Security

GitHub ปรับระบบแจ้งเตือนความปลอดภัยใน npm ดูว่ากระทบกับโครงการจริงไหม

By lew

on 4 May 2023 - 22:33 Tag: GitHub, Security, NPM

GitHub

GitHub ปรับระบบแจ้งเตือนความปลอดภัยของโครงการต่างๆ ที่อาจจะดึงไลบรารีที่เกี่ยวข้อง และตัวไลบรารีมีรายงานว่ามีช่องโหว่ความปลอดภัย โดยเฉพาะในโครงการที่ใช้ไลบรารีจาก npm

ฟีเจอร์ใหม่นี้จะดูว่าโครงการแต่ละโครงการนั้นใช้ไลบรารีในรูปแบบใด เช่น ใช้เป็น devDependency ซึ่งใช้งานในโหมดพัฒนา และทางตรวจสอบจากกฎที่เตรียมไว้แล้วไม่กระทบกับโครงการปัจจุบันก็จะไม่ต้องแจ้งเตือนนักพัฒนา

ทาง GitHub เปิดใช้กับ npm ก่อนเพราะเป็น ecosystem ที่แต่ละโครงการดึง dependency จำนวนมาก และหลักจากเปิดใช้งานก็สามารถลดการแจ้งเดือนได้ประมาณ 15%

Google Account รองรับการล็อกอินด้วย Passkeys ที่ไม่ต้องใช้รหัสผ่านแล้ว

By arjin

on 3 May 2023 - 21:23 Tag: Google, Authentication, Passkey, FIDO, Security, Password

Google

กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ

ISRG เริ่มโครงการเขียน sudo และ su ใหม่ด้วยภาษา Rust แก้ปัญหาช่องโหว่หน่วยความจำ

By mk

on 2 May 2023 - 09:00 Tag: ISRG, Unix, Open Source, Security, Rust

ISRG

Internet Security Research Group (ISRG) กลุ่มวิจัยด้านความปลอดภัยอินเทอร์เน็ต องค์กรแม่ของ Let's Encrypt มีโครงการย่อยอีกตัวชื่อ Prossimo ทำเรื่องความปลอดภัยของหน่วยความจำ (memory safety) ซึ่งเป็นช่องโหว่สำคัญของซอฟต์แวร์จำนวนมาก

Windows เวอร์ชันหน้าจะรันแบบ Adminless ไม่ต้องใช้บัญชีแอดมิน, แอพ Win32 เดิมต้องทำ Isolation

By mk

on 1 May 2023 - 13:54 Tag: Windows, Microsoft, Operating System, Security

Windows

David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของ Windows เปิดเผยในงานสัมมนาความปลอดภัย BlueHat IL 2023 ที่อิสราเอล (อันเดียวกับข่าว ไมโครซอฟท์เริ่มเขียนบางส่วนของ Windows ด้วย Rust) ว่าระบบปฏิบัติการ Windows เวอร์ชันถัดไป (ที่คงเรียกว่า Windows 12 ตามข่าวลือ) จะสามารถรันแบบ Adminless คือไม่ต้องมีบัญชีแอดมิน ใช้งานด้วยบัญชีธรรมดาได้เลย

ไมโครซอฟท์เริ่มเขียนบางส่วนของ Windows ด้วย Rust แก้ปัญหาหน่วยความจำ แถมประสิทธิภาพดีขึ้น

By mk

on 1 May 2023 - 06:41 Tag: Rust, Microsoft, Programming, Windows, Security, Operating System

Rust

David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของ Windows ไปพูดในงานสัมมนาความปลอดภัย BlueHat IL 2023 ที่อิสราเอล เปิดเผยว่าไมโครซอฟท์เริ่มใช้ภาษา Rust เขียนบางส่วนของ Windows เพื่อแก้ปัญหาช่องโหว่หน่วยความจำแล้ว

Weston เล่าว่าช่องโหว่ด้านหน่วยความจำ มีสัดส่วนเป็น 70% ของช่องโหว่ทั้งหมดของ Windows ทำให้ไมโครซอฟท์ต้องหาวิธีแก้ไขที่ยั่งยืนในระยะยาว โดยวิธีการหนึ่งคือใช้ภาษาโปรแกรมที่ป้องกันเรื่องนี้ตั้งแต่ระดับของตัวภาษาเลย

Lookout ขายธุรกิจคอนซูเมอร์ให้คู่แข่ง F-Secure, จากนี้มุ่งสาย Enterprise อย่างเดียว

