Security

PyPI ประกาศบังคับใช้กุญแจ U2F สำหรับโครงการสำคัญ เตรียมแจกกุญแจ Google Titan

By lew

on 20 July 2022 - 20:11 Tag: Python, Security, U2F, FIDO, Authentication

Python

PyPI บริการโฮสต์แพ็กเกจไลบรารีภาษาไพธอนประกาศปรับปรุงความปลอดภัยด้วยการบังคับให้โครงการที่เข้าข่ายสำคัญยิ่งยวด จำนวน 3,500 โครงการ ต้องใช้กุญแจล็อกอิน FIDO U2F ในการล็อกอินแบบ WebAuthn พร้อมกันนี้ทีมงาน Google Open Source Security ก็สปอนเซอร์กุญแจ Titan พร้อมค่าส่งฟรี

นักวิจัยรายงานช่องโหว่ซีพียู Retbleed กลุ่มเดียวกับ Spectre อ่านข้อมูลจากในเคอร์เนลได้สำเร็จ แพตช์ทำเคอร์เนลช้าลง 14-39%

By lew

on 13 July 2022 - 14:33 Tag: Security, CPU, Spectre

Security

ทีมวิจัยจาก ETH Zurich รายงานถึงช่องโหว่ CVE-2022-29900 และ CVE-2022-29901 โดยตั้งชื่อว่า Retbleed ที่เป็นช่องโหว่แบบ side-channel กลุ่มเดียวกับ Spectre ส่งผลให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำได้ แม้จะไม่มีสิทธิ์เข้าถึงข้อมูลนั้นก็ตาม

ช่องโหว่นี้เกิดขึ้นเนื่องจากซีพียูจะพยายามทำนายการรันคำสั่ง return (คืนค่าจากฟังก์ชั่น) ในรูปแบบเดียวกับคำสั่ง jump (ตรวจเงื่อนไขเพื่อรันโค้ด เช่น if-else) แต่ที่ผ่านมาแพตช์แก้ไขช่องโหว่ Spectre/Meltdown ไม่ได้แก้ไขช่องโหว่ในส่วนคำสั่ง return เอาไว้

Microsoft ยอมถอย ยกเลิกแผนปิด VBA macro ใน Office 365 เป็น default

By arjin

on 8 July 2022 - 10:49 Tag: Microsoft Office, Microsoft, Security

Microsoft Office

เมื่อต้นปีไมโครซอฟท์ประกาศปิดการทำงานของ VBA macro เป็นดีฟอลต์ มีผลกับผลิตภัณฑ์ตระกูล Office ได้แก่ Access, Excel, PowerPoint, Visio, Word แต่ล่าสุดไมโครซอฟท์แจ้งข้อความผ่านผู้ดูแลระบบ Microsoft 365 (MC393185 และ MC322553) ว่าเปลี่ยนการตัดสินใจดังกล่าวแล้ว

ไมโครซอฟท์บอกว่า จากความเห็นต่าง ๆ ที่ได้รับ เราได้ตัดสินใจกลับมาใช้การตั้งค่าแบบเดิม นั่นคือ VBA ใน Office ไม่ถูกปิดเป็นดีฟอลต์ โดยหากมีการเปลี่ยนแปลงใดจะแจ้งให้ทราบอีกครั้ง

Apple เพิ่ม Lockdown Mode ใน iOS 16 เน้นความปลอดภัยขั้นสูงสุด

By arjin

on 7 July 2022 - 06:15 Tag: iOS 16, iPadOS 16, Ventura, Apple, Security

iOS 16

แอปเปิลออกอัพเดต iOS 16, iPadOS 16 และ macOS Ventura เวอร์ชันเบต้าตัวที่ 3 ซึ่งอยู่ในขั้นตอนทดสอบสำหรับนักพัฒนา มีฟีเจอร์ใหม่ที่สำคัญคือ Lockdown Mode ที่แอปเปิลบอกว่าเป็นการเพิ่มความปลอดภัยในการใช้งานขั้นสูงสุด เน้นไปที่ผู้ใช้งานเฉพาะกลุ่ม เช่น นักการเมือง นักเคลื่อนไหว นักข่าว ที่อาจเป็นเป้าหมายของการเจาะข้อมูลจากหน่วยงาน ผ่านสปายแวร์รูปแบบต่าง ๆ

