นักวิจัยเผยช่องโหว่ความปลอดภัยของ cloud แบบสาธารณะ เสี่ยงถูกขโมย private key

By pe3z Writer on Tag: Security, Cryptography, Cloud, Cloud Storage
Security

กลุ่มของนักวิจัยจากมหาวิทยาลัยนอร์ทแคโรไลนา มหาวิทยาลัยวิสคอนซินและ RSA Security ค้นพบช่องโหว่บน cloud แบบสาธารณะที่ช่วยให้ผู้โจมตีสามารถเข้าถึง 4096-bit private ElGamal decryption key ที่เข้ารหัสโดย libgcrypt v1.5.0 จากเซิร์ฟเวอร์ที่มีการแชร์กันได้แบบ Cross-VM

Read more

ผู้ใช้ Plone อัพเกรดด่วน: Hotfix สำหรับปิดจุดเสี่ยง 24 แห่ง

By neizod Contributor on Tag: Security, Python, CMS, Plone
Security

หลังจากได้รับรายงานจุดที่เสี่ยงต่อการถูกเจาะระบบเป็นจำนวน 24 รายการโดยทีมรักษาความปลอดภัยและผู้ใช้งาน ตอนนี้ Plone ก็ได้ออก hotfix ปิดจุดเสี่ยงเหล่านั้นแล้วครับ

ดาวน์โหลด hotfix และอ่านวิธีติดตั้งได้ที่นี่ โดยมันถูกทดสอบแล้วว่าสามารถใช้ได้กับ Plone เวอร์ชั่น 4 และ 3 (ส่วนรุ่นต่ำกว่านั้นต้องทดสอบกันเอง) สำหรับรายงานจุดเสี่ยงทั้งหมดที่ถูกจัดการในคราวนี้สามารถอ่านได้จากที่นี่

Plone เป็น CMS ยอดนิยมตัวหนึ่งจากฝั่ง Python ครับ

Read more

Adobe เปลี่ยนรอบการอัพเดตแพตช์ Flash Player ให้ตรงกับไมโครซอฟท์

By mk Founder on Tag: Security, Adobe Flash, Microsoft, Adobe
Security

ปัญหาเรื่องรอบการอัพเดตแพตช์ความปลอดภัยที่ไม่ตรงกันของ Flash/Windows 8 จนเกิดช่องโหว่ให้ผู้ใช้ กำลังจะถูกแก้ไข เพราะ Adobe ประกาศปรับรอบการออกแพตช์ของตัวเองให้ตรงกับรอบการออกแพตช์ในวันอังคารของไมโครซอฟท์ (Patch Tuesday) แล้ว

การออกแพตช์รอบล่าสุดของ Adobe อุดช่องโหว่ใน Flash ไปอีก 7 จุด และไมโครซอฟท์ก็ออกแพตช์ให้ IE10 โดยผนวกเอา Flash รุ่นล่าสุดของ Adobe เข้ามาในตัว

สำหรับผู้ที่ใช้ Flash บนแพลตฟอร์มอื่นๆ ต้องตามอัพเดตกันเองครับ เลขเวอร์ชันล่าสุดคือ 11.5.502.110 (วินโดวส์-แมค) 11.2.202.251 (ลินุกซ์) และ 11.1.115.27 (แอนดรอยด์)

Read more

เกิดอะไรขึ้นกับ DigiNotar รายงานสำรวจแถลงบอกรายละเอียดการแฮก

By lew Founder on Tag: Security, SSL, DigiNotar
Security

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

Read more

แฮกเกอร์โจมตีเว็บไซต์ ImageShack, Symantec, PayPal และสถานีโทรทัศน์ NBC

By pe3z Writer on Tag: Security, Hacking, Anonymous
Security

กลุ่มของแฮกเกอร์ที่เรียกตัวเองว่า HTP ได้อ้างถึงการโจมตีเว็บไซต์ ImageShack และ Symantec ทำให้สามารถเข้าถึงฐานข้อมูลได้ หรือในกรณีของ ImageShack ได้มีการอ้างว่าสามารถเข้าถึงเซิร์ฟเวอร์ทุกตัวรวมไปถึงอุปกรณ์เครือข่ายด้วย