By mk

on 27 April 2023 - 10:20 Tag: Lookout, F-Secure, Antivirus, Security, Acquisition

Lookout

บริษัทความปลอดภัย Lookout ตกลงขายธุรกิจฝั่งคอนซูเมอร์ให้กับคู่แข่ง F-Secure ในราคา 223 ล้านดอลลาร์ ทำให้จากนี้ไป Lookout จะเหลือแต่ธุรกิจฝั่งความปลอดภัยองค์กรเพียงอย่างเดียว

หลายคนอาจเคยได้ยินชื่อ Lookout ในฐานะแอพแอนตี้ไวรัสบนมือถือ (Lookout Mobile ปัจจุบันชื่อ Mobile Security & Antivirus หรือ Lookout Life) แต่จริงๆ แล้ว Lookout ยังมีธุรกิจฝั่งองค์กรคือ Mobile Endpoint Security (MES), Security Services Edge (SSE), Lookout Cloud Security Platform ซึ่งบริษัทจะนำเงินจากการขายธุรกิจคอนซูเมอร์มาลงทุนกับธุรกิจฝั่งองค์กรต่อไป

นักวิจัยพบ Google Authenticator ไม่ได้เข้ารหัส end-to-end ขณะซิงก์ข้ามอุปกรณ์ - Google บอกจะเพิ่มฟีเจอร์นี้ในอนาคต

By arjin

on 27 April 2023 - 08:26 Tag: Google, Authentication, Security, Encryption

Google

เมื่อไม่กี่วันที่ผ่านมา กูเกิลได้ประกาศเพิ่มคุณสมบัติซิงก์ข้อมูลข้ามอุปกรณ์ผ่านบัญชีกูเกิลของ Google Authenticator แอปจัดการรหัสผ่าน 2FA ซึ่งหลายคนรอคอยมานาน (หรือไม่รอแล้ว?) อย่างไรก็ตามฟีเจอร์นี้มาพร้อมประเด็นด้านความปลอดภัย

โดยนักวิจัยความปลอดภัยชื่อ Mysk เปิดเผยว่า จากการตรวจสอบทราฟิกในการซิงก์ข้อมูลของ Google Authenticator พบว่าข้อมูลที่รับ-ส่งเข้าเซิร์ฟเวอร์กูเกิลนั้นไม่มีการเข้ารหัสแบบ end-to-end จึงเป็นความเสี่ยงหากมีผู้เข้าถึงข้อมูลดังกล่าว และอาจสร้างรหัส 2FA ขึ้นมาซ้ำได้หากรู้ seed ของโค้ดนั้น

VirusTotal โชว์ปัญญาประดิษฐ์ Sec-PaLM อธิบายมัลแวร์ว่าอันตรายอย่างไร ช่วยลดการตรวจจับผิดพลาด

By lew

on 25 April 2023 - 16:38 Tag: VirusTotal, Security, Artificial Intelligence

VirusTotal

VirusTotal เปิดบริการ VirusTotal Code Insight บริการวิเคราะห์มัลแวร์ที่ต่อยอดมาจาก Google Cloud Security AI Workbench อีกต่อหนึ่ง โดยจุดแข็งของ Code Insight คือการอธิบายอันตรายของมัลแวร์แต่ละตัวออกมาเป็นภาษาพูดที่เข้าใจได้ง่าย ทำให้ผู้เกี่ยวข้องประเมินความร้ายแรงของมัลแวร์แต่ละตัวได้ดีขึ้น

Google Cloud เปิดตัว Security AI Workbench ใช้โมเดลภาษา PaLM วิเคราะห์ข้อมูลความปลอดภัย

By mk

on 25 April 2023 - 07:29 Tag: Google Cloud, Security, Artificial Intelligence, Mandiant, Chronicle, VirusTotal, LLM

Google Cloud

กูเกิลเปิดตัวบริการความปลอดภัย Google Cloud Security AI Workbench ที่ใช้โมเดล Generative AI มาช่วยยกระดับประสิทธิภาพในการตรวจจับภัยคุกคาม

โมเดลที่ใช้งานคือ Sec-PaLM เป็นเวอร์ชันพิเศษของ PaLM โมเดลภาษาขนาดใหญ่ (LLM) ที่กูเกิลเปิดตัวเมื่อปีที่แล้ว และเริ่มนำมาใช้งานในวงกว้างขึ้นเรื่อยๆ (ล่าสุดคือเปิด API เชื่อมต่อแอพภายนอก)

KeePassXC ออกรายงานตรวจสอบความปลอดภัยโค้ด พบส่วนใหญ่ทำได้ดี มีข้อแนะนำปรับปรุงบางส่วน

