NATO Communications and Information Agency หน่วยงานความมั่นคงสารสนเทศของนาโต้ตกลงเข้าร่วม Government Security Program (GSP) โครงการนี้ทำให้นาโต้สามารถเข้าถึงซอร์สโค้ดของซอฟต์แวร์สำคัญๆ หลายตัวของไมโครซอฟท์ พร้อมกับสิทธิพิเศษในการแจ้งเตือนความปลอดภัย

โครงการความปลอดภัยนี้ทำให้ชาติที่สงสัยว่าไมโครซอฟท์แอบฝังช่องโหว่ใดไว้หรือไม่ สามารถเข้าตรวจสอบซอร์สโค้ดได้ด้วยตัวเอง พร้อมกับเข้าถึงเอกสารทางเทคนิคเพิ่มเติม

ตอนนี้ GSP มีสมาชิกแล้ว 40 หน่วยงานรวม 25 รัฐบาลทั่วโลก

Microsoft Research เสนออัลกอริธีม FourQ สำหรับการเข้ารหัสแบบ elliptic curve ที่มีจุดเด่นที่ความเร็วสูงกว่ากระบวนการแบบเดิม เช่น NIST P-256 หรือ Curve25519

ช่องโหว่แอนดรอยด์ที่เพิ่งได้รับการแก้ไขเดือนนี้มักพูดกันถึงช่องโหว่ Stagefright แต่ช่องโหว่ CVE-2015-3860 ที่ถูกจัดว่าเป็นช่องโหว่ระดับกลางก็นับว่าน่ากลัวไม่น้อย เมื่อมันทำให้แฮกเกอร์สามารถฝ่าหน้าจอล็อกเครื่องไปได้

ช่องโหว่นี้จะทำได้กับเครื่องที่ล็อกหน้าจอด้วยรหัสผ่านเท่านั้น ไม่สามารถใช้กับการล็อกหน้าจอแบบ pattern หรือ PIN ได้

โครงการแจกใบรับรองฟรี Let's Encrypt เข้าสู่ช่วงปล่อยใบรับรองจริงช่วงแรก โดยยังไม่ได้รับรองรับรองซ้อนมาจาก IdenTrust ทำให้ไม่เบราว์เซอร์ทั่วไปไม่รองรับ (จะขึ้นหน้าจอเตือน Invalid Certification Authority)

ใบรับรองชุดแรกออกมาตั้งแต่เมื่อวานนี้ และทาง Let's Encrypt ประกาศเริ่มต้นเข้าสู่ช่วงออกใบรับรองในวันนี้

ระหว่างนี้หากต้องการให้เบราว์เซอร์เชื่อถือเว็บที่ Let's Encrypt รับรองจะต้องติดตั้งใบรับรองของ ISRG ลงในเครื่อง ใบรับรองทดสอบอยู่ที่เว็บ helloworld.letsencrypt.org

อินเทลประกาศก่อตั้งกรรมการตรวจสอบความปลอดภัยยานยนต์ (Automotive Security Review Board - ASRB) ที่จะมีนักวิจัยของตัวเองทำหน้าที่ตรวจสอบความปลอดภัยไซเบอร์ของยานยนต์และออกแนวทางการดูแลความปลอดภัยไซเบอร์สำหรับอุตสาหกรรมยานยนต์

อินเทลจะส่งมอบชุดพัฒนาสำหรับรถยนต์ของตัวเองให้กับนักวิจัยใน ASRB หลังจากนั้นนักวิจัยที่พบแนวทางการพัฒนาความปลอดภัยไซเบอร์ที่มีผลกระทบสูงสุดจะได้รับรถยนต์จากอินเทล และรายงานการวิจัยจะเปิดเผยเป็นสาธารณะ

ข้อมูลเว็บ Ashley Madison ถูกปล่อยออกมาเดือนกว่า โดยก่อนหน้านี้เชื่อกันว่ารหัสผ่านที่หลุดออกมาพร้อมกับฐานข้อมูลมีความปลอดภัยสูงเพราะใช้การเข้ารหัสแบบ bcrypt ทำให้กระบวนการแกะแฮชน่าจะยากมาก แต่นักวิจัยที่ใช้ชื่อบนเว็บว่า CynoSure Prime ก็ออกมารายงานว่ามีบัญชีจำนวนหนึ่งมีข้อมูลรหัสผ่านที่แกะรหัสได้ง่ายอยู่ด้วย

