Tags:
Gmail

ปีที่แล้วเราเห็นแอพ Gmail 5.0 for Android เพิ่มความสามารถในการอ่านเมลจาก Yahoo Mail, Outlook.com, Microsoft Exchange โดยตรง

อย่างไรก็ตาม การใช้งานเมลจาก Yahoo/Outlook ยังจำกัดเฉพาะการล็อกอินด้วยรหัสผ่านเท่านั้น ผู้ที่ใช้การล็อกอินผ่าน OAuth อย่างการล็อกอิน 2 ชั้นยังไม่สามารถใช้งานผ่าน Gmail ได้

วันนี้กูเกิลอัพเดต Gmail for Android เพื่อแก้ปัญหาข้างต้น รองรับ OAuth สำหรับอีเมลจากทั้งสองค่ายเรียบร้อยแล้ว ใครที่จำเป็นต้องใช้ฟีเจอร์นี้ก็เข้าไปอัพเดตกันได้จาก Play Store เลยครับ

ที่มา - Google Apps Update, Phandroid

Tags:
Xen

คล้อยหลัง VMware ไปวันเดียว QEMU ซอฟต์แวร์สร้างเครื่องเสมือนก็มีช่องโหว่เปิดทางให้ซอฟต์แวร์มุ่งร้ายที่รันอยู่ในเครื่องเสมือนสามารถเจาะทะลุเครื่องแม่ออกมาได้

ช่องโหว่อยู่ในส่วนจำลองการ์ดเครือข่าย PCNET (QEMU สามารถจำลองการ์ดได้ 8 แบบ) ที่มีความผิดพลาดในส่วนการสำเนาข้อมูลเฟรมจากเครื่องเสมือนออกมายังเครื่องแม่ ทำให้แฮกเกอร์สามารถสร้างข้อมูลเฉพาะที่ทำให้เกิด heap overflow ความร้ายแรงที่สุดคือแฮกเกอร์เข้ายึดโปรเซส QEMU ที่รันบนเครื่องแม่ได้ทั้งหมด

Xen.org ออกมาเตือนช่องโหว่นี้แต่ก็ระบุว่าผลกระทบมีจำกัดเพราะโดยค่าเริ่มต้นแล้ว QEMU ไม่ได้ใช้ PCNET สำหรับเครือข่าย เท่าที่ผมใช้งาน คนทั่วไปมักใช้ virtio ผู้ดูแลระบบควรตรวจสอบซ้ำว่าเครื่องเสมือนของตัวเองกำลังจำลองเครือข่ายด้วยโมดูลใดอยู่

เครื่องที่รันแบบ paravirtualization, เครื่องที่รันโดยคอนฟิก device_model_stubdomain_override=1, และเครื่อง ARM ไม่ได้รับผลกระทบจากบั๊กนี้ แต่ QEMU ทั้งรุ่นมาตรฐานและ qemu-xen มีโอกาสที่จะมีช่องโหว่นี้ทั้งคู่

ช่องโหว่นี้คือ XSA-135 แต่ XSA-134 และ XSA-136 ยังอยู่ในช่วงปกปิดข้อมูล ช่องโหว่ก่อนหน้านี้ที่เปิดเผยมา คือ XSA-133 หรือ VENOM

ที่มา - Xen.org

Tags:
VMware

VMware ออกแจ้งเตือนช่องโหว่ความปลอดภัย VMSA-2015-0004 เป็นช่องโหว่ระดับวิกฤติสองรายการ

ช่องโหว่ชุดแรกกระทบกับ VMware Workstation และ VMware Horizon Client จากการจัดการหน่วยความจำผิดพลาดทำให้โค้ดที่มุ่งร้ายในเครื่อง guest สามารถรันโค้ดในเครื่องแม่หรือโจมตีให้เครื่องแม่ทำงานต่อไม่ได้ (denial of service - DoS) ช่องโหว่ชุดนี้ค้นพบโดย Kostya Kortchinsky จาก Google Project Zero

ช่องโหว่อีกชุดเป็นของ VMware Workstation, VMware Player, และ VMware Fusion ที่ตรวจสอบคำสั่งผ่าน RPC ผิดพลาดทำให้ถูกโจมตีแบบ DoS ได้อีกเช่นกัน