By lew

on 16 April 2023 - 15:04 Tag: Security, Password Manager, Open Source, KeePass

Security

KeePassXC โปรแกรมจัดการรหัสผ่านโอเพนซอร์สเปิดเผยรายงานตรวจสอบความปลอดภัยโค้ด ที่ตรวจสอบโดย Zaur Molotnikov ที่ปรึกษาด้านความปลอดภัย การตรวจสอบเน้นเฉพาะระบบการอ่านและเขียนฐานข้อมูลรหัสผ่าน โดยไม่ได้ตรวจสอบส่วนอื่นๆ เช่น เช่น ระบบการสุ่มรหัสผ่าน

KeePassXC เป็นโครงการโอเพนซอร์สที่พัฒนาโปรแกรมโดยใช้ฐานข้อมูลร่วมกับโปรแกรม KeePass ได้ แม้จะใช้ฐานข้อมูลแบบเดียวกัน แต่ KeePass นั้นพัฒนาด้วยภาษา C# และต้องการ .NET ขณะที่ KeePassXC ใช้ภาษา C++ และพัฒนาด้วย Qt สำหรับโปรแกรม KeePass เองนั้นเคยถูกตรวจสอบโดยสหภาพยุโรปเป็นผู้ให้ทุน

Chrome ออกอัพเดตฉุกเฉิน แก้ไขช่องโหว่ Zero-Day แนะนำอัพเดตทันที

By arjin

on 16 April 2023 - 06:04 Tag: Chrome, Browser, Security

Chrome

กูเกิลออกอัพเดตฉุกเฉิน Chrome เวอร์ชัน 112.0.5615.121 สำหรับเดสก์ท็อปทั้งบน Windows, Mac และ Linux แก้ไขช่องโหว่ความรุนแรงระดับ High จึงแนะนำให้ผู้ใช้งานอัพเดตทันที

ช่องโหว่ที่แก้ไขคือ CVE-2023-2033 ซึ่งเกี่ยวกับเอ็นจิน Chrome V8 JavaScript โดยกูเกิลบอกว่ามีรายงานการโจมตีแล้ว แต่จะเปิดเผยรายละเอียดของบั๊ก เมื่อผู้ใช้งานส่วนใหญ่ได้อัพเดตเบราว์เซอร์เป็นเวอร์ชันล่าสุดแล้ว

นอกจากนี้อัพเดตเวอร์ชัน 112.0.5615.121 ยังแก้ไขปัญหาทั่วไปที่ตรวจสอบพบเพิ่มเติมภายในด้วย

WhatsApp ประกาศเพิ่มฟีเจอร์ความปลอดภัย ป้องกันการถูกขโมยบัญชี

By arjin

on 14 April 2023 - 21:51 Tag: WhatsApp, Security

WhatsApp ประกาศเพิ่มฟีเจอร์ด้านความปลอดภัย เพื่อป้องกันการถูกขโมยบัญชีใช้งาน โดยเมื่อผู้ใช้งานต้องการสลับบัญชี WhatsApp ไปใช้บนอุปกรณ์ใหม่ จะต้องยืนยันการย้ายบัญชีใน__อุปกรณ์เก่าเครื่องเดิม__ ว่าต้องการดำเนินการย้ายบัญชีจริง ๆ

WhatsApp บอกว่าการเพิ่มเงื่อนไขยืนยันอุปกรณ์นี้ จะทำให้บัญชีมีความปลอดภัยมากขึ้น โดยผู้ใช้งานไม่ต้องดำเนินการเพิ่มเติม และช่วยป้องกันบัญชีได้หากอุปกรณ์ตกอยู่ในอันตราย

นอกจากนี้ WhatsApp ยังเพิ่มเครื่องมือให้ผู้ใช้งานสามารถตรวจสอบคู่สนทนาได้ว่าการสนทนาได้รับการเข้ารหัสถูกต้อง โดยคลิกที่แถบ Encryption ในหน้าข้อมูลผู้ติดต่อ

กูเกิลเปิดบริการตรวจสอบความปลอดภัยแพ็กเกจโอเพนซอร์ส Assured OSS ให้ใช้งานฟรี

By mk

on 14 April 2023 - 07:06 Tag: Google Cloud, Google, Open Source, Enterprise, Security

Google Cloud

Google Cloud มีโครงการ Assured Open Source Software (Assured OSS) คอยช่วยดูแลความปลอดภัยของแพ็กเกจโอเพนซอร์สแบบครบวงจร เพื่อป้องกันปัญหา supply chain attack ที่พบบ่อยขึ้นในช่วงหลัง

