[Pwn2Own 2013] สรุปงาน Pwn2Own ไม่มีเบราว์เซอร์และปลั๊กอินใดรอดจากการถูกเจาะ

By pe3z Writer on Tag: Security, Firefox, Chrome, Pwn2Own, Internet Explorer
Security

หลังจากการแข่งขันด้านความปลอดภัย Pwn2Own ประจำปี 2013 จบไปในวันแรก ผลปรากฎว่าทั้ง IE, Firefox และ Chrome ถูกแฮกเกอร์เจาะสำเร็จทั้งสามผลิตภัณฑ์ โดยรายละเอียดมีดังนี้

IE10 ที่ถูกติดตั้งบน Surface Pro ได้ถูกเจาะโดยทีม VUPEN ด้วยช่องโหว่จำนวนสองตัวซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบรวมถึงข้ามผ่านการทำงานของ sandbox ได้ โดย VUPEN ได้รับเงินรางวัลจากช่องโหว่นี้เป็นจำนวน $100,000

Read more

พบช่องโหว่ใน Galaxy S III สามารถเข้าถึงข้อมูลได้แม้ตั้งรหัสล็อค

By nutmos Writer on Tag: Security, Samsung, Android, Galaxy S III
Security

นอกจาก iOS 6.1 จะพบช่องโหว่ที่เข้าถึงข้อมูลได้แม้ตั้งรหัสล็อคแล้ว ก็มีผู้ค้นพบช่องโหว่แบบเดียวกันนี้บน Galaxy S III ช่องโหว่นี้ ทำให้สามารถผ่านหน้าจอล็อคของ Galaxy S III ไปได้ และเข้าถึงได้ทุกฟังก์ชันของเครื่อง ผู้ค้นพบช่องโหว่นี้คือ Sean McMillan เขาได้แนะนำวิธีไว้ ดังนี้

  1. กดปุ่มโทรฉุกเฉินในหน้า lockscreen
  2. กดปุ่ม Emergency Contacts
  3. กดปุ่มโฮมและตามด้วยปุ่ม power ทันที
  4. หน้าจอจะดับ
  5. กดปุ่ม power อีกที จะปรากฏหน้าจอ home screen ของ Galaxy S III

แต่ Sean McMillian บอกไว้ว่า

Read more

Evernote เตรียมเพิ่มระบบล็อกอิน Two-Factor Authentication หลังโดนแฮ็ก

By mk Founder on Tag: Security, Evernote
Security

ตัวแทนของ Evernote ให้สัมภาษณ์กับ InformationWeek ว่าบริษัทจะนำระบบล็อกอินสองชั้น (Two-Factor Authentication) มาใช้ในเร็วๆ นี้ หลังกรณีโดนแฮ็กเมื่อไม่กี่วันที่แล้วจนต้องรีเซ็ตรหัสผ่านของผู้ใช้ทุกราย

Evernote บอกว่ามีแผนจะทำระบบ Two-Factor Authentication อยู่แล้ว แต่เมื่อโดนแฮ็กก็ต้องเร่งทำระบบนี้ให้เสร็จเร็วกว่าเดิม ในเบื้องต้นระบบนี้จะยังเป็นทางเลือก (optional) ให้ผู้ใช้ที่ต้องการความปลอดภัยระดับสูงกว่าการใช้รหัสผ่านอย่างเดียว

Read more

ออราเคิลออก Java 7u17 แก้ช่องโหว่เก่า, ผู้เชี่ยวชาญพบช่องโหว่ใหม่อีก 5 จุด

By mk Founder on Tag: Java, Security, Oracle
Java

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

Read more

ช่องโหว่ bypass lockscreen ใน Samsung Galaxy Note II

By Bigta Contributor on Tag: Security, Samsung, Android, Galaxy Note II
Security

หลังจากที่มีข่าวช่องโหว่ bypass lockscreen ใน iOS 6 คราวนี้ก็ถึงตา Samsung บ้าง โดยช่องโหว่ที่ว่านี้อยู่ใน Samsung Galaxy Note II ซึ่งผู้ไม่หวังดีสามารถเข้าถึงหน้าจอ home screen ของผู้ใช้ได้ ถึงแม้ว่าจะตั้งค่าการล็อกหน้าจอแล้วก็ตาม วิดีโอสาธิตอยู่ท้ายข่าวครับ

