Security

Samba4 Technical Preview ออกแล้ว

By lew

on 25 January 2006 - 23:25 Tag: Windows, Network, Security, Microsoft

Windows

หลังจากที่คนใช้ Samba3 หลายคนต้องรอคอยให้ Samba ซึ่งเป็นโปรแกรมหลักในการเชื่อมต่อโลกของวินโดว์เข้ากับ *nix ทั้งหลายวันนี้ก็ได้ออก Samba4 รุ่นทดสอบ โดยฟีเจอร์หลักที่เป็นที่พูดถึงกันมากคือการรองรับ LDAP ในตัวพร้อมๆ กับการยืนยันบุคคลแบบ Kerberos ซึ่งทำให้เราใช้เครื่องวินโดวส์ทั่วไปมา Join Domain เข้ากับ Samba ได้เลย

เรื่องนี้อาจจะหมายถึงการขยายตัวของลินุกซ์ในกรณีที่องค์กรขนาดเล็ก ไม่ต้องการเสียเงินซื้อวินโดวส์ 2003 ซึ่งราคาค่อนข้างแพง ก็สามารถใช้ Linux + Samba4 แทนได้ระดับหนึ่ง

ไดรเวอร์ 64 บิตในวิสต้าต้อง "ไมโครซอฟท์รับรอง"

By lew

on 22 January 2006 - 21:50 Tag: Windows, Security, Microsoft

Windows

ไมโครซอฟท์ประกาศนโยบายใหม่ล่าสุดสำหรับวินโดว์วิสต้าที่คาดกว่าจะออกปลายปีนี้ว่า ไดรเวอร์ทั้งหมดสำหรับวิสต้าเวอร์ชัน 64 บิตนั้น ต้องได้รับใบรับรองดิจิตอลจากทางไมโครซอฟท์ก่อน จึงจะสามารถลงและทำงานในวินโดว์วิสต้าได้ โดยไมโครซอฟท์ไม่เก็บค่าธรรมเนียม แต่ผู้ผลิตไดรเวอร์ยังต้องเสีย 500 ดอลล่าร์ต่อปีสำหรับใบรับรอง Class 3 Commercial Software Publisher Certificate ให้กับ Verisign

โดยทั่วไปแล้วเรื่องนี้เป็นเรื่องดีสำหรับผู้ใช้ทั่วไป เพราะเป็นการบังคับให้ผู้ผลิตฮาร์ดแวร์ทุกรายต้องได้รับการตรวจสอบคุณภาพไดรเวอร์ก่อน ราคา 500 ดอลลาร์ก็นับเป็นเรื่องเล็กสำหรับการผลิตฮาร์ดแวร์ออกมาสักชิ้นนึง

กูเกิลต้านการตรวจสอบรายการเสิร์ช

By lew

on 20 January 2006 - 13:45 Tag: Google, Security

Google

หลังจากกระทรวงยุติธรรมของสหรัฐฯ ออกคำสั่งให้ผู้ให้บริการค้นหาเว็บรายหลักๆ เช่น กูเกิล ยาฮู และไมโครซอฟท์ ต้องส่งรายการคำที่มีการค้นหาทั้งหมดในช่วงเวลาที่กำหนดให้รัฐบาล ในเวลานี้ทั้งยาฮูและไมโครซอฟท์ ต่างก็ตกลงส่งข้อมูลดังกล่าวให้กับรัฐบาลสหรัฐแล้ว โดยระบุว่าข้อมูลดังกล่าวจะไม่ละเมิดสิทธิส่วนบุคคลของผู้ใช้เว็บทั้งสองแต่อย่างใด เนื่องจากจะไม่มีข้อมูลที่ระบุตัวผู้ใช้ไว้ในข้อมูลดังกล่าวแต่อย่างใด

แพตช์แรกสำหรับวิสต้าออกแล้ว

By lew

on 16 January 2006 - 10:20 Tag: Security, Microsoft

Security

หลังจากยังอยู่ในเวอร์ชัน CTP อยู่มาพักนึง ตอนนี้วิสต้าซึ่งเป็นระบบปฏิบัติการรุ่นต่อไปของไมโครซอฟท์ ก็มีแพตช์ออกมาให้โหลดกันแล้ว โดยแพตช์ที่ว่านี้เป็นตัวแก้บั๊กในการแสดงผลไฟล์ WMF ซึ่งเป็นบั๊กตัวเดียวกับในวินโดวส์เอ็กซ์พี เพราะใช้โค้ดส่วนที่พอร์ตต่อๆ กันมา

ไม่แน่ใจว่าคนอ่าน Blognone มีใครใช้อยู่รึเปล่า ถ้ามีแคปเจอร์หน้าจอตอนมันอัพเดตมากฝากกันบ้าง..

