Security

นักวิจัยเผยเว็บไซต์ IEEE เก็บรหัสผ่านของผู้ใช้งานโดยไม่เข้ารหัส

By pe3z

on 28 September 2012 - 02:55 Tag: Security, IEEE

Security

Radu Drăgușin นักวิจัยชาวโรมาเนียเปิดเผยว่าเขาได้เข้าถึงล็อกไฟล์ของเว็บไซต์ IEEE ที่เต็มไปด้วยบัญชีผู้ใช้และรหัสผ่านโดยไม่เข้ารหัสไว้ โดยล็อกไฟล์ดังกล่าวก็สามารถเข้าถึงได้ง่ายผ่านทางการล็อกอินแบบนิรนามของ FTP ซึ่งล็อกไฟล์ดังกล่าวนั้นมีขนาดกว่า 100 GB

พบช่องโหว่ของ Facebook ที่ช่วยให้สามารถปลอมแปลงเป็นผู้ใช้งานเพื่อโพสต์ลงในกลุ่มเฉพาะได้

By pe3z

on 28 September 2012 - 02:54 Tag: Security, Facebook

Security

Hasin Hayder, Rifat Nabi, และ Abu Ashraf Masnun ได้โพสต์ลงบนบล็อกของพวกเขาเกี่ยวกับช่องโหว่บน Facebook ที่ใช้ฟีเจอร์โพสต์โดยอีเมลในการโพสต์รูปภาพหรือข้อความลงในกลุ่มโดยเสมือนกับผู้เป็นเจ้าของอีเมลนั้นโพสต์เอง

ช่องโหว่ลบข้อมูลบน Android อาจไม่ได้มีแค่ในโทรศัพท์ของซัมซุง

By pe3z

on 28 September 2012 - 02:52 Tag: Security, Android

Security

จากข่าวช่องโหวลบข้อมูลบนโทรศัพท์ของบริษัทซัมซุง Dylan Reeve ได้เขียนลงบล็อกของเขาเกี่ยวกับผลกระทบเดียวกันของช่องโหว่นี้บน HTC One X ที่รัน HTC Sense 4.0 และ Android 4.0.3, Motorola Defy ที่รัน Cyanogen Mod 7 บน Android 2.3.5 รวมไปถึง Sony Xperia Arc S และ HTC Desire ที่รัน Android 2.2 ด้วย โดยเป็นช่องโหว่เดียวกันทั้งหมด

อันตราย ค้นพบช่องโหว่ใหม่ของ Java SE 5/6/7 มีผลบนทุกแพลตฟอร์ม

By mk

on 26 September 2012 - 21:31 Tag: Java, Security, Oracle

Java

บริษัทความปลอดภัย Security Explorations ค้นพบช่องโหว่ใหม่ของ Java SE โดยรอบนี้ครอบคลุมกว้างตั้งแต่ Java 5-6-7 บนทุกระบบปฏิบัติการ ไม่ว่าจะเป็นวินโดวส์ แมค ลินุกซ์ หรือแม้กระทั่งโซลาริส

นักวิจัยของ Security Explorations ทดสอบช่องโหว่นี้บน Windows 7 แบบ 32 บิตลงแพตช์ล่าสุด ติดตั้ง Java 6u35 และ Java 7u7 รุ่นล่าสุด ผู้ทดสอบสามารถเจาะเข้ามายังช่องโหว่นี้ และรันแอพเพล็ตอันตรายเพื่อขโมยหรือลบข้อมูลของผู้ใช้ได้ (ทาง Security Explorations ไม่เปิดเผยรายละเอียดของช่องโหว่ตัวนี้)

ซัมซุงแก้ปัญหาความปลอดภัยของ Galaxy S III แล้ว

By mk

on 26 September 2012 - 21:23 Tag: Security, Samsung, Android, Galaxy S III

Security

จากกรณี ช่องโหว่โทรศัพท์ซัมซุงอาจถูกลบข้อมูลทั้งหมดได้ เพียงแค่เข้าชมเว็บไซต์

ทางซัมซุงออกแถลงการณ์แล้วว่าปัญหานี้ถูกแก้ไขแล้วผ่านระบบอัพเดตซอฟต์แวร์ และแนะนำให้ผู้ใช้ Galaxy S III อัพเดตเป็นซอฟต์แวร์เวอร์ชันล่าสุดผ่าน OTA

