Adobe ยังแพตช์ช่องโหว่ Flash จาก Hacking Team ไม่หมด

By lew Founder on Tag: Security, Adobe Flash, Hacking Team, Adobe
Security

สัปดาห์ที่ผ่านมา Adobe ออกแพตช์เพื่ออุดช่องโหว่จาก Hacking Team ไปแล้วหนึ่งช่องโหว่ ตอนนี้ @w3bd3vil และ @dummys1337 ก็ออกมาระบุว่าช่องโหว่ยังถูกแก้ไม่หมด

ตอนนี้ยังไม่มีรายละเอียดของช่องโหว่นี้ แต่ภาพแสดงว่าช่องโหว่ยังคงทำงานได้บน Flash รุ่น 18.0.0.203 ที่ Adobe เพิ่งปล่อยออกมาเมื่อสัปดาห์ที่ผ่านมา

Read more

เปิดโลกอุตสาหกรรมช่องโหว่ซอฟต์แวร์ เอกสาร Hacking Team ระบุกระบวนการซื้อขายช่องโหว่ ซื้อเยอะมีส่วนลด

By lew Founder on Tag: Security, Hacking Team
Security

เอกสารของ Hacking Team ที่หลุดออกมานอกจากจะมีซอร์สโค้ดจำนวนมากแล้ว ยังมีเอกสารการซื้อขายช่องโหว่ ตอนนี้ทาง ArsTechnica ก็รวบรวมกระบวนการซื้อขายช่องโหว่จากอีเมลของ Hacking Team พบการซื้อขายช่องโหว่ครั้งหนึ่งเมื่อปี 2013

Read more

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรอง

By lew Founder on Tag: Security, OpenSSL
Security

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรองที่ไม่ถูกต้อง แต่กลับตรวจสอบว่าใช้งานได้ ความผิดพลาดสำคัญคือการที่ใบรับรองปกติที่ไม่มีสิทธิไปรับรองใบรับรองอื่นอีก เช่น ใบรับรองเว็บไซต์ทั่วไป กลับสามารถไปรับรองใบรับรองอื่นได้ แล้ว OpenSSL ยังคงเชื่อตามการรับรองนั้น

Read more

BlackBerry ร่วมมือกับ Google ด้านตลาดลูกค้าองค์กร, อัพเดต BES12 ให้จัดการ Samsung KNOX และ Android for Work

By SainTKK on Tag: Google, Security, Android, Enterprise, BlackBerry, Mobile
Google

BlackBerry ได้จดทะเบียนโดเมน AndroidSecured.com และ AndroidSecured.net ซึ่งเมื่อเปิดเข้าไปจะพบกับหน้าเว็บไซต์ที่มีข้อมูลความร่วมมือระหว่าง BlackBerry และ Google เพื่อตลาดองค์กร

Read more

Adobe แจ้งรับทราบช่องโหว่จาก Hacking Team ปล่อยแพตช์พรุ่งนี้, Project Zero ช่วยรายงาน

By lew Founder on Tag: Security, Adobe Flash, Project Zero, Hacking Team, Adobe
Security

ข่าวช่องโหว่ Adobe Flash ของ Hacking Team ออกมาไม่กี่ชั่วโมง ตอนนี้ก็ร้อนไปถึง Adobe ต้องรีบออกมารายงานช่องโหว่นี้ โดยระบุว่าทาง Adobe รับรู้แล้ว และกำลังจะปล่อยแพตช์ออกมาภายในวันพรุ่งนี้ (ตามเวลาสหรัฐฯ)

ช่องโหว่นี้รายงานเข้าไปยังทาง Adobe โดย Project Zero และ Morgan Marquis-Boire จากเดิมที่ก่อนหน้านี้ Firefox เคยประกาศว่าจะให้รางวัลการรายงานช่องโหว่กับผู้ที่รายงานช่องโหว่คนแรก รายงานของ Adobe ทำให้เรารู้ว่าทาง Project Zero กำลังไล่ขุดช่องโหว่ออกมารายงานไปยังผู้ผลิตกันอยู่เช่นกัน