Lockdown Mode ปิดการใช้งานเป็นค่าเริ่มต้น แต่สามารถเปิดการใช้งานได้ใน Settings ส่วน Privacy & Security ซึ่งต้องรีบูทเครื่องเมื่อเปิดใช้งาน

Chrome บน Windows ออกแพตช์ฉุกเฉิน แก้ช่องโหว่ Zero-Day แนะนำอัพเดตทันที

By arjin

on 5 July 2022 - 06:44 Tag: Chrome, Browser, Security

Chrome

กูเกิลออกอัพเดต Chrome เวอร์ชัน 103.0.5060.114 เฉพาะผู้ใช้ Windows เพื่อแก้ไขช่องโหว่ร้ายแรง Zero-Day ที่มีความรุนแรงระดับ High ผู้ใช้งาน Chrome ควรอัพเดตทันที

ช่องโหว่ที่รายงานคือ CVE-2022-2294 ซึ่งเป็นช่องโหว่ใน WebRTC ทำให้โปรแกรมแครช หรือสามารถรันคำสั่งเพื่อโจมตีได้ โดยกูเกิลไม่ได้เปิดเผยรายละเอียดแม้เป็น Zero-Day แต่จะเผยแพร่เมื่อมีผู้อัพเดตเป็นส่วนใหญ่

อัพเดต Zero-Day นี้ของ Chrome เป็นครั้งที่ 4 ของปีนี้ โดยครั้งล่าสุดคือเดือนเมษายนในเวอร์ชัน 100

Sonatype เตือนแฮกเกอร์ยังพยายามขโมยข้อมูลผ่านแพ็กเกจ PyPI ต่อเนื่อง

By lew

on 27 June 2022 - 11:22 Tag: Python, Security

Python

Sonatype พบแพ็กเกจภาษาไพธอน 4 ตัวบน PyPI มีโค้ดขโมยข้อมูลบนเครื่อง ซึ่งอาจจะเป็นข้อมูลล็อกอินหรือกุญแจล็อกอินเซิร์ฟเวอร์ โดยตอนนี้พบ 5 โมดูลผ่านระบบอัตโนมัติของ Sonatype ได้แก่ loglib-modules (ชื่อเลียนแบบ loglib), pyg-modules (เลียนแบบ pyg), pygrata, pygrata-utils, hkg-sol-utils

จากการตรวจสอบพบว่าในโค้ด setup.py จะพยายามกวาดเอาไฟล์ข้อมูลสำคัญ เช่น ตัวแปร environment, กุญแจ AWS, หรือกุญแจ secure shell เพื่ออัพโหลดไปยังเซิร์ฟเวอร์คนร้าย

Trail of Bits ออกรายงานวิเคราะห์โลกคริปโต พบอำนาจกระจายไม่มาก ใช้ซอฟต์แวร์ร่วมกันทั่ววงการ

By lew

on 23 June 2022 - 01:06 Tag: Cryptocurrency, Security

Cryptocurrency

บริษัทวิจัยความปลอดภัย Trail of Bits ได้รับทุนจาก DARPA ทำรายงานวิเคราะห์ถึงความ "ไร้ศูนย์กลาง" ของระบบบล็อคเชนทั้งหลายในตอนนี้ และพบว่าโลกบล็อคเชนนั้นยังมีความรวมศูนย์อยู่มาก

กระบวนการวิเคราะห์หาความรวมศูนย์ของรายงาน วิเคราะห์ความรวมศูนย์ 6 ด้าน ได้แก่

QNAP ปล่อยแพตช์แก้ช่องโหว่ PHP เก่าสามปี ไม่ยืนยันว่าเกี่ยวกับ Ransomware ระบาดหรือไม่

By lew

on 22 June 2022 - 19:48 Tag: QNAP, Security, PHP

QNAP

QNAP แจ้งเตือนช่องโหว่ CVE-2019-11043 ของ PHP 7.x ที่เมื่อบั๊กนี้เจอกับคอนฟิก nginx บางรูปแบบก็จะเปิดช่องโหว่รันโค้ดระยะไกล เปิดทางให้แฮกเกอร์เข้ายึด NAS ของเหยื่อได้