อย่างไรก็ตาม ช่องโหว่นี้ยังไม่ได้รับการยืนยันว่าเป็นช่องโหว่ของ Android 4.1.2 หรือเป็นช่องโหว่ในซอฟต์แวร์ของ Samsung เองกันแน่ และถึงแม้จะเปลี่ยนไปใช้แอพ launcher หรือ lock screen ตัวอื่นก็ยังมีช่องโหว่นี้อยู่ดี

วิดีโอสาธิตการทำงาน

Read more

รัฐบาลญี่ปุ่นแนะให้โหลดแอพจาก Store ของโอเปอเรเตอร์แทน Google Play หลังพบคนติดมัลแวร์กว่า 5 แสน

By Bigta Contributor on Tag: Security, Japan, Android, Malware, Google Play
Security

หน่วยงาน Information Technology Promotion Agency (IPA) ของรัฐบาลญี่ปุ่นประกาศแจ้งเตือนให้ผู้ที่ใช้งานระบบปฏิบัติการ Android เปลี่ยนไปติดตั้งแอพพลิเคชันจาก Store ของโอเปอเรเตอร์ในญี่ปุ่นแทนที่จะเป็น Google Play

เนื่องจาก IPA พบว่ามีแอพพลิเคชั่นชื่อ "sexy porn model wallpaper" อยู่ใน Google Play Store ตั้งแต่วันศุกร์ที่ 1 มีนาคม และมีคนดาวน์โหลดไปติดตั้งกว่า 500,000 คนก่อนที่แอพพลิเคชั่นนี้จะถูกลบออกไปในเวลาต่อมา โดยแอพพลิเคชันดังกล่าวนี้จะแอบส่งข้อมูลส่วนตัวของผู้ใช้งาน เช่น หมายเลข IMEI ของโทรศัพท์มือถือ ตำแหน่งที่อยู่ หรืออีเมล ไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี

Read more

แอปเปิลออกอัพเดตบล็อค Flash Player รุ่นก่อนๆ

By tanersirakorn Contributor on Tag: Apple, Security, Mac OS X, Adobe Flash
Apple

หลังจากออกอัพเดตจาวาให้กับ OS X วันนี้แอปเปิลออกอัพเดตให้กับ Safari เพื่อบล็อคการทำงานของ Flash Player เวอร์ชั่นต่ำกว่า 11.6.602.171

การออกอัพเดตครั้งนี้นั้นมีเพื่อปิดการทำงานของ Adobe Flash รุ่นก่อนๆ หลังจาก Adobe ออกอัพเดต ช่องโหว่ความปลอดภัย 3 จุด ที่มีการนำไปใช้โจมตีแล้วจริงๆ

Read more

รัฐบาลแคนาดาเตือน การส่งข้อมูลผ่าน BBM ไม่ปลอดภัยเท่าอีเมลในระบบ BlackBerry

By mk Founder on Tag: Security, Canada, BBM, BlackBerry, Mobile
Security

หน่วยงานด้านความปลอดภัยสาธารณะของแคนาดา ออกประกาศเตือนข้าราชการและพนักงานของรัฐที่นิยมส่งข้อมูลผ่าน BBM ว่าเป็นการสื่อสารที่มีความปลอดภัยต่ำที่สุดของ BlackBerry ทั้งหมด และไม่เหมาะสำหรับส่งข้อมูลที่เป็นความลับของทางราชการ

เหตุผลคือ BBM เข้ารหัสด้วยคีย์กลางที่สมาร์ทโฟน BlackBerry ทุกเครื่องใช้ร่วมกัน ดังนั้นถ้ามีคนได้ข้อมูล BBM ที่ถูกเข้ารหัสไป ก็อาจถูกถอดรหัสด้วย BlackBerry เครื่องอื่นๆ ได้ และยิ่งระบบ PIN ของ BlackBerry ผูกติดกับฮาร์ดแวร์ ถ้าหน่วยงานรัฐมีนโยบายเวียนใช้ฮาร์ดแวร์เครื่องเดิม ก็ยิ่งมีโอกาสข้อมูลหลุดสูง

