Tags:
Node Thumbnail

วันนี้ WikiLeaks เปิดเผยช่องโหว่ของ CIA ชุดใหญ่ กระทบต่อระบบปฎิบัติการจำนวนมาก ทาง TechCrunch ก็สอบถามไปยังแอปเปิลว่าจะทำอย่างไรกับช่องโหว่เหล่านี้ ตอนนี้แอปเปิลก็ตอบกลับมาว่าช่องโหว่จำนวนมากถูกแก้ไขไปตั้งแต่ก่อนเปิดเผยมาแล้ว

โฆษกของแอปเปิลระบุว่ากำลังเร่งทำงานเพื่อหาทางแก้ช่องโหว่ที่เปิดเผยออกมาต่อไป พร้อมกับย้ำว่าลูกค้า 80% ของแอปเปิลใช้อัปเดตล่าสุด และเตือนให้ลูกค้าที่เหลือเปิดอัพเดตเสมอ

Tags:
Node Thumbnail

เป็นที่รู้กันว่าหน่วยงานด้านข่าวกรองอย่าง NSA และ CIA มีเครื่องมือแฮ็กระบบของตัวเองใช้งานอยู่เงียบๆ เครื่องมือเหล่านี้ประกอบด้วยช่องโหว่ที่ยังไม่เปิดเผยต่อสาธารณะ (zero day) เพื่อใช้เจาะระบบ รวมถึงมัลแวร์ ไวรัส โทรจัน ที่ใช้เผยแพร่ต่อผ่านช่องโหว่เหล่านี้

เครื่องมือการแฮ็กของ NSA ถูกนำมาแฉโดย Edward Snowden จนเป็นเหตุให้เขาต้องลี้ภัยไปนอกสหรัฐ ล่าสุดเว็บไซต์ WikiLeaks เผยแพร่ข้อมูลของเครื่องมือแบบเดียวกันในฝั่ง CIA บ้าง

Tags:
Node Thumbnail

WordPress ซึ่งเป็น CMS ยอดนิยมออกเวอร์ชันใหม่ (4.7.3) เพื่อแก้ไขช่องโหว่ทางด้านความมั่นคงปลอดภัยในเวอร์ชัน 4.7.2 และเวอร์ชันก่อนหน้านั้นแล้ว

ช่องโหว่ที่ถูกแก้ไขได้แก่

Tags:
Node Thumbnail

พบกันเป็นประจำทุกต้นเดือนครับ กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนมีนาคม 2017 รอบนี้แพตช์มี 2 ชุด ได้แก่ชุด 1 มี.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 มี.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 มี.ค.มาด้วย)

สำหรับแพตช์ 1 มี.ค. แก้ช่องโหว่ด้านความปลอดภัย 36 จุด (CVE) เป็นระดับร้ายแรง (critical) 11 จุด ส่วนแพตช์ 5 มี.ค. แก้เพิ่มอีก 70 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, Broadcom, MediaTek, Synaptics และ NVIDIA

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์ จะมีดังนี้ครับ

Tags:
Node Thumbnail

Consumer Reports นิตยสารเพื่อผู้บริโภคในสหรัฐฯ ที่มักจะนำสินค้าต่าง ๆ มารีวิวพร้อมให้คะแนน ตอนนี้กำลังจะปรับเปลี่ยนวิธีการให้คะแนนการรีวิวผลิตภัณฑ์ใหม่ โดยจะนำปัจจัยด้านความปลอดภัยและการป้องกันความเป็นส่วนตัวของผลิตภัณฑ์มาเป็นเกณฑ์การให้คะแนนแล้ว

ทางนิตยสารได้กล่าวว่า ตอนนี้กำลังร่วมมือกับองค์กรนอกเพื่อทำการพัฒนาวิธีการศึกษาว่า ผลิตภัณฑ์นั้นง่ายต่อการแฮกแค่ไหน และข้อมูลของผู้ใช้จะปลอดภัยแค่ไหน โดยวิธีการศึกษาผลิตภัณฑ์แบบใหม่นี้จะเริ่มใช้ทดสอบกับผลิตภัณฑ์เพียงจำนวนน้อย ๆ ก่อน เนื่องจากเป็นส่วนที่ซับซ้อน จึงต้องใช้ความประณีตอย่างมากในการทดสอบ