ช่องโหว่นี้ทาง PHP แก้ไขไปตั้งแต่ปี 2019 แต่ทาง QNAP ไม่ได้อัพเดต อย่างไรก็ดีทาง QNAP ระบุว่า ค่าเริ่มต้นของ QNAP ไม่ได้ติดตั้ง nginx มาแต่แรก (เว็บเซิร์ฟเวอร์มาตรฐานเป็น Apache 2) และตอนนี้ก็เริ่มปล่อยแพตช์ให้ QTS 5.0 และ QuTS hero h5.0 แล้ว ส่วนเวอร์ชั่นอื่นๆ กำลังอยู่ระหว่างปล่อยอัพเดตต่อไป

พบมัลแวร์เรียกค่าไถ่ ech0raix เริ่มกลับมาระบาดอีกครั้ง ควรปิด NAS ไม่ให้เข้าถึงจากอินเทอร์เน็ต

By lew

on 20 June 2022 - 10:28 Tag: Ransomware, Security, NAS, QNAP

Ransomware

ID Ransomware บริการระบุมัลแวร์เรียกค่าไถ่ (ransomware) รายงานว่ามัลแวร์ในกลุ่ม ech0raix ที่มุ่งเรียกค่าไถ่จาก NAS เช่น QNAP และ Synology กลับมาระบาดเพิ่มขึ้นอีกครั้ง หลังจากระบาดหนักช่วงเดือนมกราคมและลดลงไป

แม้ ech0raix จะโจมตี NAS แบรนด์หลักทั้งสองยี่ห้อ แต่รอบนี้ทาง ID Ransomware พบการโจมตี QNAP เป็นหลัก โดยตอนนี้ยังไม่ชัดเจนว่าเหตุใดการโจมตีจึงเพิ่มขึ้น เพราะ ID Ransomware เป็นบริการที่เปิดให้ผู้ใช้ส่งตัวอย่างไฟล์เพื่อตรวจสอบสายพันธุ์มัลแวร์เท่านั้น ไม่ได้ตรวจสอบตัวมัลแวร์โดยตรงหรือตรวจสอบการโจมตี

เปิดตัว Microsoft Defender แบบเสียเงิน มี dashboard ช่วยดูแลคนในครอบครัว, ใช้บนโทรศัพท์ได้

By lew

on 17 June 2022 - 01:48 Tag: Microsoft Defender, Microsoft, Security, Microsoft 365

Microsoft Defender

ไมโครซอฟท์เปิดบริการ Microsoft Defender for Individuals ระบบจัดการความปลอดภัย โดยรวมอยู่ในบริการ Microsoft 365 Personal/Family แบบเสียเงิน โดยผู้ใช้จะได้ฟีเจอร์คล้ายขององค์กรมาบางส่วน แเช่น หน้าจอ dashboard รายงานความปลอดภัยของคนในครอบครัว และสามารถใช้งานได้ทั้งวินโดวส์, แมค, แอนดรอยด์, และไอโฟน

นอกจากการจัดการความปลอดภัยด้วยตัวป้องกันไวรัสของไมโครซอฟท์เองแล้ว Defender ยังรายงานการใช้งานตัวป้องกันไวรัสยี่ห้ออื่นๆ เข้าไว้ใน dashboard เหมือนกัน

Microsoft ออกอัพเดตเดือนมิถุนายน 2022 แก้ไขช่องโหว่ Follina แนะนำอัพเดตทันที

By arjin

on 16 June 2022 - 07:10 Tag: Microsoft, Security Patch, Security, Microsoft Office

Microsoft

ไมโครซอฟท์ออกอัพเดตประจำเดือนมิถุนายน 2022 มีรายการสำคัญคือการแก้ไขช่องโหว่ความปลอดภัย CVE-2022-30190 ที่เรียกว่า Follina อาศัยช่องโหว่ใน MSDT ฝังมาในเอกสาร Word ที่มีรายงานเมื่อเดือนที่แล้ว มีการโจมตีแล้ว แต่ยังไม่มีแพตช์

อัพเดตที่แก้ไขช่องโหว่นี้ครอบคลุมทั้ง Windows 10 (KB5014699) และ Windows 11 (KB5014697) โดยไมโครซอฟท์แนะนำให้ลูกค้าอัพเดตทันทีเพื่อป้องกันปัญหาที่อาจเกิดขึ้น