สำหรับเหยื่อสองเว็บแรกนั้นทาง HTP ได้มีการโพสต์หลักฐานการเข้าถึงไดเรกทอรี่ ไฟล์ และฐานข้อมูลลงบนเว็บไซต์ pastebin อีกทั้งยังกล่าวสบประมาทประสิทธิภาพของระบบรักษาความปลอดภัยของทั้งสองเว็บไซต์อีกด้วย

Read more

Firefox ประกาศใช้มาตรฐาน HSTS แล้ว

By pe3z Writer on Tag: Security, Internet, Firefox, HTTPS, HTTP, Mozilla
Security

มาตรฐาน HSTS เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บบังคับให้เบราว์เซอร์เชื่อมต่อกันแบบเข้ารหัสเสมอ (ดูข่าวเก่า) โดยสัปดาห์นี้ทาง Mozilla ได้ประกาศว่า Firefox ในรุ่นถัดไปจะบังคับให้ใช้มาตรฐาน HSTS แล้ว

Read more

ช่องโหว่บน Android สามารถสร้างข้อความ SMS เข้าปลอมได้

By tekkasit Contributor on Tag: Security, Android, SMS
Security

ล่าสุดมีนักวิจัยจาก NC State University พบช่องโหว่บนระบบแอนดรอยด์ ช่องโหว่ที่ว่าสามารถทำให้แอพพลิเคชันปลอม SMS เข้าได้ทั้งฉบับ ไม่ว่าจะทั้งเนื้อหารวมจนถึงสามารถปลอมว่ามาจากหมายเลขโทรศัพท์ใดก็ได้ โดยแอพไม่ต้องขอสิทธิ์ใดก็สามารถใช้ช่องโหว่นี้ได้

ซึ่งช่องโหว่นี้พบในโค้ดแอนดรอยด์ต้นน้ำ (Android Open-Source Project) ตั้งแต่รุ่น 1.6 (Donut) ไปจนถึง 4.1 (Jelly Bean) และมือถือรุ่นหลายตัวได้รับการยืนยันแล้วว่ามีปัญหานี้ ไม่ว่าจะเป็น Galaxy Nexus, Nexus S, Galaxy S III, HTC One X, HTC Inspire และ Xiaomi MI-One

Read more

ชี้แจงถึงความเข้าใจจากการเสนอข่าวด้านความปลอดภัยของทวิตเตอร์เรื่องเล่าเช้านี้

By pe3z Writer on Tag: Security, HTTPS, HTTP
Security

เมื่อเวลา 6 โมงเย็นวันนี้รายการเจาะข่าวเด่นทางไทยทีวีสีช่อง 3 ได้นำเสนอเกี่ยวกับภัยมิจฉาชีพออนไลน์ซึ่งผมพบว่าในข้อมูลที่นำเสนอนั้นมีบางส่วนที่อาจสร้างความไม่เข้าใจผ่านทางทวิตเตอร์เรื่องเล่าเช้านี้ เนื่องจากมีการทวีตในเรื่องนี้อยู่หลายทวีต แต่ผู้อ่านไม่ได้ทำการรีทวีตทั้งหมด เพียงแต่มีการรีทวีตที่ทำให้ข่าวนั้นเกิดการแตกประเด็นและอาจทำให้เกิดการเข้าใจผิดได้ ในฐานะที่ Blognone ก็เป็นหนึ่งในสื่อที่นำเสนอข่าวด้านเทคโนโลยีและความปลอดภัย การนำเสนอข่าวสารและข้อมูลที่ถูกต้องจึงเป็นเรื่องที่สำคัญมาก ดังนั้นผมขออนุญาตในการชี้แจงและแก้ไขข