Read more

Project Zero รายงานช่องโหว่ Chrome สามารถรันโค้ดได้หากใบรับรองใหญ่เกิน 4GB

By lew Founder on Tag: Security, Chrome, Project Zero
Security

Project Zero ของกูเกิลรายงานช่องโหว่ในส่วนการรับไฟล์รับรองการเข้ารหัสของ Chrome หากไฟล์ใบรับรองมีขนาดใหญ่มากเกิน 4GB จะเปิดช่องให้แฮกเกอร์สามารถส่งโค้ดมารันเบราว์เซอร์ได้

ความผิดพลาดนี้เกิดขึ้นเนื่องจากโค้ดส่วนที่อ่านค่าความยาวของไฟล์ใช้ตัวแปรชนิด size_t แต่เมื่อต้องนำข้อมูลไฟล์ใบรับรองมาต่อกันออปเจกต์ IOBuffer กลับรองรับความยาวเป็นตัวแปรชนิด int ทำให้ไฟล์ใบรับรองทะลุพื้นที่ของ heap ออกไปได้

ส่วนรองรับใบรับรองการเข้ารหัสนี้อยู่นอก sandbox ของ Chrome จึงมีความร้ายแรงแม้แฮกเกอร์จะต้องล่อให้เบราว์เซอร์โหลดไฟล์ x509 ขนาดใหญ่

Read more

พบช่องโหว่ใหม่ของ Flash Player จากเอกสาร Hacking Team, ยังไม่มีแพตช์

By mk Founder on Tag: Security, Adobe Flash, Trend Micro, Adobe
Security

ผลกระทบจากกรณี Hacking Team ถูกแฮก ยังตามมาอย่างต่อเนื่อง หลังข้อมูลช่องโหว่ของระบบปฏิบัติการถูกเผยแพร่ออกมาส่วนหนึ่ง ก็มีข้อมูลชุดใหม่ตามมาอีก

บริษัทความปลอดภัย Trend Micro ขุดข้อมูลของ Hacking Team แล้วพบช่องโหว่ของ Flash Player สองตัว ตัวหนึ่งถูกแพตช์แก้ไปแล้ว ส่วนตัวที่ค้นพบใหม่ยังไม่มีแพตช์แก้ใดๆ แถมการทดสอบกับ Flash เวอร์ชันล่าสุดก็ยังใช้งานช่องโหว่นี้ได้อยู่

Read more

แพลตฟอร์มใดรอดจาก Hacking Team: iOS ต้อง Jailbreak, Windows Phone ต้องแฮกที่ตัวเครื่องโดยตรง

By lew Founder on Tag: Security, Hacking, Android, iOS, Windows Phone, Hacking Team
Security

ข้อมูลจาก Hacking Team หลุดออกมาจำนวนมาก ตอนนี้หลายคนก็เริ่มขุดหาว่าฟีเจอร์ของ Hacking Team นั้นสามารถเจาะเข้าแพลตฟอร์มใดได้บ้าง ปรากฎว่ารายการสินค้าและราคานั้นบอกข้อจำกัดไว้ทั้งหมด

จากรายการสินค้า แพลตฟอร์มต่างๆ จะมีฟีเจอร์ต่างกันไป

Read more

ซอร์สโค้ดของ Hacking Team จำนวนมากถูกอัพโหลดขึ้น GitHub, Firefox จ่ายรางวัลให้คนรายงานคนแรก

By lew Founder on Tag: Security, Hacking, Hacking Team
Security

ไม่กี่ชั่วโมงหลังจากแฮกเกอร์นิรนามยึดทวิตเตอร์ของ Hacking Team แล้วโพสลิงก์ไปยังข้อมูลจำนวนมาก ตอนนี้ก็มีคนแกะเอาซอร์สโค้ดออกมาอัพโหลดขึ้น GitHub แล้ว