Read more

ด่วน! บริการ Evernote ถูกแฮก แจ้งผู้ใช้งานเปลี่ยนรหัสผ่านโดยด่วน

By pe3z Writer on Tag: Security, Hacking, Evernote
Security

ฝ่ายรักษาความปลอดภัยของบริษัท Evernote ตรวจพบความพยายามในการลักลอบที่จะเข้าถึงข้อมูลของบริการต่างๆ ของ Evernote ซึ่งจากการตรวจสอบเบื้องต้นยังไม่พบหลักฐานที่แสดงให้เห็นว่ามีการเข้าถึง หรือเปลี่ยนแปลงของข้อมูลใดๆ โดยการลักลอบเข้าถึงในครั้งนี้นั้นเป็นการพยายามเข้าถึงข้อมูลของผู้ใช้งาน Evernote ซึ่งรวมทั้งบัญชีผู้ใช้ อีเมล และรหัสผ่าน (ที่ผ่านการเข้ารหัสแล้ว)

Read more

พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15

By mk Founder on Tag: Java, Security, Oracle
Java

Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)

ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้

Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด

Read more

ช่องโหว่ HTML5 สามารถทำให้ไดรฟ์ของผู้ใช้งานเบราว์เซอร์บางตัวเต็มไปด้วยไฟล์ขยะได้

By inkirby Contributor on Tag: Security, Browser, HTML5, Storage
Security

โดยปกติแล้ว เมื่อแต่ละเว็บไซต์บนอินเทอร์เน็ตนั้นต้องการที่จะเก็บข้อมูลไว้บนเบราว์เซอร์ของผู้เข้าชมนั้นจะใช้วิธีเก็บไว้เป็นไฟล์คุกกี้ แต่ในปัจจุบันเว็บเพจที่เป็น HTML5 นั้นจะสามารถจัดเก็บข้อมูลลงใน Web Storage บนแต่ละเบราว์เซอร์แทนด้วยพื้นที่ที่มากกว่า รวดเร็วกว่า และปลอดภัยกว่า

Read more

Adobe แพตช์ช่องโหว่ความปลอดภัย Flash อีก 3 จุด

By mk Founder on Tag: Security, Adobe Flash, Adobe
Security

Adobe ประกาศอัพเดต Flash Player เวอร์ชันใหม่อีกครั้ง หลังค้นพบช่องโหว่ความปลอดภัย 3 จุด ซึ่งมีข้อมูลยืนยันว่า 2 จุดถูกแฮ็กเกอร์นำไปใช้โจมตี Firefox กันแล้ว

  • รุ่นบนวินโดวส์และแมค เลขเวอร์ชันที่อัพเดตใหม่คือ 11.6.602.171
  • รุ่นบนลินุกซ์ 11.2.202.273
  • รุ่นบน Chrome (มากับ Chrome โดยอัตโนมัติ) 11.6.602.171
  • รุ่นบน IE10/Windows 8 (อัพเดตอัตโนมัติ) 11.6.602.171

ผู้ใช้ Flash ทุกท่านควรรีบอัพเดตกันด่วนครับ

Read more

เผยช่องโหว่ Two-factor authentication ของกูเกิล เข้าถึงบัญชีผู้ใช้ได้

By pe3z Writer on Tag: Google, Security, Hacking
Google

บริษัทด้านความปลอดภัย Duo ได้ทำการเผยแพร่ช่องโหว่ของ Two-factor-authentication หรือการพิสูจน์ตัวตนโดยใช้ 2 ปัจจัยหลักของกูเกิล หลังจากได้ทำการแจ้งไปยังฝ่ายความปลอดภัยตั้งแต่ช่วงเดือนกรกฎาคมปีที่แล้ว และได้รับการแก้ไขในวันที่ 21 ที่ผ่านมา โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้อย่างสมบูรณ์หากมีการเปิดใช้งาน Application-Specific-Passwords (ASPs) และมีการใช้การเข้าระบบอัตโนมัติไว้