พบ backdoor บน phpMyAdmin ที่อยู่บน SourceForge คาดไฟล์ถูกแฮกเกอร์แก้ไข

By pe3z

on 26 September 2012 - 16:24 Tag: Security, SourceForge, phpMyAdmin

Security

มีการตรวจพบการบุกรุก mirror ของโครงการ phpMyAdmin บน SourceForge และตรวจพบการแก้ไขเพื่อวาง backdoor ในไฟล์ server_sync.php เพื่อให้แฮกเกอร์สามารถรันคำสั่ง PHP จากระยะไกลได้

จากการตรวจสอบพบว่ามีการแก้ไขไฟล์จาก 'cdnetworks-kr-1' ซึ่งเป็น mirror ที่อยู่ในเกาหลีใต้ตั้งแต่ช่วงวันที่ 22 กันยายน จากล็อกไฟล์ของระบบพบว่ามีการดาวน์โหลดไฟล์ phpMyAdmin-3.5.2.2-all-languages.zip เป็นจำนวนกว่า 400 ครั้งโดยทาง SourceForge ก็ได้พยายามติดต่อกับผู้ใช้งานที่มีดาวน์โหลดไปในเรื่องนี้แล้ว

ระวังก่อนคลิกลิงก์! ช่องโหว่โทรศัพท์ซัมซุงของคุณอาจถูกลบข้อมูลทั้งหมดได้ เพียงแค่เข้าชมเว็บไซต์

By Sikachu

on 25 September 2012 - 23:11 Tag: Security, Samsung, Android

Security

เป็นข่าวที่น่าตกใจสำหรับผู้ที่ใช้โทรศัพท์เคลื่อนที่ของซัมซุงที่มาพร้อมกับ TouchWiz UI เมื่อมีผู้ค้นพบว่ามีช่องโหว่ที่จะทำให้เครื่องโทรศัพท์นั้นถูกล้างข้อมูลจนหมด เมื่อเข้าไปยังหน้าเว็บไซต์บางหน้าที่ถูกจัดเตรียมไว้

Apple ปิดช่องโหว่ 21 จุดบน Apple TV

By tanersirakorn

on 25 September 2012 - 13:31 Tag: Apple, Security, Apple TV, iOS 5

Apple

แอปเปิลปล่อยอัพเดตซอฟต์แวร์สำหรับ Apple TV เพื่ออุดช่องโหว่จำนวน 21 จุด โดยบางส่วนเป็นช่องโหว่ที่มีมาตั้งแต่ปีที่แล้ว และเพิ่งได้รับการแก้ไข

ช่องโหว่หลักที่สำคัญที่สุดของอัพเดตครั้งนี้คือการแก้บั๊กการจัดการไฟล์ภาพและวิดีโอที่ถูกดัดแปลง ซึ่งสามารถรันคำสั่งที่ถูกซ่อนอยู่ออกมาได้ หรือทำให้ซอฟต์แวร์ของ Apple TV ไม่มีการตอบสนอง (Crash) และช่วงเดือนมีนาคมปีนี้มีการเผยแพร่บั๊กนี้สู่สาธารณะอีกด้วย

AuthenTec แจ้งผู้ผลิตรายอื่น บอกจะเลิกให้ผู้อื่นใช้เทคโนโลยีของตัวเองแล้ว

By toandthen

on 25 September 2012 - 04:12 Tag: Apple, Security, NFC, AuthenTec

Apple

หลังจากที่แอปเปิลได้เข้าซื้อ AuthenTec บริษัทที่เชี่ยวชาญเรื่องเทคโนโลยีการอ่านลายนิ้วมือบนอุปกรณ์พกพาต่าง ๆ แล้ว วันนี้มีรายงานว่า AuthenTec ได้แจ้งให้ลูกค้าของตัวเองทราบว่าตั้งแต่ปี 2013 เป็นต้นไป AuthenTec จะไม่ขายชิ้นส่วนและเทคโนโลยีของตัวเองให้อีกต่อไปแล้ว โดยลูกค้าของ AuthenTec ได้แก่ซัมซุง, HP, Dell, Lenovo และ Fujitsu

เริ่มได้รับความนิยม, โทรจันภาษา Go ตัวแรกมาแล้ว

By lew

on 25 September 2012 - 00:19 Tag: Security, Malware, Go

Security

โทรจัน Encriyoko เพิ่งถูกค้นพบเมื่อกลางเดือนที่ผ่านมา ตัวมันเองทำงานด้วยการเข้ารหัสไฟล์เอกสารจำนวนมากในเครื่อง โดยสร้างกุญแจการเข้ารหัสด้วยการสุ่มขึ้นมาหรือใช้กุญแจจากไฟล์ D:\nepia.dud จุดที่ทำให้มันน่าสนใจกว่าโทรจันอื่นๆ คือมันพัฒนาด้วยภาษา Go