Read more

ผลิตภัณฑ์ไมโครซอฟท์ หลุดจากชาร์ท 10 ช่องโหว่ยอดนิยมของ Kaspersky

By mk Founder on Tag: Security, Kaspersky, Microsoft
Security

เราอาจต้องทิ้งภาพลักษณ์เดิมๆ ว่า "ผลิตภัณฑ์ของไมโครซอฟท์ไม่ปลอดภัย" เพราะข้อมูลล่าสุดของบริษัท Kaspersky ชี้ว่าซอฟต์แวร์ของไมโครซอฟท์ที่เคยติด 10 อันดับแรกของซอฟต์แวร์ที่มีโอกาสถูกโจมตีมากที่สุดประจำไตรมาส (top 10 vulnerabilities) กลับตกจากชาร์ทไปเรียบร้อยแล้ว

เหตุผลก็เพราะว่าผลิตภัณฑ์ของไมโครซอฟท์เข้มแข็งขึ้นมาก การอัพเดตช่องโหว่ต่างๆ ทำได้รวดเร็ว ซึ่งเป็นผลมาจาก Windows Update ที่พัฒนาขึ้นเรื่อยๆ ในวินโดวส์นับตั้งแต่ Vista เป็นต้นมา

Read more

กูเกิลอธิบายฟีเจอร์ความปลอดภัยของ Android 4.2

By mk Founder on Tag: Security, Android, Jelly Bean
Security

Hiroshi Lockheimer ผู้บริหารของกูเกิลให้สัมภาษณ์กับเว็บไซต์ Computerworld เกี่ยวกับฟีเจอร์ความปลอดภัยของ Android 4.2 ซึ่งเคยมีข่าวมาแล้วก่อนหน้านี้

Read more

พัฒนาการการแฮกช่องโหว่ซอฟต์แวร์: เทคนิคการเจาะช่องโหว่บัฟเฟอร์

By lew Founder on Tag: Security, Development, In-Depth, Programming, Operating System
Security

Blognone เสนอข่าว "ช่องโหว่" ความปลอดภัยซอฟต์แวร์เป็นจำนวนมาก แม้ช่องโหว่หลายอย่างมาจากการวิเคราะห์ทางคณิตศาสตร์ของกระบวนการเข้ารหัสที่ซับซ้อนแต่ในความเป็นจริงแล้ว ช่องโหว่ส่วนมากมาจากปัญหาเหมือนๆ กันคือการไม่ระวังการใช้บัฟเฟอร์ ทำให้ข้อมูลที่วางลงไปยังบัฟเฟอร์มีขนาดเกินที่เผื่อไว้ ทำให้แฮกเกอร์เข้ามาวางโค้ดเอาไว้ และควบคุมให้มีการรันโค้ดนั้นๆ ได้

กระบวนการแฮกจากช่องโหว่บัฟเฟอร์เป็นกระบวนพื้นฐานอันหนึ่งที่ควรรู้เพื่อจะศึกษาและป้องกันช่องโหว่ในซอฟต์แวร์

Stack Buffer Overflow

{syntaxhighlighter brush:cpp}#include <string.h>

Read more

บริษัทด้านความปลอดภัย VUPEN อ้าง! แฮก Windows 8 ได้แล้ว

By pe3z Writer on Tag: Security, Hacker, Internet Explorer, Windows 8, Microsoft
Security

หลังจากเมื่อสัปดาห์ที่แล้วที่มีการเปิดตัว Windows 8 ให้ผู้ใช้งานทั่วโลกได้ตื่นตาตื่นใจกัน ทางด้านโลกแห่งความปลอดภัยก็มีอะไรให้ตื่นตาตื่นใจเช่นกัน เมื่อบริษัท VUPEN บริษัทสัญชาติฝรั่งเศสผู้เคยฝากผลงานไว้ในการแข่งขัน Pwn2Own ได้เปิดเผยว่าพวกเขาสามารถแฮกเข้าควบคุมอุปกรณ์ที่ติดตั้ง Windows 8 พร้อม IE 10 ได้แล้ว