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

ไมโครซอฟท์ออกแพตช์ความปลอดภัยตามรอบปกติ (patch Tuesday) รอบนี้มีช่องโหว่ที่รวมๆ มาสำหรับแอพพลิเคชั่นหลายตัว ได้แก่ Internet Explorer, Microsoft Edge, Windows, Office, Sharepoint Foundation

ช่องโหว่ Stagefright เปิดเผยออกมาเกือบสองเดือนแล้ว แม้จะได้รับการยืนยันจากหลายสำนัก แต่โค้ดที่ยืนยันช่องโหว่จริงจาก Zimperium ก็ยังไม่เคยเปิดเผยออกมา หลังจากเจรจากับผู้ผลิตและเลื่อนการเปิดเผยโค้ดนี้มาหลายครั้ง ตอนนี้ทาง Zimperium ก็เปิดโค้ดไพธอนสำหรับสร้างไฟล์ MP4 ที่เจาะช่องโหว่ CVE-2015-1538 แล้ว

US-CERT ออกประกาศแจ้งเตือนผู้ใช้ฮาร์ดดิสก์ที่สามารถใช้งานผ่าน Wi-Fi ของทาง Seagate และ LaCie สามรุ่น ได้แก่ Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage, และ LaCie FUEL

ทั้งสามรุ่นมีช่องโหว่ร้ายแรงหลายอย่าง เช่น การอัพโหลดไฟล์โดยไม่ต้องล็อกอิน, การดาวน์โหลดไฟล์โดยไม่ต้องล็อกอิน, และที่ร้ายแรงที่สุดคือรหัสผ่าน telnet ระดับ root ที่ตั้งรหัส username/password ไว้เป็น root/root

ทาง Seagate ออกเฟิร์มแวร์แก้ไขช่องโหว่ทั้งหมดแล้วในรุ่น 3.4.1.105 ผู้ใช้ฮาร์ดดิสก์ที่ได้รับผลกระทบควรเร่งอัพเดตทันที

Kristian Hermansen นักวิจัยความปลอดภัย โพสช่องโหว่ของ FireEye Appliance ที่เปิดเผยไฟล์ในระบบ พร้อมกับระบุว่ายังมีช่องโหว่อื่นที่ทำให้แฮกเกอร์สามารถส่งคำสั่งขึ้นไปรันได้ในกรณีที่ล็อกอินแล้ว และพร้อมจะขายช่องโหว่เหล่านี้

มอสซิลล่าผู้ดูแลเบราว์เซอร์ไฟร์ฟอกซ์รายงานว่าเมื่อเดือนที่แล้ว เว็บ Bugzilla สำหรับติดตามบั๊กของโครงการถูกขโมยเอาข้อมูลออกไป ด้วยการแฮกบัญชีผู้ใช้เข้ามาอ่านข้อมูล ทำให้แฮกเกอร์เห็นช่องโหว่ที่อยู่ระหว่างการพัฒนาแพตช์ และนำช่องโหว่นั้นออกไปโจมตีผู้ใช้ไฟร์ฟอกซ์

บัญชีที่ถูกแฮกไปตอนนี้ถูกระงับไปแล้ว ข้อมูลช่องโหว่ที่หลุดออกไปและมีการโจมตีทำให้ทางมอสซิลล่าต้องออกรุ่นพิเศษเพื่ออุดช่องโหว่เร่งด่วนเมื่อเดือนที่แล้ว แต่คาดว่าแฮกเกอร์ไม่ได้ข้อมูลอื่นๆ ไปอีก

Visual Studio 2015 ทำงานได้ดีกับ GitHub ขึ้นมาก แต่เมื่อวานนี้นักพัฒนาหลายคนก็รายงานบั๊กว่าปลั๊กอินสำหรับทำงานร่วม แม้จะระบุให้ repository เป็นส่วนตัวก็ตาม แต่โค้ดที่ส่งขึ้น GitHub จะกลายเป็นสาธารณะ ทำให้ทุกคนสามารถมองเห็นโค้ดได้

Carlo van Wyk นักพัฒนาที่รายงานบั๊กนี้ระบุว่าเขาเผยแพร่ API key ของ AWS โดยไม่รู้ตัวจากบั๊กนี้ ทำให้บัญชีของเขาถูกเรียกเก็บเงินไปถึง 6,500 ดอลลาร์

ทาง GitHub ออกมาอัพเดตปลั๊กอินอย่างเร่งด่วนแล้ว โดยระบุว่าเป็นทางแก้ชั่วคราว (workaround) และสาเหตุที่แท้จริงยังต้องตรวจสอบต่อไป