Android และ iOS ถูกแฮกแล้ว สังเวยการแข่งขัน Mobile Pwn2Own ปีแรก

By pe3z

on 22 September 2012 - 15:58 Tag: Security, Android, NFC, Pwn2Own, Hacker, iOS

Security

ผู้อ่านหลายๆ ท่านที่ติดตามข่าวด้านความปลอดภัยอยู่เป็นประจำ (แม้จะไม่ได้ตั้งใจหรืออ่านผ่านๆ ก็ตาม) อาจจะคุ้นเคยกับชื่อการแข่งขัน Pwn2Own กันมาบ้างแล้ว สำหรับในปีนี้ค่อนข้างพิเศษกว่าปีอื่นๆ เนื่องจากประเด็นทางด้านความปลอดภัยบนอุปกรณ์ประเภทคอมพิวเตอร์พกพาและอุปกรณ์สื่อสารแบบไร้สายจึงได้มีการจัดการแข่งขัน Mobile Pwn2Own ขึ้นมาเป็นปีแรกโดยยังมีรูปแบบของการแข่งขันคล้ายกับงาน Pwn2Own เดิมคือให้ผู้เข้าแข่งขันทำการแฮกอุปกรณ์หรือซอฟต์แวร์ที่กำหนดไว้โดยใช้ช่องโหว่ที่พัฒนาขึ้นเอง และจะยินยอมให้บริษัทผู้ผลิตสามารถจ่ายเงินเพื่อซื้อช่องโหว่นั้นๆ เพื่อนำ

พบช่องโหว่บนโปรโตคอลสำหรับล็อกอินของ Oracle DB

By pe3z

on 22 September 2012 - 15:57 Tag: Security, Oracle, Database

Security

Esteban Martinez Fayo นักวิจัยด้านความปลอดภัยของบริษัท AppSec ได้นำเสนอช่องโหว่ใหม่ที่เกิดขึ้นบนโปรโตคอลที่ใช้ในการล็อกอินของ Oracle DB ที่จะช่วยให้ผู้ใช้ช่องโหว่นี้ในการโจมตีสามารถเข้าถึงฐานข้อมูลได้ผ่านทางการโจมตีแบบ bruce-force attack โดยช่องโหว่นี้เกิดขึ้นได้เพียงแค่ผู้โจมตีรู้ถึงชื่อผู้ใช้งานที่ถูกต้องของฐานข้อมูลและชื่อของฐานข้อมูล

ไมโครซอฟท์ปล่อยแพตช์อุดรูรั่ว IE6 ยัน IE10

By nuntawat

on 22 September 2012 - 07:44 Tag: Security, Internet Explorer, Microsoft

Security

หลังจากมีการค้นพบช่องโหว่ล่าสุดของ Internet Explorer 7-8-9 ที่ทำให้หน่วยงานของรัฐบาลเยอรมนีออกมาเตือนให้หยุดใช้เบราว์เซอร์จากไมโครซอฟท์ชั่วคราว และไมโครซอฟท์ได้ออกเครื่องมือชื่อ Fix it มาก่อนหน้านี้ ล่าสุดบริษัทได้ปล่อยอัพเดตตามสัญญาแล้ว โดยระบุว่าแพตช์นี้นอกจากจะอุดรูรั่วดังที่กล่าวมาแล้ว ยังอุดรูรั่วที่บริษัทค้นพบเองอีก 4 จุดอีกด้วย

ไมโครซอฟท์ออกซอฟต์แวร์อุดรูรั่วของ IE แล้ว จงดาวน์โหลดโดยพลัน

By mk

on 20 September 2012 - 17:50 Tag: Security, Internet Explorer, Microsoft

Security

ไมโครซอฟท์แก้ปัญหาช่องโหว่ล่าสุดของ IE7-8-9 (IE10 รอด) ที่ทำให้หน่วยงานของรัฐบาลเยอรมนีต้องออกมาเตือนให้หยุดใช้ IE ชั่วคราว

สำหรับคนที่ใช้ Windows XP/Vista/7 รวมถึง Windows Server ควรรีบเข้าไปดาวน์โหลดเครื่องมือชื่อ Fix it ของไมโครซอฟท์มาติดตั้งกันด่วน ข่าวร้ายคือมันใช้ได้กับ IE เวอร์ชัน 32 บิตเท่านั้น (ดังนั้นถ้าใช้วินโดวส์ 64 บิต ก็จะซ่อมเฉพาะ IE แบบ 32 บิตนะครับ)