Read more

พบช่องโหว่ในเฟซบุ๊กที่ทำให้สามารถเข้าถึงบัญชีผู้ใช้งานคนอื่นๆ ได้ (แก้ไขแล้ว)

By bluemoon Writer on Tag: Security, Facebook
Security

มีกลุ่มแฮกเกอร์ค้นพบว่าหากค้นหาด้วยคำว่า "inurl:bcode=[*]+n_m=[*] site:facebook.com." ในกูเกิล จะเกิดผลการค้นหาเป็นลิงก์ที่เชื่อมไปยังบัญชีของเฟซบุ๊กรายบุคคล และบางลิงก์เป็นลิงก์ชั่วคราวที่สามารถเข้าบัญชีเฟซบุ๊กของผู้นั้นได้โดยไม่จำ

Read more

Mozilla ปล่อยแพตซ์ปิดช่องโหว่ XSS ให้กับไฟร์ฟ็อกซ์แล้ว

By pe3z Writer on Tag: Security, Firefox, XSS, Mozilla
Security

Mozilla ได้ปล่อยแพตซ์อุดช่องโหว่ให้กับไฟร์ฟ็อกซ์แล้วหลังจากมีการค้นพบช่องโหว่ประเภท Cross-Site Scripting (XSS) บนเบราว์เซอร์ โดยไฟร์ฟ็อกซ์รุ่นที่มีช่องโหว่ดังกล่าวได้แก่เวอร์ชัน 16.0.2, ESR 10.0.10, Thunderbird 16.0.2, Thunderbird ESR 10.0.10 และ SeaMonkey 2.13.2

Read more

FBI เริ่มโครงการวิเคราะห์ภัยทางอินเทอร์เน็ตแบบ 24/7 พร้อมเก็บข้อมูลแฮกเกอร์

By pe3z Writer on Tag: Security, FBI, Malware, Phishing
Security

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกาหรือ FBI แผนกความปลอดภัยทางไซเบอร์ได้เริ่มวิเคราะห์ภัยทางอินเทอร์เน็ต และพิสูจน์ตัวตนของแฮกเกอร์แบบ 24 ชั่วโมง ตลอด 7 วันโดยผู้เชี่ยวชาญระดับพิเศษแล้ว ซึ่งการวิเคราะห์ภัยทางอินเทอร์เน็ตนั้นครอบคลุมทั้งฟิชชิ่ง, มัลแวร์ และอาชญากรรมทางคอมพิวเตอร์อื่นๆ

Read more

มีอะไรใหม่ภายใน Windows 8

By lew Founder on Tag: Security, Operating System, Windows 8, Microsoft
Security

การอัพเกรดไปยัง Windows 8 อาจจะทำให้คนตื่นเต้นกับหน้าจอ Windows 8 UI แต่จริงๆ แล้วการอัพเกรดระบบปฎิบัติการ มีส่วนสำคัญคือการอัพเกรดเคอร์เนลภายในที่ต้องมีการยกเครื่องกันจำนวนมาก ตอนนี้หลายเว็บก็เริ่มมีรายงานว่าภายในมีอะไรปรับปรุงกันบ้างแล้ว

Read more

ชิป Broadcom ใน iPhone 4, iPad 2, รถฟอร์ดรุ่น Edge มีช่องโหว่

By nuntawat Writer on Tag: Security, Wi-Fi, Broadcom
Security

นักวิจัยจากบริษัทที่ให้บริการโซลูชันด้านความปลอดภัย Core Security ได้เปิดเผยว่าพบช่องโหว่ "out-of-bounds read error condition" ในเฟิร์มแวร์ของชิป Broadcom รุ่น BCM4325 และ BCM4329 ที่อาจถูกใช้โจมตีแบบ DoS จนไม่สามารถเชื่อมต่อเครือข่าย Wi-Fi ได้ โดยที่ฟังก์ชันอื่นไม่ได้รับผลกระทบแต่อย่างใด แต่นักวิจัยก็กล่าวว่ากำลังตรวจสอบอยู่ว่าช่องโหว่นี้จะทำให้สามารถดึงข้อมูลส่วนตัวออกมาได้หรือไม่