เวอร์ชั่นแก้ไขช่องโหว่เหล่านี้เปิดให้ดาวน์โหลดแล้ว

ที่มา - VMware, The Register

Tags:
Microsoft

ไมโครซอฟท์ออกแพตช์ความปลอดภัยรายเดือนประจำเดือนมิถุนายน รอบนี้มีช่องโหว่ระดับวิกฤติใน Internet Explorer และ Windows Media Player ที่มีช่องโหว่ทำให้รันโค้ดที่ส่งจากภายนอกได้

แพตช์ของ Internet Explorer นั้นเป็นแพตช์ที่รวมเอาช่องโหว่หลายๆ ตัวเข้าไว้ด้วยกัน ช่องโหว่หลายตัวมีผลกลับไปถึง IE6 ตอนนี้ไมโครซอฟท์ยังไม่พบว่ามีการเปิดเผยช่องโหว่เหล่านี้สู่สาธารณะหรือมีการใช้ช่องโหว่เหล่านี้เจาะระบบแต่อย่างใด

ส่วนช่องโหว่ใน Windows Media Player มีผลกระทบกลับไปถึงเวอร์ชั่น 10 โดยแฮกเกอร์สามารถสร้างไฟล์สำหรับ Windows Media Player เพื่อให้รันโค้ดบนเครื่องและเข้าควบคุมเครื่องได้ในที่สุด ช่องโหว่นี้ยังไม่เปิดเผยต่อสาธารณะ และยังไม่มีการโจมตีเช่นกัน

สำหรับเซิร์ฟเวอร์ไม่มีช่องโหว่ระดับวิกฤติในรอบนี้แต่ก็มีช่องโหว่สำคัญหลายตัว เช่น MS15-064 เป็นช่องโหว่ของ Exchange Server ที่บริการเว็บมีช่องโหว่ในการบังคับนโยบาย same-origin ทำให้แฮกเกอร์สามารถสร้าง URL เพื่อสำรวจเครื่องที่อยู่ภายในองค์กรได้

ที่มา - Technet

Tags:
iOS 9

ฟีเจอร์เล็กๆ ของ iOS 9 ที่ไม่ได้ถูกพูดถึงบนเวทีคือ App Transport Security (ATS) ที่น่าจะเป็นจุดเริ่มต้นของการบังคับให้ผู้พัฒนาแอพทั้งหมดต้องเชื่อมต่อกลับเซิร์ฟเวอร์ด้วย HTTPS เท่านั้น โดยต้องระบุโดเมนที่ต้องการเชื่อมต่อไว้ล่วงหน้า ATS จะเปิดทำงานเป็นค่าเริ่มต้นเพื่อป้องกันไม่ให้แอพเปิดเผยข้อมูลผู้ใช้โดยไม่ตั้งใจ

แอปเปิลยังคงอนุญาตให้นักพัฒนาปิดการทำงานของ ATS ด้วยการประกาศ NSAllowsArbitraryLoads ส่วนข้อมูลตอนนี้ยังอัพเดตไม่ครบถ้วนนัก แต่คาดว่าแอปเปิลจะเปิดให้นักพัฒนาประกาศบางโดเมนให้ยกเว้นไม่ต้องเข้าถึงผ่าน HTTPS ได้

แนวทางนี้ใครทำแอพที่ต้องเชื่อมต่อกลับเซิร์ฟเวอร์ก็ควรต้องอัพเกรดเซิร์ฟเวอร์ให้รองรับ HTTPS กันเตรียมไว้ครับ

ที่มา - ThreatPost

Tags:
USA

เว็บไซต์กองทัพบกสหรัฐฯ www.army.mil ถูกเปลี่ยนหน้าเว็บ (deface) ไปเมื่อวานนี้ทำให้ขึ้นข้อความโจมตีกองทัพสหรัฐฯ ว่าฝึกคนเพื่อส่งไปตาย โดยกลุ่ม Syrian Electronic Army (SEA) อ้างความรับผิดชอบว่าเป็นผู้ลงมือ

เว็บกองทัพบกสหรัฐฯ ปิดตัวลงอย่างรวดเร็วและยังเข้าไม่ได้ในตอนนี้ ทาง SEA ยังแสดงภาพหน้าจอหลังบ้านของเว็บกองทัพบกที่เป็นหน้าจอของ Limelight CDN ทำให้เป็นไปได้ว่าเว็บที่ถูกแฮกจริงๆ คือ Limelight และทางบริษัทระบุว่ากำลังสอบสวนเรื่องนี้อยู่