ตอนนี้โครงการ Assured OSS เข้าสถานะ general availability (GA) และเปิดให้องค์กรใช้ฟรี สิ่งที่ Assured OSS เข้ามาช่วยมีตั้งแต่ตรวจสอบแพ็กเกจซอฟต์แวร์ว่ามาจากแหล่งที่เชื่อถือได้, คอยสแกนโค้ด หาช่องโหว่ อุดช่องโหว่, เข้ามาช่วยทำเรื่อง package signing เพื่อการันตีความปลอดภัยของแพ็กเกจ

รัฐบาลเนเธอร์แลนด์ขีดเส้นตาย เน็ตเวิร์ครัฐบาลต้องใช้ RPKI ป้องกันการขโมยทราฟิกภายในปี 2024

By lew

on 9 April 2023 - 22:38 Tag: Internet, Netherlands, Security

Internet

รัฐบาลเนเธอร์แลนด์ประกาศขีดเส้นตายเตรียมบังคับหน่วยงานรัฐบาลทั้งหมดต้องรองรับกระบวนการยืนยันเส้นทางเน็ตเวิร์ค หรือ Resource Public Key Infrastructure (RPKI) ภายในสิ้นปี 2024 ทำให้ตอนนี้หน่วยงานต่างๆ ที่กำลังทำเรื่องจัดซื้อต้องเพิ่มเงื่อนไขนี้เข้าไปในการจัดซื้อแล้ว

MSI โดนแฮ็กระบบ แฮ็กเกอร์ได้ซอร์สโค้ดของบริษัท, เตือนให้ระวังเฟิร์มแวร์ฝังมัลแวร์

By mk

on 8 April 2023 - 07:14 Tag: MSI, Data Breach, Security, Hacking

MSI

MSI ยอมรับว่าโดนแฮ็กระบบภายใน แฮ็กเกอร์เข้าถึงซอร์สโค้ดของบริษัทด้วย ทำให้ MSI ต้องออกมาเตือนลูกค้าว่าจากนี้ไปขอให้ดาวน์โหลดไฟล์เฟิร์มแวร์ หรือ BIOS จากช่องทางอย่างเป็นทางการของบริษัทเท่านั้น เพราะมีโอกาสโดนฝังมัลแวร์สูงหากดาวน์โหลดจากเว็บไซต์ภายนอก

เหตุการณ์นี้มีแก๊งแรนซัมแวร์ชื่อ Money Message ออกมาประกาศตัวว่าได้ข้อมูลของ MSI ไป และเรียกค่าไถ่เป็นเงิน 4 ล้านดอลลาร์ แลกกับการไม่ปล่อยข้อมูลเหล่านี้ต่อสาธารณะ

ที่มา - MSI, PCMag

พบช่องโหว่อุปกรณ์เปิดประตูโรงรถยี่ห้อ Nexx สามารถสั่งเปิดทุกประตูในโลกได้จากระยะไกล

By mk

on 5 April 2023 - 09:10 Tag: Smart Home, Security

Smart Home

Sam Sabetan นักวิจัยความปลอดภัย เผยแพร่ข้อมูลช่องโหว่ร้ายแรงของอุปกรณ์ควบคุมประตูโรงรถ (Smart Garage Door Openers) ยี่ห้อ Nexx ซึ่งวางขายในสหรัฐ

ช่องโหว่ที่ค้นพบนี้ เปิดโอกาสให้ใครก็ได้สามารถสั่งเปิดประตูโรงรถที่ใช้ระบบของ Nexx ที่ไหนก็ได้ในโลกที่ต่อเน็ตอยู่ (คาดว่ามีราว 40,000 แห่ง)

ธนาคารในออสเตรเลียแก้ประกาศรับสมัครงานความปลอดภัยไซเบอร์ หลังพบว่าผู้หญิงไม่สมัครหากคุณสมบัติไม่ครบ

By lew

on 4 April 2023 - 14:17 Tag: Security, Employment, Banking, Gender, Australia

Security

Richard Johnson CISO ของธนาคาร Westpac ในออสเตรเลียออกมาระบุว่าธนาคารจะเปลี่ยนแนวทางการเขียนประกาศรับสมัครงานเสียใหม่ หลังพบว่าการเขียนเงื่อนไขที่แน่นเกินไปกระทบกับผู้สมัครหญิงมากเป็นพิเศษ