อุปกรณ์ที่ได้รับผลกระทบประกอบด้วย iPhone 4, iPad, iPad 2, Droid Incredible 2, Droid X2 และรถยนต์ฟอร์ดรุ่น Edge สำหรับรายชื่ออุปกรณ์ทั้งหมดสามารถดูได้ที่เว็บไซต์ Core Security

Read more

ผู้บริหารไมโครซอฟท์โทษ อาชญากรรมบนโลกไซเบอร์ทำให้บริษัทไม่ทุ่มเทกับตลาดโมบาย

By nuntawat Writer on Tag: Security, Microsoft, Mobile
Security

Craig Mundie ประธานฝ่ายวิจัยและกลยุทธ์ของไมโครซอฟท์ได้ให้สัมภาษณ์กับสื่อแห่งหนึ่งในเยอรมนี โดยกล่าวว่าการที่ผลิตภัณฑ์ของบริษัทได้รับการนำไปใช้อย่างกว้างขวางทำให้เป็นเป้าหมายของอาชญากรรมบนโลกไซเบอร์ และการที่บริษัทต้องต่อสู้กับเรื่องนี้ทำให้บริษัทไม่ได้ทุ่มเทไปกับอุปกรณ์พกพาที่บริษัทคิดค้นขึ้นมาก่อนและเคยเป็นผู้นำ (เครื่องเล่นเพลงก็มาก่อนไอพอด และอุปกรณ์ที่มีหน้าจอรองรับการสัมผัสก็มาก่อนไอแพด) ดังนั้นการที่บริษัทสูญเสียความเป็นผู้นำไม่ใช่เพราะบริษัทขาดวิสัยทัศน์หรือการมองการณ์ไกลในด้านเทคโนโลยีแต่อย่างใด แต่เขาก็ยอมรับว่าไมโครซอฟท์ก้าวพลาดไปในช่วงที่แอปเปิลเปิดตัวไอโฟน ทำให้ดูเหมือนบริษัทตาม

Read more

T-Mobile จับมือ Lookout แถมซอฟต์แวร์ความปลอดภัยบน Android

By mk Founder on Tag: Security, Telecom, Android, T-Mobile, Lookout
Security

เราเห็นข่าวคล้ายๆ กันแต่เป็นคู่ของ Verizon กับ McAfee กันไปแล้ว วันนี้เป็นคิวของโอเปอเรเตอร์อีกรายอย่าง T-Mobile USA และบริษัทความปลอดภัย Lookout กันบ้าง

จากข้อตกลงระหว่างสองบริษัทนี้ มือถือที่ใช้ Android ของ T-Mobile จะพรีโหลดแอพความปลอดภัย Lookout Automatic App Security มาให้พร้อมกับเครื่องฟรี เพื่อช่วยป้องกันความปลอดภัย และความเป็นส่วนตัวให้กับลูกค้าของ T-Mobile

Read more

PlayStation 3 ถูกเปิดกุญแจ LV0 สามารถลงเฟิร์มแวร์เถื่อนได้

By lew Founder on Tag: Security, Sony, PlayStation
Security

ระบบรักษาความปลอดภัยของเครื่องคอนโซลนั้นนับเป็นหนึ่งในรูปแบบการรักษาความปลอดภัยที่ซับซ้อนที่สุด จากการต่อสู้กับความพยายามแฮกเครื่องเพื่อติดตั้งระบบปฎิบัติการอื่นเพื่อนำไปใช้งานนอกเหนือการเล่นเกม หรือการแฮกเพื่อลงเกมผิดลิขสิทธิ์เองก็ตาม ที่ผ่านมาโซนี่ได้ต่อสู้กับความพยายามเหล่านี้ด้วยการปิดช่องโหว่ทุกครั้งที่มีการพบช่องโหว่ใหม่ แต่ล่าสุดก็มีการเปิดเผยกุญแจ LV0

Read more
Subscribe to Security