เว็บกองทัพสหรัฐฯ เช่น stratcom.mil ปิดตัวลงไปพร้อมๆ กับเว็บกองทัพบก แม้จะไม่มีรายงานว่าถูกแฮกก็ตาม

ที่มา - ArsTechnica

Tags:
Internet Explorer

IE11 บน Windows 10 เริ่มทดสอบรองรับมาตรฐานการเข้ารหัสเว็บตลอดเวลา HSTS มาตั้งแต่เดือนกุมภาพันธ์ ตอนนี้อัพเดตล่าสุด KB3058515 ก็อัพเดตไปยัง Windows 7 และ Windows 8.1 แล้วทำให้ IE11 บนวินโดวส์ทั้งสองรุ่นรองรับ HSTS เต็มรูปแบบ

เว็บจำนวนหนึ่งจะบังคับเอาไว้ในตัวเบราว์เซอร์ว่าต้องเข้าเว็บด้วย HTTPS เท่านั้นโดยไมโครซอฟท์ใช้รายชื่อมาจากกูเกิล และรองรับการประกาศเว็บด้วยค่าใน header ของ HTTP ด้วยฟิลด์ Strict-Transport-Security

ใครได้อัพเดตแล้วก็จะเริ่มเข้าเว็บยอดนิยมโดยไม่มี HTTP อีกต่อไป

ที่มา - Microsoft Edge Dev Blog

Tags:
USA

เมื่อเดือนมีนาคมรัฐบาลโอบามาประกาศแนวทางให้เว็บของหน่วยงานรัฐบาลกลางทั้งหมดต้องเป็น HTTPS ภายในสองปีโดยนำร่างแนวทางการอัพเกรดขึ้น GitHub เพื่อให้ประชาชนส่งข้อเสนอเข้ามา ตอนนี้ร่างทั้งหมดก็ลงถึงช่วงใช้งานจริง โดย Tony Scott CIO ของรัฐบาลกลางได้ลงนามเป็นบันทึกถึงผู้บริหารของหน่วยงานภายใต้รัฐบาลกลางทั้งหมดให้เตรียมอัพเกรดไปใช้ HTTPS ภายในสิ้นปี 2016

หลักการของร่างประกาศนี้ไม่เปลี่ยนไปจากเมื่อเดือนมีนาคมนัก เว็บรัฐบาลยังคงแบ่งออกเป็นสี่ระดับ ได้แก่ เว็บสร้างใหม่ต้องเป็น HTTPS เท่านั้น, เว็บเดิมที่มีข้อมูลส่วนตัวต้องให้ความสำคัญก่อน, เว็บที่เหลือจะมีเวลาถึง 31 ธันวาคม 2016, และยกเว้นให้กับเว็บในอินทราเน็ต

ที่มา - ThreatPost, The HTTP-Only Standard

Tags:
Trend Micro

ตั้งแต่ปลายปีก่อน เริ่มมีรายงานว่าพบมัลแวร์เรียกค่าไถ่(Ransomware) เพิ่มขึ้นอย่างต่อเนื่อง และมีรูปแบบใหม่ในการทำให้เหยื่อติดมัลแวร์ง่ายขึ้น จากเดิมที่มาจากอีเมล ตอนนี้ถึงกับมีคนลงทุนซื้อโฆษณาเพื่อใช้ช่องโหว่จากแฟลช และจาวาสคริปต์เพื่อติดตั้งมัลแวร์ได้สะดวกขึ้น Trend Micro ผู้เชี่ยวชาญด้านความปลอดภัยจึงออกมาแนะนำ และนำเสนอเครื่องมือสำหรับป้องกัน Ransomware โดยเฉพาะ

Ransomware นั้นแต่เดิมมีอยู่หลายประเภทด้วยกัน ตั้งแต่แบบที่หลอกผู้ใช้ว่าเครื่องติดไวรัส (Scareware) ไปจนถึงการเข้ารหัสไฟล์สำคัญของเครื่องเพื่อเรียกค่าไถ่สำหรับปลดล็อกข้อมูล (Crypto-Ransomware) ซึ่งแบบหลังเริ่มพบบ่อยในช่วงหลังทั้งภาคธุรกิจ และผู้ใช้ตามบ้าน ซึ่งนอกจากจะเป็นที่นิยมมากขึ้นแล้ว ตัวมัลแวร์ยังถูกพัฒนาให้ทำงานได้ซับซ้อนยิ่งขึ้น การทำงานของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสไฟล์จะเริ่มต้นจากเหยื่อรันโปรแกรมที่มีมัลแวร์ซึ่งมักได้มาจากอีเมล ทำให้ตัวมัลแวร์เริ่มเข้ารหัสไฟล์ ก่อนจะแจ้งเตือนให้จ่ายเงินเพื่อแลกกับการปลดล็อกไฟล์ในภายหลัง