ที่มา - eWeek

ไมโครซอฟท์ออกแพตซ์พลาด

By lew

on 5 January 2006 - 18:23 Tag: Windows, Security, Microsoft

Windows

เมื่อต้นปีที่ผ่านมามีการรายงานถึงบั๊กที่ทำให้แฮกเกอร์สามารถรันโปรแกรมผ่านทางไฟล์ WMF ซึ่งสามารถเปิดได้จาก IE ทำให้เป็นกังวลกันเป็นวงกว้างว่าจะเป็นอันตรายแบบเดียวกันสมัยบั๊กในการแสดงภาพ JPEG

เพียงสามวันก็มีแพตช์ออกมาจากเว็บไมโครซอฟท์เป็นการแก้บั๊กดังกล่าว และในไม่กี่ชั่วโมงต่อมาไมโครซอฟท์ก็รีบเอาไฟล์นั้นออกจากเว็บอย่างรวดเร็ว แต่ยังไม่เร็วพอ โดยมีคนโหลดไฟล์นั้นมาให้เราโหลดไปลองกันได้ที่ HexBlog แต่อย่างไรก็ตามไมโครซอฟท์เตือนว่าแพตซ์ตัีวนี้ยังไม่ได้รับการตรวจสอบอย่างถูกต้อง และแพตซ์ตัวจริงจะออกในวันที่ 10 ที่จะถึงนี้

พบบั๊กกว่าห้าพันตัว ในขวบปีที่ผ่านมา

By sid

on 4 January 2006 - 11:57 Tag: OS, Windows, Security, Mac OS X, Linux

ช่วงสิ้นปีเรามีการจัดอันดับหลายต่อหลายอย่างกันไปแล้ว หลังจากผ่านพ้นปีไป ลองมาดูสรุปบั๊กที่เกิดขึ้นในรอบปีที่ผ่านมากันดีกว่า

โซนี่ยอมถอยชดใช้ค่า XCP

By lew

on 30 December 2005 - 14:24 Tag: Security, Sony

Security

หลังจากเรื่องยืดเยื้อกันมานานโซนี่ก็ยอมถอยในคดีการติดตั้งโปรแกรม XCP ลงในเครื่องของผู้ที่ซื้อแผ่นซีดีเพลงจากโซนี่อย่างถูกกฏหมาย โดยได้เสนอข้อแลกเปลี่ยนในการยอมความต่อศาลแล้วในวันนี้ โดยข้อเสนอระบุให้ผู้เสียหายสามารถขอเงินคืน พร้อมกับการได้รับสิทธิ์ที่จะโหลดเพลงอีกสามอัลบัมจจากร้านออนไลน์ อย่าง iTMS, NapSter หรือ Yahoo! Music

ข้อตกลงนี้ต้องได้รับการยินยอมจากศาลก่อนจึงจะมีผล โดยมีการประมาณการถึงตัวเลขแผ่นซีดีที่โซนี่ต้องชดใช้ไว้ที่ประมาณ 10 ล้านแผ่น

ที่มา - USA Today

Symantec ยอมรับมีบั๊กด้านความปลอดภัย

By lew

on 23 December 2005 - 10:37 Tag: Security

Security

เป็นเรื่องเป็นราวขึ้นมาเมื่อมีการพบบั๊กในไลบรารีของการตรวจจับไวรัสของ Symantec ซึ่งทำให้ซอฟต์แวร์ด้านความปลอดภัยจำนวน 64 รายการซึ่งรวมถึง Norton Antivirus ที่เราใช้กันบ่อยๆ โดยบั๊กนี่เกิดในจุดที่เมื่อมีการแสกนไฟล์ RAR ทำให้สามารถเกิด Buffer OverFlow และทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อส่งคำสั่งอันตรายเข้ามาในเครื่องได้

