจากช่องโหว่ CVE-2015-8651 มีรายงานว่ามีผู้ถูกโจมตีอย่างเจาะจงแล้ว

ทางอโดบีปล่อยอัพเดตช่องโหว่อื่นๆ ออกมาพร้อมกันอีกชุดใหญ่ เกือบทั้งหมดมีความเสี่ยงว่าจะทำให้แฮกเกอร์รันโค้ดในเครื่องของเหยื่อได้

ช่องโหว่ในรอบนี้ถูกส่งมาจาก Project Zero, Qihoo 360, Xuanwu LAB (Tencent), HP ZDI, และ WSEC (ผ่านทาง Chromium Vulnerability Reward Program) ยกเว้น CVE-2015-8651 ที่มีการโจมตีแล้ว ทางอโดบีลบข้อมูลผู้รายงานออกไปโดยไม่ได้แจ้งเหตุผล

ที่มา - Adobe

ช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันในเซิร์ฟเวอร์ของ Joomla! รอบล่าสุดร้ายแรงเป็นพิเศษเพราะแฮกเกอร์โจมตีก่อนจะมีแพตช์หลายวัน ตอนนี้ช่องโหว่เปิดเผยต่อสาธารณะมาหลายวันแล้วทาง Symantec ก็ออกมารายงานว่าปริมาณการโจมตียังคงสูง

ปริมาณการโจมตีที่ Symantec ตรวจพบแต่ละวันเฉลี่ยสูงกว่า 16,000 ครั้ง

รายงานนี้ตรงกับ รายงานแรกของ Securi ที่เตือนตั้งแต่ครั้งแรกว่าเซิร์ฟเวอร์ล่อทั้งหมดถูกโจมตี แสดงว่าการโจมตีเป็นวงกว้างไปแล้ว

ช่องโหว่ของไฟร์วอลล์ Juniper ที่ทางบริษัทรายงานออกมาเองมีสองช่องโหว่สำคัญ ช่องโหว่รหัสผ่านลับนั้นนักวิจัยสามารถวิเคราะห์หารหัสผ่านลับออกมาได้แล้ว อีกช่องโหว่หนึ่งคือช่องโหว่ VPN ที่ผู้ที่ดักฟังการเชื่อมต่อได้จะสามารถถอดรหัสออกมาได้

เว็บกลุ่มแฟนคลับ Hello Kitty เช่น sanriotown.com, hellokitty.com, hellokitty.com.my, hellokitty.com.sg, hellokitty.in.th, และ mymelody.com ทำข้อมูลผู้ใช้รั่วออกมา 3.3 ล้านรายการ

ข้อมูลที่หลุดออกมาได้แก่ ชื่อ-นามสกุล, เพศ, วันเกิด, ประเทศ, อีเมล, รหัสผ่านที่แฮชด้วย SHA-1, คำถามรีเซ็ตรหัสผ่าน

รายงานระบุว่าข้อมูลหลุดออกมาเพราะการคอนฟิก MongoDB ผิดพลาด ทาง Sanrio ระบุว่ากำลังสอบสวนเรื่องนี้อยู่

ที่มา - CSO Online

คณะกรรมการการค้าสหรัฐฯ (FTC) ตกลงยอมความกับออราเคิลในคดีความปลอดภัยของจาวา เนื่องจากการเตือนความปลอดภัยขณะอัพเดตไม่เพียงพอ

FTC ระบุว่าตัวติดตั้งจาวาไม่เตือนผู้ใช้อย่างเพียงพอว่ามีจาวาเวอร์ชั่นเก่าอยู่ในเครื่องและยังเป็นช่องโหว่ความปลอดภัย แต่ถอนการติดตั้งเพียงเวอร์ชั่นล่าสุดเท่านั้น

ข้อเสนอของ FTC จะบังคับให้ออราเคิลต้องปรับกระบวนการอัพเดตโดยเตือนผู้ใช้อย่างชัดเจนถึงอันตรายของการติดตั้งเวอร์ชั่นเก่า และมีทางเลือกให้ผู้ใช้ถอนการติดตั้งได้โดยง่าย นอกจากนี้ยังบังคับให้ออราเคิลประกาศผลการตกลงนี้ทางช่องทางเครือข่ายสังคมออนไลน์ของบริษัท