Tags:
USA

หนังสือพิมพ์ The Wall Street Journal และสถานีโทรทัศน์ CNN รายงานว่าหน่วยสืบสวนกลางของสหรัฐ (FBI) กำลังทำการสอบสวนเหตุการณ์การจารกรรมข้อมูลจากระบบของรัฐบาลกลางที่อาจถือว่าเป็นการจารกรรมข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่ง โดยเจ้าหน้าที่ระบุว่าอาจจะมีข้อมูลส่วนบุคคลหลุดออกไปมากถึง 4 ล้านรายการ

เจ้าหน้าที่ของหน่วยงานสอบสวนกลางระบุว่า การจารกรรมข้อมูลครั้งนี้ตรวจพบตั้งแต่เดือนเมษายนของปีนี้ และกระจายไปตามหน่วยงานต่างๆ โดยหน่วยงานที่โดนระบุชื่ออย่างชัดเจนคือ Office of Personnel Management ที่เป็นองค์กรบริหารบุคลากรของรัฐบาลกลาง (เทียบกับบ้านเราใกล้เคียงที่สุดคือ สำนักงานคณะกรรมการข้าราชการพลเรือน) เจ้าหน้าที่สอบสวนกำลังสงสัยว่า การแฮกดังกล่าวนี้มีต้นทางมาจากประเทศจีนและแฮกเกอร์อาจได้รับการสนับสนุนจากทางการจีน

ด้านสถานเอกอัครราชทูตจีนประจำสหรัฐอเมริกาออกมาปฏิเสธความเกี่ยวข้อง และระบุว่าอย่ารีบด่วนสรุปจนเกินไป อนึ่ง ในช่วงที่ผ่านมาความสัมพันธ์ระหว่างสองประเทศเป็นไปอย่างไม่ค่อยราบรื่นนัก โดยเฉพาะกรณีล่าสุดที่สหรัฐส่งเครื่องบินสอดแนม บินใกล้กับหมู่เกาะทะเลจีนใต้ที่ทางการจีนอ้างสิทธิว่าเป็นส่วนหนึ่งของดินแดนตัวเอง

ที่มา - The Wall Street Journal (อาจจำเป็นต้องสมัครสมาชิก), CNN

Tags:

ผู้สร้างมัลแวร์เรียกค่าไถ่ข้อมูล (ransomeware) Tox ประกาศเลิกกิจการและขอให้ผู้สนใจเสนอราคาซื้อกิจการต่อ

Tox เป็นกิจการแบบให้บริการกับผู้เผยแพร่มัลแวร์ โดยผู้เผยแพร่มัลแวร์สามารถตั้งราคาค่าไถ่ข้อมูลและหาทางทำให้เหยื่อถูกมัลแวร์เล่นงานด้วยวิธีการต่างๆ เมื่อมีเงินโอนเข้ามา ทาง Tox จะหักค่าบริการ 30%

การขายกิจการแบ่งออกเป็นสองแบบ คือ ขายเฉพาะซอฟต์แวร์แพลตฟอร์มและตัวมัลแวร์ หรือขายพร้อมกิจการ ฐานข้อมูลของผู้ที่ติดมัลแวร์เดิมและกุญแจเว็บ toxicola7qwv37qj.onion ไปด้วย เพื่อดำเนินการต่อ

ทาง Tox ประกาศว่าหากไม่มีใครรับฐานข้อมูลไปดำเนินกิจการต่อภายในหนึ่งเดือนเขาจะปล่อยกุญแจและตัวมัลแวร์จะปลดล็อกไฟล์โดยอัตโนมัติ

ที่มา - Bleeping Computer

Tags:
Google ATAP

โครงการ ATAP ของกูเกิลกำลังพัฒนาวิธีตรวจสอบความปลอดภัยแบบใหม่ที่ใช้แทนรหัสผ่าน โดยใช้ชื่อว่า Project Abacus