Tags:
Topics: 
Node Thumbnail

DataOne Asia ผู้ให้บริการปรึกษาและออกแบบระบบไอที บริษัทลูกของ SVOA ประกาศความร่วมมือกับ i-Sprint Innovation ผู้ให้บริการโซลูชันด้านความปลอดภัยอย่างการยืนยันตัวตนและการจัดการสิทธิในการใช้งานจากสิงคโปร์ เปิดตัวโซลูชันยืนยันตัวตนดิจิทัลสำหรับกลุ่มธุรกิจในประเทศไทย

โซลูชันและผลิตภัณฑ์ที่ DataOne Asia และ i-Sprint นำมาให้บริการในไทยมี

Tags:
Topics: 
Node Thumbnail

มีผู้ค้นพบช่องโหว่ Slack ซึ่งจะทำให้ผู้โจมตีสามารถยึดบัญชีและอ่านข้อความได้ โดยใช้วิธีการขโมยโทเคนการยืนยันตัวตนของผู้ใช้

Frans Rosen ผู้ค้บพบช่องโหว่นี้กล่าวว่า ตัวเขาสังเกต Slack ใช้หน้าต่างป๊อปอัพในลักษณะที่สุ่มเสี่ยง คือเมื่อเริ่มต้นการโทรจะเปิดหน้าต่างป๊อปอัพแต่ไม่ได้ยืนยันกันระหว่างหน้าต่างใหม่และหน้าต่างแชทเดิม

ด้วยช่องโหว่นี้ Rosen ใช้วิธีสร้างหน้าเว็บปลอมเป็นเซิร์ฟเวอร์ของ Slack ขึ้นมา และส่งการโทรปลอมไปยังหน้าต่างเปิดใหม่ แล้วหน้าเว็บปลอมก็จะสามารถเก็บโทเคนการยืนยันตัวตนของผู้ใช้ได้ โดยเฉพาะรหัสผ่านในแต่ละเซสชั่น ทำให้สามารถเข้าถึงข้อมูลของผู้ใช้ได้ทั้งหมด รวมถึงอ่านข้อความของผู้ใช้ได้ด้วย

Tags:
Node Thumbnail

CloudFlare ได้พบกับบั๊กที่ทำให้ข้อมูลสำคัญรั่วไหลจากเว็บไซต์ที่ฝากไว้ หรือ Cloudbleed ตอนนี้กำลังอยู่ในขั้นตอนการสืบสวน โดย CloudFlare ก็ได้ประกาศข้อมูลออกมาเพิ่มเติมเกี่ยวกับผลกระทบจากบั๊กดังกล่าว

CloudFlare ประมาณการว่า บั๊กดังกล่าวน่าจะทำให้ข้อมูลรั่วไหลไปแล้วประมาณ 1,242,071 ครั้ง ในช่วงวันที่ 22 กันยายน 2016 - 18 กุมภาพันธ์ 2017 โดยเฉพาะในช่วงเดือนกุมภาพันธ์ที่ parser แบบใหม่ซึ่งเป็นสาเหตุของปัญหานี้ได้เริ่มใช้กันอย่างแพร่หลายแล้ว

Tags:
Node Thumbnail

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

จุดที่พลาดเหมือนกันเช่น การอิมพลีเมนต์เบราว์เซอร์ไว้ในตัวแอปเก็บรหัสผ่านแล้วทำผิดพลาด เช่น ไม่ยอมเข้ารหัสเมื่อเชื่อมต่อไปยังกูเกิล, หรือเปิดให้เบราว์เซอร์อ่านไฟล์เฉพาะที่ไม่ควรอ่านออกมาได้โดยตรง

Tags:
Node Thumbnail

กูเกิลเปิดตัวโครงการ End-to-End สำหรับการเข้ารหัสอีเมลมาตั้งแต่ปี 2014 แม้จะเป็นโครงการโอเพนซอร์ส แต่ก็เป็นโครงการที่กูเกิลดูและให้รางวัลตามโครงการรายงานช่องโหว่ของกูเกิล ล่าสุดกูเกิลก็ประกาศว่า End-to-End จะไม่ใช่โครงการของกูเกิลอีกต่อไป