Read more

Firefox 22 จะบล็อกคุกกี้จาก third-party เป็นค่าเริ่มต้น

By nutmos Writer on Tag: Security, Privacy, Firefox, Browser
Security

Jonathan Mayer นักวิจัยจากสแตนฟอร์ด ได้มีส่วนร่วมในการพัฒนาแพทซ์ที่ป้องกันไม่ให้คุกกี้จาก third-party ติดตั้งบนเบราว์เซอร์ของผู้ใช้ ซึ่งแพทซ์นี้จะถูกรวมเข้ากับ Firefox เวอร์ชัน 22

แพทซ์นี้ จะให้ Firefox บล็อคคุกกี้จากเว็บไซต์ third-party ที่ผู้ใช้ไม่ได้ไปเข้าเว็บนั้นโดยตรง เนื่องจากผู้เก็บข้อมูลโฆษณามักจะวางคุกกี้ไว้ในเว็บไซต์ที่เราเข้าไปเยี่ยมชม และเก็บข้อมูลจากผู้ใช้โดยไม่ได้รับอนุญาตเพื่อใช้ในการทำโฆษณา

ที่มา - Ars Technica

Read more

cPanel โดนแฮ็ก ลูกค้าเปลี่ยนรหัสผ่านด่วน

By mk Founder on Tag: Security, Hacking
Security

บริษัท cPanel ซอฟต์แวร์สำหรับบริหารเว็บโฮสติ้ง แจ้งข่าวถึงผู้ใช้ทางอีเมลว่าเซิร์ฟเวอร์ของบริษัทโดนแฮ็ก ซึ่งยังไม่ทราบว่าส่งผลกระทบไปถึงเซิร์ฟเวอร์ของลูกค้าที่ติดตั้ง cPanel ด้วยหรือไม่ แต่เบื้องต้นขอให้ลูกค้าเปลี่ยนรหัสผ่านหรือ SSH key เป็นการด่วน

ตอนนี้ทางบริษัทยังไม่ให้รายละเอียดใดๆ ผ่านเว็บไซต์ของตัวเอง ดังนั้นในเบื้องต้นคนแถวๆ นี้ที่ใช้ cPanel ก็ควรเปลี่ยนรหัสผ่านเพื่อความปลอดภัยกันเอาไว้ก่อนครับ

ที่มา - Ars Technica

Read more

เมื่อ Java กลายเป็นแพลตฟอร์มที่ไม่น่าพิศมัย

By bow_der_kleine Writer on Tag: Special Report, Java, Security, Programming
Special Report

เดิมที Java มักถูกวิจารณ์ในแง่ของแนวทางในการพัฒนาซอฟต์แวร์ที่มีความซับซ้อน และซอฟต์แวร์ที่ได้ใช้ทรัพยากรระบบมาก แต่ก็ยังเป็นแพลตฟอร์มได้รับความนิยมเนื่องเพราะ จำนวน ความหลากหลาย และขีดความสามารถของไลบรารี จำนวนผู้ใช้งาน ความปลอดภัย ค่าใช้จ่าย (ฟรี) ฯลฯ แต่หลังจากที่ Oracle ได้ซื้อ Java ไปจาก Sun ข่าวไม่ดีต่าง ๆ ได้ออกมาจำนวนมาก ไม่ว่าจะเป็นเรื่องความปลอดภัย (เฟซบุ๊ก, ทวิตเตอร์, แอปเปิล, ไมโครซอฟท์