ยามกลายเป็นไส้ศึกให้โจรไปซะแล้ว

ที่มา - eWeek

มีคนขายข้อมูลรูรั่วของ MS Excel บน eBay

By deans4j on 10 December 2005 - 13:00 Tag: Security, Microsoft

Security

เมื่อวันพุธที่ผ่านมามีคนที่ใช้ชื่อ "fearwall" ใน eBay ออกมาปล่อยประมูล ข้อมูลรูรั่วอันใหม่ล่าสุดของ Microsoft Excel ด้วยราคาเริ่มต้นที่ 1 เซนต์ ราคานี้ถูกนักประมูลแข่งกันจนไปแตะที่ $60 ก่อนที่ eBay จะสั่งปิดการประมูลในวันต่อมา

จากรายละเอียดเพิ่มเติมที่ชายคนนี้แจ้งไว้ ทราบว่า รู้รั่วอันนี้ถูกค้นพบเมื่อวันที่ 6 ธันวาคมที่ผ่านมา และได้ถูกแจ้งไปยัง Microsoft แล้ว ซึ่งรูรั่วนี้จะเกิดขึ้นระหว่างที่ผู้ใช้พยายามจะตรวจสอบความสมบูรณ์ (validate) ข้อมูลในเอกสาร

พบรอยรั่วใน Sun Java Sandbox!

By deans4j on 1 December 2005 - 02:14 Tag: Java, Security

Java

Java Sandbox นั่นพูดสั้นๆ ง่ายๆ เหมือนเป็นสนามเด็กเล่นที่ให้ Applet เข้าไปวิ่งเล่นในเครื่องลูกข่าย (client) โดยกันไม่ให้ Applet นั้นเข้าถึงไฟล์ local system ก่อนจะได้รับอนุญาตจากผู้ใช้

Sacunia รายงานว่า พบรูรั่วหลายจุดที่ยอมให้ Applet ที่ไม่น่าเชื่อถือ สามารถหลบหลีกขั้นตอนการขออนุญาต เพื่อไป อ่าน/เขียน ข้อมูลในเครื่องลูกข่ายได้

โดย JDK/JRE รุ่นที่ตกอยู่ในอันตราย มีดังนี้

ค่ายเบราว์เซอร์ร่วมใจต้านภัย Phishing

By mk

on 23 November 2005 - 09:47 Tag: Security

Security

ทีมงานของเว็บเบราว์เซอร์ 4 ค่ายใหญ่ คือ Mozilla, Konqueror, IE และ Opera ไปประชุมกันที่โตรอนโต เพื่อหาแนวทางสำหรับเว็บเบราว์เซอร์ในการป้องกันภัยจาก Phishing และปัญหาอื่นๆ

เพื่อเป็นการบีบให้ผู้อ่านของเรามีความรู้เกี่ยวกับ Phishing เพิ่มเติม ผมไม่เขียนอธิบายว่ามันคืออะไรนะครับ (เป็นความขี้เกียจที่เหตุผลฟังดูดีมาก)

อันตราย! ผู้ใช้ IE โปรดปิดจาวาสคริปต์

By lew

on 22 November 2005 - 22:01 Tag: Windows, Security, IE, Microsoft

Windows

รายงานรูรั่วล่าสุดของบราวเซอร์ Internet Explorer มีอันตรายในพอที่จะเปิดช่องให้แฮกเกอร์เรียกโปรแกรมใดๆ ในเครื่องของเหยื่อได้ โดยรู้รั่วนี้ได้รับการยืนยันจากบริษัท FrSIRT ที่แสดงตัวอย่างไฟล์ HTML ที่สามารถเรียกโปรแกรมเครื่องคิดเลขของวินโดว์ขึ้นมาใช้งานได้ และคาดว่าในไม่ช้าจะมีเว็บดัดแปลงที่สร้างความเสียหายอย่างหนักออกมาอีกจำนวนมาก

ล่าสุดบั๊กนี้ยังไม่ได้รับการแก้ไขจากไมโครซอฟท์ แต่ในเครื่อง Windows 2000 และ 2003 ที่เปิด Enhaced Security Configuration เอาไว้จะไม่ได้รับผลจากช่องโหว่นี้