โค้ดที่อัพโหลดแสดงช่องโหว่ของระบบปฎิบัติการต่างๆ จำนวนมาก กระบวนการแฮกแยกตามระบบปฎิบัติการ, รุ่นที่ใช้ เช่นแอนดรอยด์จะแยกที่ก่อน 4.1 กับหลัง 4.2 เพราะ SELinux โค้ดหลายส่วนแยกตามรุ่นโทรศัพท์มือถือ

Read more

Hacking Team ถูกแฮก ข้อมูลการเงิน, ข้อมูลลูกค้า, เอกสาร, และซอร์สโค้ด 500GB หลุดสู่อินเทอร์เน็ต

By lew Founder on Tag: Security, Thailand, Hacking, Hacking Team
Security

บริษัท Hacking Team ผู้ผลิตซอฟต์แวร์อาศัยช่องโหว่เพื่อขายกับหน่วยงานรัฐบาลทั่วโลกกลับถูกแฮกทวิตเตอร์ในวันนี้พร้อมกับข้อความระบุว่า "เราไม่มีอะไรต้องปิดบัง และเราจะเปิดเผยอีเมล, เอกสาร, และซอร์สโค้ดของเราทั้งหมด"

Read more

นักวิจัยของ Google ตัดสินใจลาออกไปสร้างองค์กรมาตรฐานกลางด้านความปลอดภัยซอฟต์แวร์

By ตะโร่งโต้ง Writer on Tag: Security, USA, Organization, Google ATAP
Security

Peiter Zatko นักวิจัยด้านความปลอดภัยระบบคอมพิวเตอร์ หนึ่งในบุคลากรสำคัญของทีม Google ATAP ตัดสินใจลาออกจากงานปัจจุบัน เพื่อตั้ง CyberUL หน่วยงานสนับสนุนมาตรฐานกลางด้านความปลอดภัยของซอฟต์แวร์

Read more

รั่วใหญ่ทั้งประเทศ! แฮกเกอร์โจมตีเว็บสถาบันการศึกษาและบริษัทห้างร้านในไทย

By pe3z Writer on Tag: Security, Thailand
Security

เมื่อ 4 ชั่วโมงที่ผ่านมานับตั้งแต่ข่าวนี้เริ่มเขียน กลุ่มแฮกเกอร์ซึ่งใช้ชื่อว่า GhostShell ได้มีการเผยแพร่ข้อมูลการโจมตีโดยมีเป้าหมายส่วนหนึ่งเป็นเว็บไซต์สถาบันการศึกษาและบริษัทห้างร้านในไทย โดยในข้อมูลที่เผยแพร่ออกมานั้นได้มีการบอกถึงช่องโหว่ที่ใช้ในการโจมตี และข้อมูลบางส่วนที่ถูกขโมยมาจากฐานข้อมูลด้วย

Read more

FBI สืบสวน การโจมตีแบบใหม่ไม่ต้องแฮ็กให้เสียเวลา ตัดสายไฟเบอร์เลยดีกว่า

By mk Founder on Tag: Security, Internet, Fiber Optics, FBI
Security

ผู้อ่าน Blognone คงคุ้นเคยกับข่าวการโจมตีระบบคอมพิวเตอร์ด้วยเทคนิคด้านซอฟต์แวร์สารพัดรูปแบบ แต่ล่าสุดในสหรัฐอเมริกา เกิดการโจมตีรูปแบบใหม่ที่มุ่งไปตัดสายเคเบิลเพื่อให้อินเทอร์เน็ตใช้งานไม่ได้

การสืบสวนของ FBI พบว่ามีการทำลายสายเคเบิลเชื่อมต่อเน็ตในพื้นที่ Bay Area อย่างน้อย 11 ครั้งในรอบ 1 ปีที่ผ่านมา (รอบล่าสุดเมื่อวันอังคารนี้เอง) รูปแบบการโจมตีคือมีคนบุกเข้าไปยังอุโมงค์ใต้ดิน และตัดสายไฟเบอร์ออปติก 3 เส้นของบริษัท Level 3 และ Zayo