เขายกตัวอย่างการตั้งเงื่อนไขประสบการณ์ 5 ปีกับเทคโนโลยีบางตัว เมื่อผู้สมัครหญิงมีคุณสมบัติไม่ตรงก็มักจะข้ามไม่สมัครไปเลย ขณะที่ผู้สมัครชายจะลองสมัครดูก่อน โดยหลังจากนี้จะพูดถึงแนวทางการทำงานมากขึ้นแทนที่จะเน้นความสามารถทางเทคนิคบางอย่างเป็นการเฉพาะ

Western Digital โดนแฮ็กระบบ คาดข้อมูลรั่วไหล, ปิดเซิร์ฟเวอร์ My Cloud ชั่วคราว

By mk

on 3 April 2023 - 20:25 Tag: Western Digital, Hacking, Security

Western Digital

Western Digital แถลงว่าโดนบุกรุกเข้าระบบเครือข่ายภายใน โดยเหตุการณ์เกิดขึ้นตั้งแต่วันที่ 26 มีนาคม 2023

บริษัทระบุว่าแฮ็กเกอร์เข้าถึงระบบภายในจำนวนหนึ่ง จึงต้องนำระบบบางส่วนออฟไลน์ไปก่อน ตอนนี้บริษัทอยู่ระหว่างการสอบสวนและกำลังฟื้นระบบกลับคืนมา

Western Digital คาดว่าแฮ็กเกอร์ได้ข้อมูลภายในไปด้วย แต่ยังไม่ระบุชัดว่ามีอะไรบ้าง และจะประกาศให้ทราบกันต่อไป

ระบบหนึ่งของ Western Digital ที่ถูกปิดไปในช่วงนี้คือ My Cloud ระบบแบ็คอัพสำหรับลูกค้าทั่วไปของบริษัท ส่งผลกระทบต่อผู้ใช้งานเป็นจำนวนมาก โดยขณะที่เขียนข่าวนี้ ระบบ My Cloud ยังขึ้นสถานะเป็นออฟไลน์อยู่

โปรแกรมโทรศัพท์ออนไลน์ 3CX ถูกแทรกโค้ดมัลแวร์กระจายให้ลูกค้า

By lew

on 3 April 2023 - 11:46 Tag: Security, Malware

Security

3CX ผู้ผลิตซอฟต์แวร์ VoIP/PBX ระดับองค์กรถูกแทรกโค้ดมัลแวร์เข้าไปในแอปเวอร์ชั่นเดสก์ทอป ทำให้ลูกค้าจำนวนมากตกอยู่ในความเสี่ยงว่าจะถูกขโมยข้อมูลในองค์กร โดยตั้งแต่ช่วงปลายเดือนมีนาคมที่ผ่านมา ลูกค้า 3CX เริ่มรายงานว่าโปรแกรมป้องกันไวรัสฟ้องว่าโปรแกรม 3CX นั้นเป็นมัลแวร์

ตัวมัลแวร์ซ่อนอยู่ในไฟล์ชื่อว่า ffmpeg.dll เมื่อรันโปรแกรม 3CX แล้วมันจะดาวน์โหลดไฟล์ icon จาก GitHub ที่ข้างในไฟล์ซ่อน URL มัลแวร์จริงๆ เอาไว้ และดาวน์โหลดโค้ดมัลแวร์มารัน

Linus Tech Tips เผย โดนมัลแวร์หลอกว่าเป็นไฟล์ PDF ขโมย session cookies แอคเคาท์ YouTube

By nismod

on 31 March 2023 - 17:19 Tag: YouTube, Security

YouTube

วันที่ 23 มีนาคมที่ผ่านมา ช่อง YouTube สายไอทีชื่อดังอย่าง Linus Tech Tips และช่องในเครือถูกแฮ็ก, ซ่อนวิดีโอ (unlisted) และถูกนำแชนแนลไปไลฟ์วิดีโอ Elon Musk ที่พูดเรื่องคริปโต พร้อม QR สแกมไปยังเว็บสแกมคริปโต

หลังจากกู้แอคเคาท์กลับมาได้ Linus Sebastian เจ้าของแชนแนล ทำคลิปเล่าว่า ตัวแอคเคาท์มีการใช้งาน 2FA อยู่แล้ว แฮกเกอร์ก็ไม่ได้รหัสผ่านไป แต่สาเหตุที่โดนแฮ็ก เพราะทีมงานไปเปิดไฟล์ PDF ปลอมที่เป็นข้อเสนอสปอนเซอร์ ก่อนที่ตัวเครื่องจะติดมัลแวร์ และถูกขโมย session cookies ของ YouTube ไป

Subscribe to Security