Matthew Green นักวิชาการด้านวิทยาการเข้ารหัสลับแสดงความผิดหวังที่กูเกิลปล่อยโครงการไปเช่นนี้ หลังจากโปรโมทโครงการมาในช่วงแรก

Tags:
Node Thumbnail

สองสัปดาห์ก่อนประเทศเยอรมันสั่งห้ามขายตุ๊กตา Cayla อ้างเพราะมีอุปกรณ์เข้าข่ายจารกรรมข้อมูล ด้วยห่วงความเป็นส่วนตัวของผู้ใช้งาน มาวันนี้ เหตุการณ์ลักษณะคล้ายกันเกิดขึ้นแล้วครับ แต่แย่กว่าตรงที่เกิดความเสียหายขึ้นแล้วจริงๆ

ในอเมริกามีบริษัทที่ชื่อ CloudPets ที่ขายตุ๊กตาหมีไฮเทคสำหรับเด็กๆ สำหรับผู้ปกครองสามารถอัดเสียงตัวเองผ่านแอพบนสมาร์ทโฟนส่งไปยังตุ๊กตาหมีผ่านระบบคลาวด์ รวมทั้งเด็กๆ สามารถอัดเสียงตัวเองสั้นๆ ที่ตัวตุ๊กตา ส่งไปหาผู้ปกครองผ่านแอพบนสมาร์ทโฟนได้

Tags:
Topics: 
Node Thumbnail

สนามบินนานาชาติ Stewart ในนิวยอร์คคอนฟิกเซิร์ฟเวอร์ผิดพลาด ทำให้เซิร์ฟเวอร์สำรองข้อมูลเปิดข้อมูลออกสู่อินเทอร์เน็ตโดยไม่ต้องใช้รหัสผ่านใดๆ และปิดพอร์ตนั้นลงหลังจากได้รับแจ้งนานถึง 3 ชั่วโมงครึ่ง

Chris Vickery นักวิจัยจาก MacKeeper พบเซิร์ฟเวอร์สำรองนี้เปิดพอร์ต 873 ออกสู่อินเทอร์เน็ต และแจ้งให้กับบริษัทบริหารสนามบินทราบ หลังจากสนามบินได้ทราบเรื่องแล้วก็ต้องรอถึงสามชั่วโมงครึ่ง เซิร์ฟเวอร์นั้นจึงปิดพอร์ตไป และหลังจากนั้น Vickery ก็ได้รับโทรศัพท์จากสนามบนระบุว่าเขาทำผิดอาญาที่ดาวน์โหลดข้อมูลออกจากเซิร์ฟเวอร์ไป ตัว Vickery เองแจ้งกลับไปว่าตัวเซิร์ฟเวอร์ทำตัวเป็นเว็บสาธารณะเอง

Tags:
Node Thumbnail

สำนักข่าว The Information รายงานว่า Apple ปลดอุปกรณ์เซิร์ฟเวอร์ที่ผลิตโดยบริษัท Supermicro ออกจากศูนย์ข้อมูลของตัวเอง และคืนอุปกรณ์ที่เพิ่งซื้อมาให้กับบริษัท เนื่องจากพบปัญหามัลแวร์ฝังตัวอยู่ในเฟิร์มแวร์ที่ติดตั้งบนเซิร์ฟเวอร์

Apple ตรวจพบปัญหาขณะกำลังพัฒนาระบบของ App Store โดยในรายงานบอกว่าเซิร์ฟเวอร์ที่จัดการคำสั่งจาก Siri ก็มีการใช้งานเซิร์ฟเวอร์ของบริษัท Supermicro ด้วย ในขณะที่แหล่งข่าวของ Ars Technica เผยว่าปัญหาดังกล่าวเกิดเฉพาะเซิร์ฟเวอร์ที่ใช้งานในห้องปฏิบัติการออกแบบเท่านั้น

