Ibrahim Raafat นักวิจัยความปลอดภัยจากอียิปต์รายงานปัญหาความปลอดภัย Cross Site Scripting (XSS) บนเว็บ Google Drive ด้วยการตั้งชื่อโฟลเดอร์ว่า ‘”><svg/onload=prompt(1337)> จากนั้นจึงย้ายเอกสารเข้าไปในโฟลเดอร์นี้ แล้วย้ายเอกสารออกไปยังโฟลเดอร์อื่น จะทำให้โค้ดจาวาสคริปต์ถูกรัน

กูเกิลยอมรับปัญหานี้และแก้ปัญหาในเวลาต่อมา พร้อมกับจ่ายเงินรางวัลให้กับทีมงานเป็นเงิน 1337 ดอลลาร์

พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที

OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้

กระบวนการยืนยันว่าซอฟต์แวร์ตัวหนึ่งมีความปลอดภัยไม่ใช่แค่การเข้ารหัสที่ซับซ้อน (ความซับซ้อนอาจจะสร้างช่องโหว่เสียเองด้วย) หรือการโอเพนซอร์สแล้วอ้างว่ามีการตรวจสอบจากภายนอกแต่โครงการที่มีคนใช้งานน้อยเกินไปก็มักไม่ได้รับการตรวจสอบเพียงพออยู่ดี รอบนี้ทาง Open Technology Fund จึงจัดเงินทุนมาจ้างที่ปรึกษาให้ตรวจสอบความปลอดภัยของโปรแกรมแชตเข้ารหัสอย่าง Cryptocat

มีรายงานจากนักพัฒนาแสดงอีเมลจากอเมซอน แจ้งว่านักพัฒนานำกุญแจลับสำหรับควบคุม API ของ AWS ไปใส่ไว้ในแอพพลิเคชั่น การที่อเมซอนจะรู้ได้ว่ามีกุญแจของ AWS อยู่ในแอพพลิเคชั่นแสดงว่าต้องมีการไล่ดีคอมไพล์โค้ดของแอพพลิเคชั่นมาตรวจสอบ

อย่างไรก็ดีการทำกุญแจลับของ AWS ไปวางไว้ในแอพพลิเคชั่นนับเป็นความเลินเล่ออย่างร้ายแรง แฮกเกอร์ที่มุ่งร้ายสามารถดึงกุญแจออกมาได้เช่นเดียวกับทางอเมซอนเอง หากกุญแจเหล่านี้ตกไปอยู่ในมือแฮกเกอร์อาจจะทำสร้างเซิร์ฟเวอร์บนอเมซอนเพื่อใช้โจมตีเหยื่ออื่นๆ ต่อไปโดยใช้บัญชีของนักพัฒนา

ก่อนหน้านี้เคยมีรายงานกุญแจลับ AWS ถูกโพสไว้บน GitHub จำนวนมาก

เมลลิงลิสต์ Full Disclosure เป็นจุดแลกเปลี่ยนช่องโหว่ที่ก่อตั้งมาตั้งแต่ปี 2002 ช่องโหว่ที่เคยกระจัดกระจายอยู่ตามเว็บหรือบล็อกต่างๆ มักสามารถหารายละเอียดได้ที่นี่ แต่ผู้ดูแลและผู้ก่อตั้ง John Cartwright ก็ทนไม่ไหวเมื่อมีนักวิจัยความปลอดภัย "ในชุมชนเอง" ขอให้ลบข้อมูลจำนวนมากออกจากฐานข้อมูล

กลุ่มผู้ให้บริการอินเทอร์เน็ต, เว็บ, และบริษัทให้บริการจดทะเบียนโดเมนรวมตัวกันต่อสู้การใช้โดเมนเพื่อมุ่งร้ายต่อผู้ใช้ เช่น การวางมัลแวร์, เว็บถูกแก้ไขเพื่อเป็นตัวกลางเป็นสู่มัลแวร์, ทำเว็บปลอม (phishing), และบอตเน็ต โดยใช้ชื่อ Secure Domain Foundation (SDF)

เมื่อวานนี้ผู้ผลิตแอพพลิเคชั่นที่ใช้ชื่อว่า SCIENTIFIKA MEDIA ได้อัพโหลดแอพพลิเคชั่นเลียนแบบธนาคารไทยหลายแห่ง ได้แก่ ธนาคารกรุงไทย, ธนาคารกรุงเทพ, ธนาคารไทยพาณิชย์, ธนาคารกรุงศรีอยุธยา, และธนาคารธนชาต

เมื่อสักครู่ทางธนาคารไทยพาณิชย์ออกมาแจ้งเตือนแล้วแอพพลิเคชั่นเหล่านี้ไม่ใช่ของธนาคาร โดยแอพพลิเคชั่นของธนาคารจริงจะมีชื่อผู้พัฒนาเป็นธนาคารไทยพาณิชย์โดยตรง

ผู้ที่ดาวน์โหลดแอพพลิเคชั่นธนาคารช่วงวันสองวันนี้อาจจะต้องรีบเข้าไปตรวจสอบว่าได้ติดตั้งแอพพลิเคชั่นไปบ้างหรือไม่ ถ้าเผลอติดตั้งไปแล้วควรเร่งติดต่อธนาคารครับ

Tumblr เปิดให้บริการการยืนยันตัวตนด้วยปัจจัยที่สอง (two-factor authentication) แล้วในวันนี้ โดยเปิดให้ผู้ใช้เข้าหน้า Settings เพื่อเปิดใช้งานได้ทันที

ผู้ใช้ที่จะเปิดใช้บริการนี้จะต้องยืนยันหมายเลขโทรศัพท์กับทาง Tumblr เสียก่อน จากนั้นจึงสร้างรหัสผ่านจาก Google Authenticator ได้

ไมโครซอฟท์รายงานบั๊ก Microsoft Word ทำให้แฮกเกอร์ที่ส่งไฟล์มุ่งร้ายสามารถเข้าควบคุมเครื่องได้จากการเปิดไฟล์ขึ้นมาดู โค้ดที่ฝังอยู่ในไฟล์ RTF จะมีสิทธิเท่ากับผู้ใช้ที่ล็อกอินอยู่

บั๊กนี้ยังไม่มีการอุดช่องโหว่ออกมา คำแนะนำระหว่างนี้คือปิดความสามารถในการเปิดไฟล์ RTF ของ Microsoft Word ไปชั่วคราวเพื่อรอแพตซ์ต่อไป, ส่งอีเมลหากันเป็นเท็กซ์, และเปิดใช้งาน Enhanced Mitigation Experience Toolkit ไปก่อน ระหว่างนี้ไมโครซอฟท์กำลังดูความเป็นไปได้ว่าจะปิดบั๊กตัวนี้อย่างถาวรได้อย่างไร โดยอาจจะออกแพตซ์ในรอบหน้าหรือออกแพตซ์นอกรอบ