จากการสาธิตการทำงานของ Project Abacus ในงาน Google I/O ที่ผ่านมา ระบบนี้จะเฝ้าสังเกตพฤติกรรมการใช้มือถือ เช่น รูปแบบการพิมพ์ และแอพพลิเคชันที่ใช้งาน แทนการใช้ระบบจดจำเสียงและระบบจดจำใบหน้า ผลลัพธ์จากพฤติกรรมการใช้งานซ้ำๆ อย่างมีรูปแบบจะสร้างฐานคะแนนความน่าเชื่อถือขึ้น เพื่อใช้ระบุตัวตนของผู้ใช้ และสามารถบอกความแตกต่างระหว่างผู้ใช้สองคนได้อย่างชัดเจน ซึ่งการประเมินทางความปลอดภัยของระบบนี้จะทำการล็อกมือถือเมื่อคนอื่นมาใช้งานเครื่องของเราได้ทันที

Project Abacus เป็นความร่วมมือระหว่างกูเกิลกับมหาวิทยาลัย 33 แห่งจาก 28 รัฐ โดยมีฐานข้อมูลพฤติกรรมการใช้งานขนาดใหญ่ถึง 40TB ผลการทดสอบพบว่ามีความน่าเชื่อถือมากกว่าระบบความปลอดภัยแบบอื่นๆ มาก

Tags:
Paysbuy

note: ข่าวนี้เป็นอีเมลจากทาง Paysbuy ส่งมายังคุณ Ford Antitrust ครับ

ตามที่มีกระแสข่าวจากกระทู้ในเว็บไซต์พันทิป เรื่องพบความผิดปกติในการใช้บัตรเครดิต ซึ่งเกิดรายการใช้จ่ายบนบัตรเครดิตที่เจ้าของบัตรเครดิตไม่ได้ทำธุรกรรมด้วยตนเองนั้น บริษัท เพย์สบาย จำกัด (“เพย์สบาย”) ในฐานะผู้ให้บริการ ขอชี้แจงว่า นับตั้งแต่วันที่เพย์สบายได้รับแจ้ง เพย์สบายได้มีการรวบรวมข้อมูลเบื้องต้น และกำลังอยู่ในระหว่างการตรวจสอบหาข้อเท็จจริงว่าปัญหาที่พบนั้นเกิดขึ้นจากระบบของเพย์สบายหรือไม่อย่างไร เนื่องจากปัญหาดังกล่าวนั้นสามารถเกิดขึ้นได้จากหลายสาเหตุ อีกทั้งยังมีความซับซ้อนและเกี่ยวข้องกับบุคคลภายนอกหลายราย จึงทำให้ต้องใช้เวลาในการตรวจสอบอย่างละเอียดถี่ถ้วน ซึ่งในกระบวนการตรวจสอบทั้งหมดอาจจะทำให้เกิดความล่าช้าในการชี้แจงกับลูกค้า และผู้ที่กังวลใจในการใช้บริการของเพย์สบาย ดังนั้น เพย์สบายจึงต้องขออภัยในความไม่สะดวกมา ณ ที่นี้

ปัจจุบันเพย์สบายได้รับเรื่องจากลูกค้า และทำการตรวจสอบพบความผิดปกติในการใช้บัตรเครดิตที่ผูกเข้ากับบัญชีเพย์สบาย (E-Wallet) เป็นจำนวนประมาณ 53 ราย ซึ่งเพย์สบายได้มีการประสานงานกับธนาคารเจ้าของบัตรเครดิตเพื่อให้ทำการตรวจสอบและเฝ้าระวังการทำธุรกรรมบัตรเครดิตอย่างใกล้ชิด รวมทั้งการอายัดบัตรและดำเนินการตามมาตรการที่เกี่ยวข้องอย่างเหมาะสม

Tags:
Thailand

เมื่อวานนี้ (2 มิ.ย. 2558) มีการเผยแพร่ช่องโหว่ ที่อ้างว่าเป็นของเว็บแอพพลิเคชันซึ่งถูกพัฒนาและใช้กันมากในหน่วยงานรัฐ สถาบันการศึกษาและหน่วยงานอื่นๆ โดยเป็นช่องโหว่ประเภท SQL injection และกลุ่มแฮกเกอร์ชาวอินเดียเป็นผู้ประกาศช่องโหว่และวิธีการโจมตี