Read more

อเมซอนเปิดตัว s2n ไลบรารี TLS/SSL ของตัวเอง

By lew Founder on Tag: Open Source, Security, Amazon, SSL
Open Source

อเมซอนเปิดตัวไลบรารี TLS ของตัวเองในชื่อ s2n โดยเน้นความเล็กและเร็ว จุดเด่นสำคัญที่สุดคือโค้ดที่สั้นกว่า OpenSSL อย่างมาก โดยโค้ดในส่วน TLS นั้น s2n มีโค้ด 6,000 บรรทัด เทียบกับ OpenSSL ที่มีโค้ด 70,000 บรรทัด

Read more

Medium รองรับการล็อกอินด้วยอีเมล, ไม่ใช้รหัสผ่าน

By lew Founder on Tag: Security, Medium
Security

Medium บริการเว็บบล็อคที่สามารถคอมเมนต์ได้แยกรายย่อหน้าเพิ่มวิธีการล็อกอินแบบใหม่ผ่านอีเมลเท่านั้น หลังจากก่อนหน้านี้รองรับการล็อกอินผ่านทวิตเตอร์และเฟซบุ๊กไปก่อนแล้ว

เรื่องน่าแปลกใจของ Medium คือแม้จะสร้างบัญชีด้วยอีเมลได้ แต่กระบวนการล็อกอินจะบังคับให้ใช้ลิงก์ล็อกอินเสมอ ไม่สามารถตั้งรหัสผ่านได้ ทาง Medium ระบุว่าการตั้งรหัสให้ดีนั้นยาก และคนจำนวนมากเลือกจะใช้รหัสผ่านซ้ำกันไปมา

แนวทางนี้เปิดให้สำหรับผู้ที่สร้างบัญชีด้วยทวิตเตอร์หรือเฟซบุ๊กด้วยเช่นกัน

Read more

Medium เพิ่มทางเลือกล็อกอินแบบใหม่ ใช้แค่อีเมลเท่านั้น

By ampaipp on Tag: Security, Medium
Security

Medium บล็อกแพลตฟอร์มออนไลน์ประกาศเพิ่มทางเลือกในการล็อกอินแบบใหม่ โดยไม่ต้องใช้รหัสผ่าน ไม่ต้องเชื่อมต่อบัญชีเครือข่ายสังคมอื่น เพียงแค่คลิกลิงก์จากอีเมลเท่านั้น

แม้ว่าก่อนหน้านี้บริษัทได้อนุญาตให้ผู้ใช้สามารถใช้บัญชีของ Twitter หรือ Facebook เชื่อมต่อเครือข่ายในการล็อกอิน แต่หลังจากได้รับ Feedback จากผู้ใช้หลายคนว่า พวกเขาต้องการที่จะเข้า Medium โดยที่ไม่ต้องเชื่อมต่อกับบัญชีอื่น หรือในบางกรณีที่ผู้ใช้ไม่มีบัญชี Twitter หรือ Facebook ก็ไม่ต้องการสร้างเพียงเพื่อเอามาใช้เข้า Medium

Read more

Chrome เตือนภัย ลิงก์ภายในกระทู้พันทิปไม่ปลอดภัย

By Niiskandar Contributor on Tag: Security, Chrome, Pantip
Security

วันนี้ผมพบปัญหาการเข้าไปอ่านกระทู้ใน pantip.com หากเข้าชมด้วย Chrome และเป็นกระทู้ที่มีลิงก์ภายนอกหรือลิงก์ไปยังกระทู้อื่น หากคลิกลิงก์ดังกล่าว (ซึ่งพันทิปจะ redirect ไปยัง http://pantip.com/l/<url> ก่อน แล้วถึงจะเปิดลิงก์ดังกล่าวอีกทีหนึ่ง) Chrome จะเตือนทันทีว่า http://pantip.com/l/ ไม่ปลอดภัย

ยังไม่พบปัญหานี้หากเข้าใช้งานด้วยเบราว์เซอร์อื่น

Update- ขณะนี้พันทิปได้ทำการแก้ไขปัญหาดังกล่าวแล้ว ด้วยการ redirect ไปยังเว็บปลายทางโดยตรง โดยไม่ผ่าน http://pantip.com/l/