10 อันดับบั๊กร้ายแรงที่สุดในประวัติศาสตร์

By sid

on 9 November 2005 - 10:55 Tag: Security

Security

บั๊กในวงการซอฟท์แวร์แล้วถือว่าเป็นของคู่กันเสียเหลือเกิน ซึ่งก็เป็นเรื่องน่าแปลกที่ผู้ใช้ทั่วๆไปเหมือนกับจะยอมรับได้ ยิ่งถ้าซอฟท์แวร์ตัวไหนมีอัพเดทบ่อยๆจะบอกว่าซอฟท์แวร์นี้ดีทั้งที่เรื่องที่อัพเดทนั้นเป็นการแก้บั๊กเฉยๆ ไม่ได้เพิ่มฟีเจอร์อะไรเข้าไป แต่ถ้าสมมติเป็นบ้าน บอกว่ามีช่างมาซ่อมให้บ่อยๆ นี่บ้านคงมีสภาพไม่น่าอภิรมย์ซักเท่าไหร่

ส่วนหนึ่งน่าจะเป็นเพราะการอัพเดทของซอฟท์แวร์นั้นไม่ได้ยุ่งยากลำบากอะไร (จริงเหรอ?) ก็แค่ไปดาวน์โหลดแพทช์แล้วก็ดับเบิ้ลคลิก แล้วก็คิดซะว่า อย่างน้อยก็ยังมีการแก้ไขน่า ดีกว่าไม่มีการแก้เลย

IE7 จะหยุดสนับสนุน SSLv2

By mk

on 25 October 2005 - 22:55 Tag: Windows, Security

Windows

IE7 เตรียมยกเลิกการสนับสนุนโปรโตคอล SSL (Secure Socket Layer) หรือที่เราคุ้นกันตรง HTTPS เวอร์ชัน 2 แล้ว เพื่อจะบีบให้เว็บไซต์หันไปใช้ SSLv3 หรือ TLSv1 แทน

SSL คิดค้นโดย Netscape สำหรับการเชื่อมต่อแบบเข้ารหัสเพื่อความปลอดภัย โดย SSLv3 ออกมาตั้งแต่ปี 96 และเป็นพื้นฐานของ TLS (Transport Layer Security) เวอร์ชัน 1 ซึ่งจริงๆ มันแทบไม่ต่างกันเลย แค่ TLS เป็นชื่อของ IETF (Internet Engineering Task Force) เท่านั้นเอง

โทรจันโผล่เครื่อง DS กับเค้าด้วย

By sid

on 11 October 2005 - 12:07 Tag: Security, Games, Nintendo

Security

หลังจากมีข่าว PSP เจอโทรจันบุก ไม่กี่วันถัดมา Nintendo DS ก็โดนกะเค้าด้วยเหมือนกัน แต่ที่แสบกว่าก็คือที่มาของโทรจันตัวนี้มาจากแฮกเกอร์ชื่อ DarkFader (จริงๆเราควรเปิดเผยชื่อมั้ยเนี่ย ?) ซึ่งเป็นมือพัฒนา DS homebrew ต่างๆ และเป็นคนแรกที่ออก roms ของเครื่อง DS ด้วย

แต่ตอนนี้เค้าเปลี่ยนข้างซะแล้ว โดยหันมาปล่อย DS Bricker ที่จะทำลายเครื่อง DS ให้ใช้งานไม่ได้ โดยให้เหตุผลว่าต้องการจะต่อต้านการละเมิดลิขสิทธิ์ต่างๆ และชี้ให้เห็นถึงช่องโหว่ของ DS ซึ่ง Nintendo ควรจะนำไปปรับปรุงต่อไป

อืมม โชคดีนะว่าเรายังไม่เคยซื้ออุปกรณ์เสริมของ DS มาใช้

เปรียบมวยความปลอดภัย Java ปะทะ .NET

By mk

on 27 August 2005 - 21:15 Tag: Security

Security

มหาวิทยาลัยเวอร์จิเนียมีเปเปอร์เกี่ยวกับผลการศึกษาด้านความปลอดภัยระหว่างแพลทฟอร์ม Java และ .NET ซึ่งเขียนได้ละเอียดและเชิงลึกมาก (มีการเปรียบเทียบขั้นตอนในการตรวจสอบด้านความปลอดภัยของโค้ด ลึกไปขนาดว่าตัวแอสเซมบลีมี instruction ต่างกันตรงไหนบ้าง) ถ้ามีเวลาสมควรอ่านไว้ประดับความรู้ครับ