ที่มา: The Verge

นักวิจัยพบทดลองดึงกุญแจเข้ารหัสจากเซิร์ฟเวอร์ โดยอาศัยฟีเจอเร่งความเร็วซีพียู

By lew

on 15 June 2022 - 11:30 Tag: Security, CPU, Cryptography

Security

ทีมนักวิจัยรายงานถึงการดึงกุญแจเข้ารหัสโดยอาศัยการจับเวลาตอบสนองของเซิร์ฟเวอร์ แม้ว่าตัวไลบรารีเข้ารหัสจะเป็นแบบใช้เวลาคงที่แล้วก็ตาม แต่เนื่องจากซีพียูมีการปรับสัญญาณนาฬิกาขึ้นลงตามคำสั่งประมวลผล ทำให้เวลาตอบสนองเปลี่ยนไปอยู่ดี เรียกว่าการโจมตี Hertzbleed

Node.js เวอร์ชัน 16 จะหมดอายุเร็วขึ้น 7 เดือน ตามรอบซัพพอร์ตของ OpenSSL

By mk

on 12 June 2022 - 08:41 Tag: Node.js, OpenSSL, Security

Node.js

โครงการ Node.js ประกาศเลื่อนวันหมดอายุของ Node.js 16 LTS รุ่นปัจจุบัน ให้เร็วกว่าเดิม 7 เดือน จากเดิมหมดระยะซัพพอร์ตเดือนเมษายน 2024 มาเป็น 11 กันยายน 2023

MongoDB เปิดตัว Queryable Encryption คิวรีในฐานข้อมูลเข้ารหัส ใส่เงื่อนไขค้นหาได้

By mk

on 8 June 2022 - 09:56 Tag: MongoDB, Database, Security, Encryption

MongoDB

MongoDB เปิดตัวฟีเจอร์ Queryable Encryption การคิวรีข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยจะเป็นฟีเจอร์หนึ่งของ MongoDB 6.0 เวอร์ชันหน้า

กฎหมายด้านการคุ้มครองข้อมูลทั่วโลกที่เข้มงวดขึ้นเรื่อยๆ ทำให้การเก็บข้อมูลองค์กรจำเป็นต้องแยกส่วนข้อมูล (separation of data) เช่น แยกเก็บข้อมูลที่ระบุตัวตนได้ไปไว้อีกส่วน รวมถึงต้องเข้ารหัสข้อมูลเพื่อป้องกันการเข้าถึงจากฐานข้อมูลโดยตรง

การเข้ารหัสข้อมูลในปัจจุบันเป็นการเข้ารหัสระหว่างส่ง (in-transit) และตอนนำไปพักเก็บไว้เฉยๆ (at-rest) แต่การเข้ารหัสขณะใช้งาน (in-use) ยังทำได้ยาก มีความซับซ้อนสูง และมีข้อจำกัดในการคิวรีค้นหาข้อมูล

แอปเปิลเปิดตัว Passkeys บริการล็อกอินแบบไม่ใช้รหัสผ่านอีกต่อไป

By lew

on 7 June 2022 - 14:41 Tag: Apple, Security, Password, FIDO, Passkey

Apple

แอปเปิลเปิดบริการ Passkeys บริการสร้าง เปิดทางให้ผู้ใช้ล็อกอินบริการต่างๆ ได้โดยง่าย ไม่มีการตั้งรหัสผ่านอีกต่อไป แต่อาศัยมาตรฐาน WebAuthn เพื่อขอล็อกอินกับตัวอุปกรณ์เช่น โน้ตบุ๊กหรือโทรศัพท์ได้เลย

กุญแจ Passkeys จะซิงก์ข้ามอุปกรณ์ของแอปเปิลผ่าน iCloud Keychain ทำให้สามารถล็อกอินด้วยอุปกรณ์อะไรก็ได้ หรือหากต้องการล็อกอินบนอุปกรณ์อื่นที่ไม่ใช่ของแอปเปิลก็ยังแสกน QR มาล็อกอินได้ แบบเดียวกับการล็อกอิน LINE บนเดสก์ทอป

แอป Photos ใน iOS 16 จะดูโฟลเดอร์ Hidden และ Recently Deleted ต้องปลดล็อค Face ID ก่อน

By arjin

on 7 June 2022 - 12:40 Tag: iOS 16, Apple, Security

iOS 16

ใน iOS 16 มีอัพเดตฟีเจอร์เล็ก ๆ ที่หลายคนน่าจะอยากให้มีนานแล้ว ซึ่งแอปเปิลระบุในหน้ารายละเอียดฟีเจอร์ใหม่ ว่าแอป Photos จะล็อคการเข้าถึงโฟลเดอร์ Hidden และ Recently Deleted เป็นค่าเริ่มต้น หากต้องการเข้าไปจัดการรูปในนั้น ต้องปลดล็อคด้วย Face ID, Touch ID หรือใส่ Passcode

