ช่องโหว่ Juniper ScreenOS ที่ถูกฝังอยู่ในไฟร์วอลล์มานาน ก่อนหน้านี้ทาง Fox IT ออกมาระบุว่าใช้เวลาเพียง 6 ชั่วโมงในการหารหัสผ่านลับ ตอนนี้ทาง Rapid 7 ก็ออกมาเปิดเผยรหัสผ่านนี้สู่สาธารณะ

กำหนดการยกเลิกรองรับ SHA-1 ถูกวางไว้ตั้งแต่ปีที่แล้ว ตอนนี้ทาง Chrome เริ่มแจ้งเตือนว่าการบังคับตามกำหนดเวลาเดิมจะเริ่มใน Chrome 48 ที่จะขึ้นหน้าแจ้งเตือนทุกเว็บที่ใบรับรองใช้ SHA-1 และใบรับรองออกในปี 2016

ขั้นต่อไปของการยกเลิกใบรับรอง SHA-1 คือการบล็อคอย่างสมบูรณ์ในปี 2017 หรืออาจจะเลื่อนขึ้นมาเดือนกรกฎาคม 2016 โดยจะเปลี่ยนจากหน้าจอเตือนความไม่ปลอดภัย กลายเป็นการบล็อคและระบุเหตุผลว่าการเชื่อมต่อมีปัญหา

นอกจากใบรับรอง SHA-1 แล้ว Chrome 48 จะยกเลิกการเข้ารหัสแบบ RC4 ทั้งหมด พร้อมกับแนะนำให้เปลี่ยนไปใช้การเข้ารหัส AES-128 GCM แทน

PCI SSC หน่วยงานผู้ออกมาตรฐานความปลอดภัย PCI DSS ประกาศเลื่อนการบังคับให้หน่วยงานที่ได้รับรองเลิกใช้ SSL ทุกรุ่น และ TLS 1.0 แล้วหันไปใช้ TLS 1.1 ไปอีกสองปี จากเดิมกำหนดเส้นตายไว้เดือนมิถุนายน 2016 เป็นเดือนมิถุนายน 2018

ทาง PCI SSC ระบุว่าได้รับเสียงแสดงความเห็นจากอุตสาหกรรม ระบุว่าระยะเวลาเปลี่ยนเทคโนโลยีน้อยเกินไปเพราะบริการบางรายเชื่อมต่อกับลูกค้านับพันราย และยังมีประเด็นการปรับเปลี่ยนใบรับรองให้เลิกใช้ใบรับรอง SHA-1 ภาระของผู้ให้บริการรับจ่ายเงินจึงมากอยู่แล้ว

โค้ดลับในไฟร์วอลล์ของ Juniper Networks ถูกฝังโค้ดลับเอาไว้ทำให้แฮกเกอร์สามารถล็อกอินด้วยสิทธิ์ผู้ดูแลระบบได้หากรู้รหัสผ่านลับ วันนี้ทาง CNN ก็รายงานว่า FBI กำลังเข้าตรวจสอบโค้ดนี้ เพราะอาจจะถูกฝังมาเพื่อเจาะเครือข่ายของรัฐบาลได้

ตอนนี้ยังไม่แน่ชัดว่ามีหน่วยงานรัฐบาลใดบ้าง ทางกระทรวงความมั่นคง (Department of Homeland Security) ระบุว่ากำลังค้นหาอยู่ว่ามีหน่วยงานใดใช้ ScreenOS อยู่บ้าง

Juniper Networks ประกาศอัพเดตนอกรอบ เนื่องจากตรวจสอบโค้ดของ ScreenOS รุ่น 6.2.0r15 ถึง 6.2.0r18 และ 6.3.0r12 ถึง 6.3.0r20 พบว่ามีโค้ดที่ไม่ได้รับอนุญาตโผล่เข้ามา โค้ดนี้จะเปิดช่องทางให้คนที่รู้ช่องโหว่สามารถล็อกอินด้วยผู้ใช้ "system" เข้ามาในระบบได้ ขณะที่อีกช่องโหว่หนึ่งเปิดช่องให้แฮกเกอร์สามารถถอดรหัสการเชื่อมต่อ VPN ได้

ช่องโหว่นี้ถูกจัดระดับความร้ายแรง CVSS อยู่ที่ 9.8 คะแนนเป็นระดับวิกฤติ ผู้ดูแลระบบควรอัพเดตไปใช้ ScreenOS รุ่นล่าสุดโดยเร็ว

Project Zero ของกูเกิลแจ้งเตือนว่าเซิร์ฟเวอร์ตรวจสอบข้อมูลของ FireEye มีช่องโหว่ทำให้แฮกเกอร์สามารถส่งโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ ช่องโหว่นี้มีความร้ายแรงสูงและทาง FireEye ปล่อยอัพเดตตั้งแต่ไม่กี่ชั่วโมงหลังได้รับแจ้ง หากใครไม่ได้เปิดระบบอัพเดตอัตโนมัติไว้ควรเร่งอัพเดต

ช่องโหว่อยู่ในส่วนการตรวจสอบไฟล์ .jar ของ FireEye ที่ดีคอมไพล์โค้ดออกมาตรวจสอบ และหากพบว่าโค้ดมีความพยายามซ่อนสตริง ตัวดีคอมไพล์จะพยายามรันโค้ดเพื่อดึงเอาสตริงออกมา แนวทางนี้กลายเป็นช่องทางให้แฮกเกอร์สามารถสร้างไฟล์ jar เพื่อกระตุ้นให้ FireEye รันโค้ดที่ต้องการ

Joomla! รายงานช่องโหว่ remote code execution จากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

VeriSign CA ที่ดำเนินการโดย Symantec ประกาศยกเลิก "Class 3 Public Primary Certification Authority" สำหรับการใช้งานเว็บ ซึ่งเป็น root CA ที่ใช้งานมาตั้งแต่ปี 1996 จากเดิมที่ใบรับรองจะหมดอายุในวันที่ 8 กุมภาพันธ์ 2028 แต่คาดว่า Symantec ไม่ได้ออกใบรับรองใดๆ ด้วย CA นี้นานแล้ว จึงไม่น่ามีผลกระทบ

ใบรับรองนี้เป็นใบรับรองที่ยังใช้ RSA 1024 ซึ่งในสมัยปี 1996 ถือว่ามีความแข็งแรงเพียงพอต่อการใช้งาน แต่เมื่อเวลาผ่านไป RSA 1024 กลับเสี่ยงต่อการถูกถอดรหัสได้เร็วกว่าที่คาดไว้ในยุคนั้น ใบรับรองสมัยใหม่ถูกแนะนำให้ใช้งาน RSA 2048/4096 หรือใช้กระบวนการเข้ารหัสแบบ elliptic curve แทนที่