ช่องโหว่นี้จะเป็นการสร้างคำสั่ง SQL ไปยังพารามิเตอร์ &id_sub_menu= ในไฟล์ /core_main/module/web/blog/blog.php ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลในระบบได้โดยไม่ได้รับอนุญาต และในกรณีที่เว็บไซต์นั้นมีความปลอดภัยอยู่ในระดับต่ำ ความเสียหายของการโจมตีจะยิ่งร้ายแรงมากขึ้น จากการตรวจสอบพบว่ามีเว็บไซต์ที่มีช่องโหว่นี้อยู่ถึง 53,100 ราย ทางที่ดีที่สุดคือควรหยุดใช้งานในทันทีครับ

แก้ไข: จากความคิดเห็นของผู้อ่าน คาดว่า CMS ตัวนี้มีชื่อว่า OBECLMS ครับ

ที่มา - Thailand Gov Custom Blog WebApp SQL Injection

Tags:
GitHub

GitHub ประกาศกวาดล้างกุญแจ SSH ที่อ่อนแอเนื่องจากบั๊กในเดเบียนตั้งแต่ปี 2008 แม้จะผ่านไปแล้วหลายปีและโครงการลินุกซ์จำนวนมากออกสคริปต์เตือนให้ผู้ใช้สร้างกุญแจใหม่แล้ว แต่ก็ยังมีผู้ใช้จำนวนมากใช้กุญแจเหล่านี้อยู่ และยังใช้สำหรับ GitHub ทำให้เสี่ยงต่อการถูกปลอมตัวเพื่อส่งโค้ดเข้าไปโครงการสำคัญหลายโครงการ

โครงการที่ได้รับผลกระทบบางส่วน เช่น Django, gov.uk, Couchbase, Spotify, และ Python

นอกจากกุญแจอ่อนแอจากเดเบียนแล้วยังมีผู้ใช้จำนวนไม่มากใช้กุญแจ RSA ขนาด 256 บิตและ 512 บิตซึ่งถอดรหัสได้โดยง่าย

ผู้ใช้จะได้รับอีเมลว่ากุญแจ SSH ถูกยกเลิกจะต้องสร้างกุญแจใหม่ต่อไป

ที่มา - Ben's Blog

Tags:
Facebook

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

ทางด้าน Facebook จึงออกมาประกาศว่าจะเลิกสนับสนุนการใช้ค่าแฮช SHA-1 มาเข้ารหัสในวันที่ 1 ตุลาคม 2015 นี้ ในตัวประกาศแนะนำให้ใช้ SHA-2 ในการเข้ารหัสแทนแล้ว

ในส่วนของทางด้านนักพัฒนาควรตรวจสอบตัวแอพพลิเคชันที่มีการเชื่อมต่อกับ Facebook ของตัวเองว่าสนับสนุน SHA-2 แล้วหรือไม่ด้วยครับ

ที่มา : The Next Web

Tags:
Mac OS X

เมื่อวันที่ 29 พฤษภาคม 2015 นักวิจัยด้านความปลอดภัย Pedro Vilaca ได้โพสต์เปิดเผยช่องโหว่ของ Mac OS X ที่ปล่อยให้ผู้ไม่ประสงค์ดีสามารถเข้ามาแฟลช BIOS และฝัง rootkit ได้ผ่านการโจมตีระยะไกล

Tags:
Apple

มีการค้นพบช่องโหว่ความปลอดภัยของ Mac ที่อายุเกิน 1 ปีแล้ว โดยอนุญาตให้ผู้ไม่ประสงค์ดีควบคุมเครื่องได้ แม้จะติดตั้ง OS X ใหม่หรือฟอร์แมตฮาร์ดดิสก์ก็ไม่ช่วยอะไร

Pedro Vilaca นักวิจัยความปลอดภัย พบว่าช่องโหว่นี้ทำให้ reflash ตัว BIOS และฝังโค้ดที่ไม่ประสงค์ดีเข้าไปได้ ซึ่งโค้ดนี้จะฝังอยู่ใน flash memory ไม่ใช่ฮาร์ดดิสก์ที่ใช้งาน ซึ่งหมายความว่าแม้จะลง OS X ใหม่, ฟอร์แมต หรือเปลี่ยนฮาร์ดดิสก์ก็ไม่ช่วยอะไร