ที่มา - ค้นพบด้วยตัวเอง

Read more

Cisco ซื้อกิจการ OpenDNS เสริมทัพความปลอดภัยคลาวด์

By mk Founder on Tag: Cisco, Security, Acquisition, OpenDNS
Cisco

Cisco ประกาศเข้าซื้อบริษัท OpenDNS ที่เรารู้จักกันดีในฐานะผู้ให้บริการ DNS Server ฟรี แต่จริงๆ แล้ว OpenDNS ทำธุรกิจด้านความปลอดภัยบนกลุ่มเมฆ โดยป้องกันการโจมตีจาก DDoS, มัลแวร์ และบ็อตเน็ตต่างๆ

Cisco ระบุว่าซื้อ OpenDNS เพื่อมาเสริมโครงการ Security Everywhere ของตนเอง และเตรียมความพร้อมสำหรับโลกในยุค IoT (Cisco เรียก IoE) ในอนาคตอันใกล้นี้ มูลค่าการซื้อกิจการรอบนี้ 635 ล้านดอลลาร์

OpenDNS เองก็ออกมาเผยสถิติว่าปกป้องผู้ใช้เน็ตมากกว่า 65 ล้านคนทั่วโลก มีลูกค้าเกิน 10,000 องค์กร ส่วนบริการ OpenDNS แบบฟรีจะยังคงให้บริการเหมือนเดิมไม่เปลี่ยนแปลง

Read more

หน่วยงานสหรัฐผลักดันระบบสื่อสารระหว่างรถยนต์ หวังช่วยลดอุบัติเหตุ, ปัญหาใหญ่คือความปลอดภัยของข้อมูล

By nismod Writer on Tag: Security, USA, Transportation
Security

ด้วยความที่อุบัติเหตุบนท้องถนนเกิดจากความผิดพลาดของผู้ขับขี่เป็นหลัก จึงมีความพยายามใช้เทคโนโลยีต่างๆ ที่น่าจะผิดพลาดน้อยกว่ามาช่วยเพื่อแก้ปัญหา อย่างเช่นรถไร้คนขับ

ระบบสื่อสารระหว่างรถยนต์ (vehicle-to-vehicle communication) ก็เป็นอีกหนึ่งช่องทางที่ถูกคาดว่าจะช่วยแก้ปัญหาดังกล่าว ซึ่งหน่วยงานด้านความปลอดภัยทางจราจรบนถนนหลวงแห่งชาติของสหรัฐอเมริกา (the National Highway Traffic Safety Administration - NHTSA) ได้พยายามผลักดันร่างกฎหมายนี้ แต่ก็มีอีกปัญหาที่ตามมา คือความปลอดภัยของข้อมูลที่ส่งกันไปมาระหว่างรถยนต์ ซึ่งหากถูกเจาะอาจนำไปสู่การก่อการร้ายได้ด้วยซ้ำไป

Read more

NIST ถอด Dual_EC_DRBG ออกจากคำแนะนำอย่างเป็นทางการ

By lew Founder on Tag: Security, Open Standard, NIST
Security

หลังการเปิดเผยเอกสารของ Snowden มาตรฐานความปลอดภัยส่วนหนึ่งที่ถูกโจมตีอย่างหนักคือ Dual_EC_DRBG ที่เอกสารของ NSA ระบุว่าทาง NSA เป็นผู้วางมาตรฐานนี้เองทั้งหมด เมื่อมีการค้นคว้าเพิ่มเติมพบว่ามาตรฐานนี้ได้เข้ามาในคำแนะนำของ NIST อย่างน่าสงสัยเพราะประสิทธิภาพแย่และมีความเป็นไปได้ที่จะวางช่องโหว่เอาไว้ เมื่อปีที่แล้วทาง NIST พยายามรักษาหน้าด้วยการออกร่างคำแนะนำใหม่ที่ถอด Dual_EC_DRBG ออกไปจากมาตรฐาน และตอนนี้ร่างคำแนะนำก็กลายเป็นเอกสารทางการแล้ว

Read more
Subscribe to Security