คนเขียน Sasser ขึ้นศาลแล้ว

By mk

on 6 July 2005 - 08:04 Tag: Security

Security

หลังจาก Sasser ออกมาป่วนโลกวุ่นวายไปเมื่อปีที่แล้ว และมีข่าวว่าคนเขียนก็ถูกบุกจับได้ถึงบ้าน ตอนนี้ถึงเวลาทีี่เค้าจะขึ้นศาลแล้วครับ

นาย Sven Jaschan อายุ 19 ปี ได้สารภาพตั้งแต่โดนจับ และก็สารภาพอีกครั้งในการพิจารณาคดีความยาว 3 วันในช่วงนี้ ซึ่งตามตัวกฎหมายแล้ว เค้ามีสิทธิ์โดนจำคุกสุงสุด 5 ปี แต่โฆษกของศาลบอกว่า โทษคงจะน้อยกว่านั้นเนื่องจากเป็นผู้เยาว์อยู่ MSNBC: Sasser worm author confesses in court

โปรแกรมบล็อกที่เขียนด้วย PHP เสี่ยงต่อการถูกโจ

By zdk

on 5 July 2005 - 18:16 Tag: Security

Security

ใครที่ใช้โปรแกรมที่เขียนด้วย PHP โดยเฉพาะเอนจินสำหรับบล็อก, CMS หรือวิกิต้องระวัง เพราะรูโหว่ของ PHP ในการจัดการกับคำสั่ง XML อาจเป็นประโยชน์ต่อเหล่าแครกเกอร์ได้

ช่องโหว่ดังกล่าวนั้นจะทำให้ผู้บุกรุกเข้าไปจัดการกับเว็บเซิร์ฟเวอร์ ซึ่งโปรแกรมที่รายการเสี่ยงมีดังนี้ PostNuke , WordPress ( - -' ) , Drupal , Serendipity, phpAdsNew, phpWiki และ phpMyFAQ

MSN เกาหลีใต้โดนแฮ็ค!!!

By lew

on 5 June 2005 - 00:36 Tag: Security, Microsoft

Security

เป็นเรื่องเป็นราวกับเว็บ www.msn.co.kr ที่ถูกมือดีเอาโค้ดลึกลับเข้าไปใส่้ในหน้าเว็บ โดยโค้ดดังกล่าวถูกพบโดยผู้เชี่ยวชาญด้านความปลอดภัย และแจ้งให้กับไมโครซอฟท์เมื่อวันพฤหัสที่ผ่านมา

ไมโครซอฟท์ออกมาระบุว่าการที่แฮคเกอร์สามารถใส่โค้ดดังกล่าว ซึ่งอาจทำให้ข้อมูลส่วนตัวและรหัสผ่านถูกเปิดเผยได้นั้น เกิดจากการใช้ช่องโหว่ที่ได้รับการแก้ไขไปแล้ว โดยปรกติแล้วเครื่องเซิร์บเวอร์ที่ไมโครซอฟท์ดูแลจะได้รับการอัพเดตในทันที แต่ในกรณีของเกาหลีใต้นั้น ไมโครซอฟท์ให้บริษัทรับช่วงไปดูแลต่อ

ยังไม่มีรายงานยืนยันว่าโค้ดส่วนดังกล่าวถูกใส่เข้ามาตั้งแต่เมื่อใด

วิดีโอสอนเรื่องความปลอดภัยของ Microsoft

By mk

on 10 May 2005 - 11:22 Tag: Security, Microsoft

Security

ไมโครซอฟท์ได้ออกวิดีโอคลิปสั้นๆ หลายตอน (เป็น Flash) แนะนำผู้ใช้หน้าใหม่เกี่ยวกับวิธีการปฏิบัติตัวง่ายๆ ให้คอมพิวเตอร์มีความปลอดภัยเพิ่มมากขึ้น เช่น การป้องกันไวรัส สแปม phising เป็นต้น ดูคร่าวๆ แล้วทำดีเลยล่ะ ถ้าผมเป็นคนใน Microsoft ประเทศไทย จะเอาวิดีโอนี้ไปเปิดตามงานคอมมาร์ท คงเรียกคะแนนนิยมได้โขเลยครับ (กลัวแค่คนไทยจะฟังไม่ออกแค่นั้นล่ะ)

Microsoft: Security at home

Subscribe to Security