รัฐบาลเยอรมนีเตือน หยุดใช้ IE ชั่วคราวจนกว่าไมโครซอฟท์จะแก้บั๊ก

By mk

on 19 September 2012 - 14:09 Tag: Security, Browser, Germany, Internet Explorer, Microsoft

Security

จากกรณี พบช่องโหว่ใน IE 7 และ 8 และ ไมโครซอฟท์ออกรายละเอียดช่องโหว่บน IE แล้ว, Windows 8 และ IE 10 รอด

หน่วยงานด้านความปลอดภัยข้อมูลของรัฐบาลเยอรมนี (The Federal Office for Information Security หรือ BSI ตามตัวย่อภาษาเยอรมัน) ออกมาประกาศให้ผู้ใช้คอมพิวเตอร์หยุดใช้ IE7-8 บน Windows XP และ IE8-9 บน Windows 7 ชั่วคราว จนกว่าไมโครซอฟท์จะออกแพตช์แก้ปัญหานี้ โดย BSI ก็ร่วมมือกับไมโครซอฟท์อย่างใกล้ชิดเพื่อแก้ปัญหานี้อยู่

ไมโครซอฟท์ออกรายละเอียดช่องโหว่บน IE แล้ว, Windows 8 และ IE 10 รอด

By pe3z

on 18 September 2012 - 16:59 Tag: Security, Internet Explorer, Windows 8, Microsoft

Security

จากข่าวช่องโหว่บน IE 7,8 และ 9 ที่ถูกใช้ในการโจมตี ทางไมโครซอฟท์ได้ออกรายละเอียดเบื้องต้นเกี่ยวกับเวอร์ชันของ IE และรุ่นของระบบปฏิบัติการที่ได้รับผลกระทบแล้ว (ดูได้จากแหล่งที่มา)

พบช่องโหว่ใน IE 7 และ 8, แพตซ์ยังไม่มา ผู้ใช้งานเตรียมระวังป้องกัน

By pe3z

on 18 September 2012 - 02:14 Tag: Windows, Security, Internet Explorer, Microsoft

Windows

อ้างอิงจากบล็อกของนักวิจัยด้านความปลอดภัย Eric Romang มีการค้นพบช่องโหว่บน IE ซึ่งกำลังถูกใช้ในการโจมตีจริงพร้อมกับการปล่อยมัลแวร์ ช่องโหว่นี้เกิดจากการจัดการอาเรย์ img ที่ผิดพลาดในไฟล์ HTML ในขณะนี้การโจมตียังเกิดขึ้นเพียงแค่ IE เวอร์ชัน 6 และ 7 ซึ่งติดตั้งอยู่บน Windows XP SP3 ที่มีการแพตซ์ล่าสุดเท่านั้น (ยังไม่ยืนยันว่าจะมีช่องโหว่บนระบบปฏิบัติการ-เวอร์ชันอื่น)

W3C เผยร่างของ Web Cryptography API สำหรับเบราว์เซอร์

By pe3z

on 18 September 2012 - 01:45 Tag: Security, JavaScript, SSL, W3C, Cryptography

Security

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

เว็บไซต์กระทรวงศึกษาธิการโดนแฮก

By bluemoon

on 17 September 2012 - 18:38 Tag: Security, Thailand, Hacking, MOE

Security

ณ เวลาราวๆ 16.40 น. มีคนพบว่า ในหน้าเว็บไซต์กระทรวงศึกษาธิการ มีมือดีไปเปลี่ยนภาพแบนเนอร์ 3 ภาพ

PCI ออกแนวทางความปลอดภัยการจ่ายเงินโมบายล์

By lew

on 17 September 2012 - 18:09 Tag: Security, Open Standard, Mobile Payment, Mobile

Security

PCI Security Standards Council (PCI SSC) กลุ่มสร้างมาตรฐานการความปลอดภัยการโอนเงินทางอิเล็กทรอนิกส์ได้ออกแนวทางความปลอดภัยสำหรับการจ่ายเงินผ่านอุปกรณ์โมบายล์ หรือ PCI Mobile Payment Acceptance Security Guidelines สำหรับการพัฒนาแอพพลิเคชั่นจ่ายเงินผ่านอุปกรณ์โมบายล์ที่กำลังได้รับความนิยมขึ้นในช่วงนี้

Subscribe to Security