Read more

ไมโครซอฟท์ถูกแฮ็กด้วยช่องโหว่ Java เหมือนเฟซบุ๊กและแอปเปิล

By lew Founder on Tag: Java, Security, Malware, Microsoft
Java

ไมโครซอฟท์ออกแถลงยืนยันว่าบริษัทเป็นเหยื่อของการแฮ็กผ่านช่องโหว่เดียวกับเฟซบุ๊กและแอปเปิล โดยคอมพิวเตอร์จำนวนหนึ่งรวมถึงคอมพิวเตอร์ในส่วนธุรกิจแมคติดมัลแวร์ที่อาศัยช่องโหว่ของ Java sandbox เช่นเดียวกับรายอื่นๆ

ไมโครซอฟท์กำลังตรวจสอบความเสียหาย แต่ระหว่างนี้ยังไม่มีหลักฐานใดๆ แสดงว่ามีข้อมูลลูกค้าหลุดออกไปกับมัลแวร์นี้

ที่มา - TechNet

Read more

Mandiant ระบุ การโจมตีทางไซเบอร์จำนวนมากเกี่ยวข้องกับกองทัพจีน

By lew Founder on Tag: Security, Internet, China
Security

บริษัทรักษาความปลอดภัยคอมพิวเตอร์ Mandiant รายงานถึงการโจมตีระบบคอมพิวเตอร์ที่ทางบริษัทเข้าไปสืบสวนตั้งแต่ปี 2006 พบว่ามีกว่า 140 กรณีที่เกี่ยวข้องกับกองทัพจีนในหน่วย 61398

ทาง Mandiant เรียกหน่วยนี้ว่าหน่วย APT1 โดยในการรวบรวมข้อมูล ไม่ได้มีหลักฐานเป็นหมายเลขไอพีไปยังหน่วยงานนี้โดยตรง แต่รายงานวิเคราะห์จากหลักฐานแวดล้อมอื่นๆ เช่น เครื่องมือที่ใช้, กระบวนการเจาะระบบ พบว่ามีทิศทางไปในทางเดียวกัน

Read more

แอปเปิลออกอัพเดต Java บน Mac OS X หลังโดนแฮ็ก

By mk Founder on Tag: Apple, Java, Security, Mac OS X
Apple

ต่อจากข่าว แอปเปิลโดนแฮ็กจากช่องโหว่ Java ล่าสุดแอปเปิลออกอัพเดต Java สำหรับผู้ใช้ Mac OS X แล้ว

อัพเดตตัวนี้ใช้เลขรุ่นว่า Java for OS X 2013-001 โดยเทียบเท่ากับ Java SE 6 (1.6.0_41) ของออราเคิล

นอกจากแก้ปัญหาความปลอดภัยแล้ว อัพเดตตัวนี้ยังสั่งปิดการทำงานของปลั๊กอิน Java SE 6 (ซึ่งตกรุ่นแล้ว) ภายในเว็บเบราว์เซอร์ คนที่ต้องการใช้งาน Java บนเบราว์เซอร์จำเป็นต้องดาวน์โหลด Java SE 7 จากออราเคิลมาติดตั้งเอง

Read more

ไม่ใช่แค่เฟซบุ๊ก!? แอปเปิลก็โดนแฮ็กจากช่องโหว่ Java เหมือนกัน

By tonster Contributor on Tag: Apple, Java, Security, Hacking
Apple

ไม่กี่วันก่อนมีข่าวออกมาว่าเฟซบุ๊กโดนแฮ็กผ่านทางแล็ปท็อปของพนักงาน

วันนี้แอปเปิลก็ได้ออกมาประกาศว่าโดนแฮ็กจากแฮ็กเกอร์กลุ่มเดียวกันเช่นกัน โดยคอมพิวเตอร์แมคจำนวนหนึ่งของพนักงานได้ถูกแฮ็กผ่านทางช่องโหว่ความปลอดภัยของจาวาในลักษณะเดียวกันกับที่พนักงานของเฟซบุ๊กโดน กล่าวคือผ่านทางการเข้าชมเว็บไซต์สำหรับนักพัฒนาเว็บหนึ่งที่ถูกแฮ็กมาก่อน ทั้งนี้แอปเปิลยืนยันว่าไม่มีหลักฐานใดๆ บ่งชี้ว่ามีข้อมูลภายในหลุดออกมา

Read more
Subscribe to Security