ปกติ BIOS จะถูกตั้งค่าให้อ่านอย่างเดียวเพื่อป้องกันไม่ให้เปลี่ยนแปลงค่า แต่ Vilaca พบว่าช่วงที่ Mac ออกจากโหมด sleep การป้องกัน BIOS ที่เรียกว่า FLOCKDN จะถูกปิดชั่วคราว ทำให้สามารถ reflash ตัว BIOS ได้ และสามารถจัดการกับ EFI ซึ่งเป็นส่วนที่ควบคุมก่อนที่ OS X จะบู๊ตขึ้นมาได้ด้วย

วิธีจะติดตั้งโปรแกรมประสงค์ร้ายเข้าไป สามารถทำผ่าน Safari เพื่อติดตั้ง EFI rootkit ได้โดยไม่ต้องเข้าถึงฮาร์ดแวร์ของเครื่อง พอเครื่องเข้าสู่โหมด sleep และถูกเปิดขึ้นมาอีกรอบ ก็จะใช้ช่องโหว่เพื่อทำการ reflash ตัว BIOS ได้ทันที

นักวิจัยพบว่า Mac รุ่นหลังจาก mid 2014 จะไม่พบปัญหานี้แล้ว แต่ Mac รุ่นเก่าๆ ที่มีช่องโหว่นี้ยังไม่มีการอุดช่องโหว่ ซึ่งเขาให้คำแนะนำว่าอย่าให้ Mac เข้าสู่โหมด sleep เมื่อไม่ใช้งาน ส่วน power user สามารถดาวน์โหลดซอฟต์แวร์ Thunderstrike ซึ่งจะทำการ dump ข้อมูลทั้งหมดของ BIOS บน Mac และนำมาตรวจสอบกับเฟิร์มแวร์ต้นตำรับของ Apple ว่าตรงกันหรือไม่

ที่มา - Ars Technica, 9to5Mac, Reverse Engineering Mac OS X Blog

Tags:
Paysbuy

หลังจากช่วงเช้าวันนี้ (2 มิถุนายน 2558) สมาชิก Writer ใน Blognone.com ซึ่งใช้นามแฝงว่า Zerothman ได้นำเสนอข่าวต่อเนื่องในหัวข้อ "บัตรเครดิตลูกค้า Paysbuy ยังถูกแฮกอย่างต่อเนื่อง, Paysbuy ยังไม่ชี้แจงใดๆ" ไปแล้ว

ช่วงเที่ยงผมได้รับการติดต่อจากทางคุณมาร์ค หนึ่งในผู้ก่อตั้ง blognone.com ให้ช่วยเข้าไปพูดคุยรับทราบข้อมูลเพิ่มเติมจากทางฝั่งเพย์สบายในประเด็นร้อนดังกล่าว โดยในการเข้าพบในครั้งนี้ได้เข้าพบ คุณสมหวัง เหลืองไพบูลย์ศรี ตำแหน่ง General Manager บริษัท เพย์สบาย จำกัด และ คุณอรอุมา ฤกษ์พัฒนาพิพัฒน์ ตำแหน่ง SVP, Head of Communications and Sustainability Division บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) โดยการพูดคุยเป็นไปอย่างกันเอง และได้รับทราบข้อมูลต่างๆ เพิ่มเติมและนำมาเผยแพร่ดังต่อไปนี้

Tags:
Facebook

ในยุคที่ผู้คนใช้งานสมาร์ทโฟนกันมากขึ้น ข้อมูลส่วนตัวหลายอย่างถูกใช้ผ่านสมาร์ทโฟน โดยที่ไม่ได้คำนึงถึงการป้องกันเมื่อยามสูญหาย หรือถูกโจรกรรม ทำให้นอกจากจะเสียของแล้ว อาจเสียข้อมูลที่มีค่าต่อเนื่องไปด้วย

เพื่อให้ผู้ใช้สามารถควบคุมข้อมูลของตัวเองได้ละเอียดขึ้น Facebook ปล่อยเครื่องมือตัวใหม่สำหรับให้ผู้ใช้สามารถจัดการความเป็นส่วนตัวของบัญชีได้ทั้งหมดในชื่อ Security Checkup สำหรับตั้งค่าความเป็นส่วนตัวของ Facebook และไว้จัดการบริการที่เชื่อมโยงกับ Facebook และไม่ได้ใช้งานมาเกินเดือนได้พร้อมๆ กัน

สำหรับฟีเจอร์ใหม่นี้ Facebook ระบุว่าจะปล่อยให้กับผู้ใช้บางรายก่อน โดยจะมีการแจ้งเตือนให้เมื่อเข้าใช้งานครับ

ที่มา - The Verge