ก่อนหน้านี้ใน iOS 15 แอปเปิลได้ปรับปรุงการเข้าถึงโฟลเดอร์สองอันนี้ โดยนำไปไว้แถวล่างสุดของแอปเพื่อไม่ให้เห็นเด่น แต่ก็สามารถเข้าถึงรูปในนั้นได้หากปลดล็อกที่ระดับอุปกรณ์สำเร็จ การเพิ่มระดับการเข้าถึงนี้จะช่วยปกป้องข้อมูลผู้ใช้งานได้มากขึ้นนั่นเอง

Atlassian แจ้งเตือน Confluence มีช่องโหว่รันโค้ดระยะไกลยังไม่มีแพตช์ถูกโจมตีแล้ว ควรตัดออกจากอินเทอร์เน็ต

By lew

on 3 June 2022 - 10:53 Tag: Confluence, Atlassian, Security

Confluence

Atlassian แจ้งเตือนว่า Confluence Server และ Confluence Data Center ระบบจัดการโครงการซอฟต์แวร์ มีช่องโหว่ CVE-2022-26134 เปิดทางให้แฮกเกอร์รันโค้ดในเซิร์ฟเวอร์ได้ โดยตอนนี้พบแฮกเกอร์เริ่มโจมตีแล้ว และยังไม่มีแพตช์

ลูกค้าที่ใช้บริการ Confluence ผ่านทาง Atlassian Cloud ไม่ได้รับผลกระทบจากช่องโหว่นี้ ตัวช่องโหว่กระทบตั้งแต่ Confluence 7.4.0 ขึ้นไป แต่เวอร์ชั่นที่พบว่าถูกโจมตีคือ 7.18.0

ตอนนี้ยังไม่มีแพตช์ ทาง Atlassian แนะนำว่าควรปิดไม่ให้เซิร์ฟเวอร์เข้าถึงจากอินเทอร์เน็ตได้ หรือไม่เช่นนั้นก็อาจจะปิดเซิร์ฟเวอร์ไปก่อน

พบเซิร์ฟเวอร์ MySQL 3.6 ล้านเครื่องเชื่อมต่ออินเทอร์เน็ตโดยตรง ไทยมีราว 1 หมื่นเครื่อง

By mk

on 2 June 2022 - 20:19 Tag: MySQL, Security, Database

MySQL

Shadowserver Foundation หน่วยงานไม่หวังผลกำไรด้านความปลอดภัยไซเบอร์ ทดลองสแกนพอร์ต MySQL ของทั้งโลก (ตรวจสอบเฉพาะพอร์ต 3306/TCP ที่เป็นค่าดีฟอลต์) และพบว่ามีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ (accessible คือตอบสถานะกลับมา แต่ไม่ได้ลองล็อกอิน) จำนวน 3.6 ล้านเครื่อง แบ่งเป็น IPv4 2.3 ล้านเครื่อง และ IPv6 อีก 1.3 ล้านเครื่อง

ไมโครซอฟท์รวบบริการยืนยันตัวตนผู้ใช้เข้าเป็นชุดในชื่อ Microsoft Entra

By lew

on 31 May 2022 - 23:21 Tag: Microsoft, Authentication, Security, Entra, Active Directory, Microsoft Azure

Microsoft

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management - IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวม Microsoft Entra จะมีบริการหลัก 3 ส่วน คือ

แจ้งเตือน คนร้ายโจมตีช่องโหว่ MSDT ในวินโดวส์เปิดทางแฮกเกอร์รันโค้ดในเครื่องเหยื่อ ยังไม่มีแพตช์

By lew

on 31 May 2022 - 10:50 Tag: Microsoft Office, Security

Microsoft Office

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2022-30190 ช่องโหว่รันโค้ดผ่าน URL ที่เป็นโปรโตคอลสำหรับ Microsoft Support Diagnostic Tool (MSDT) โดยฝัง URL ในเอกสารในรูปแบบ ms-msdt:/ เมื่อผู้ใช้เปิดเอกสารก็จะกลายเป็นการรันโค้ดทันที แม้จะเป็นการเปิดเอกสารแบบพรีวิว, เปิดแบบ read-only, หรือเปิดใน Word ที่ปิดฟีเจอร์มาโครก็ตามที

Subscribe to Security