Tags:
Node Thumbnail

CloudFlare บริการ CDN ชื่อดังได้เปิดเผยบั๊กล่าสุด ซึ่งเป็นบั๊กที่มีความเสี่ยงจะทำให้ข้อมูลสำคัญอย่างรหัสผ่าน, คุกกี้ และโทเคนสำหรับการยืนยันตัวตนรั่วไหลจากเว็บไซต์ของลูกค้าได้ ทำให้ผู้ที่ค้นพบช่องโหว่นี้สามารถเก็บข้อมูลส่วนตัวที่ถูกเข้ารหัสแล้วได้ รวมถึงข้อมูลบางอย่างจะถูกแคชไว้ด้วยเสิร์ชเอนจิน ทำให้แม้ว่าหลังจาก CloudFlare จะแก้ปัญหาเองแล้วก็จะต้องขอความร่วมมือกับผู้ให้บริการเสิร์ชเอนจินในการล้างข้อมูลเหล่านี้ด้วย

Tags:
Node Thumbnail

กูเกิลเปิดตัวโครงการทดลองสำหรับการแชร์ไฟล์แบบเข้ารหัสจากปลายทางถึงปลายทาง ในชื่อโครงการว่า Upspin โดยกระบวนการเข้ารหัสแทบทั้งหมดจะทำที่เครื่องไคลเอนต์ ทำให้ไม่ต้องระแวงว่าเซิร์ฟเวอร์จะเข้ารหัสจริงหรือไม่

ผู้แชร์ไฟล์สามารถกำหนดผู้ที่มีสิทธิ์อ่านไฟล์ได้ด้วยการเขียนไฟล์กำหนดสิทธิ์ เช่น สิทธิ์ในการอ่าน, เขียน, สร้างไฟล์, และลบไฟล์

กระบวนการยืนยันตัวตนในระบบของ Upspin ใช้การเปิดเผยกุญแจของผู้ใช้ที่เข้ามาร่วมระบบ และคาดว่าในอนาคตจะไปร่วมกับโครงการ Key Transparency ของกูเกิลเองต่อไป

ที่มา - Google Online Security Blog

Tags:
Node Thumbnail

เป้าหมายสำคัญอย่างหนึ่งในการรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ส คือการทำให้การคอมไพล์สามารถทำซ้ำได้ (reproducible builds) เพื่อให้คนภายนอกแน่ใจได้ว่าซอร์สโค้ดที่เปิดเผยออกมาตรงกับซอฟต์แวร์ที่กำลังใช้งานอยู่ แต่กระบวนการทำจริงนั้นมีเงื่อนไขหลายอย่างที่ทำให้โค้ดไม่สามารถคอมไพล์ออกมาให้ตรงกันทุกครั้ง แต่วันนี้ทาง NetBSD ก็ออกมาระบุว่าตอนนี้การคอมไพล์บนสถาปัตยกรรม amd64 และ sparc64 สามารถทำซ้ำได้แล้ว

ทาง NetBSD แจงรายการปัญหาที่พบจากการพยายามทำให้การคอมไพล์ทำซ้ำได้ ได้แก่

Tags:
Node Thumbnail

Let's Encrypt นอกจากจะเป็นหน่วยงานออกใบรับรองดิจิตอลฟรีแล้ว ยังออกแบบโปรโตคอล ACME สำหรับการยืนยันตัวตนของเจ้าของโดเมนเพื่อออกใบรับรองอัตโนมัติไปพร้อมกัน แม้ว่าจะเกิดมาคู่กันแต่โปรโตคอล ACME ก็สามารถนำไปใช้งานกับหน่วยงานออกใบรับรองอื่นๆ ที่อาจจะเก็บเงินก็ได้ ตอนนี้ GlobalSign ก็ประกาศรองรับ ACME บน Auto Enrollment Gateway (AEG) เกตเวย์สำหรับออกใบรับรองในองค์กร

Tags:
Node Thumbnail

บริษัทแอนตี้ไวรัส Kaspersky เปิดตัวระบบปฏิบัติการของตัวเองในชื่อ KasperskyOS

KasperskyOS เป็นระบบปฏิบัติการที่ออกแบบมาสำหรับอุปกรณ์ฝังตัว, อุปกรณ์ IoT และอุปกรณ์เครือข่าย (เช่น เราเตอร์) มันเป็นระบบปฏิบัติการที่เขียนขึ้นมาใหม่ทั้งตัว และมุ่งเป้าเรื่อง "ความปลอดภัย" เป็นอันดับแรก

Eugene Kaspersky ซีอีโอของบริษัทอธิบายว่า อุปกรณ์ฝังตัวและ IoT ต้องการความปลอดภัยสูง แต่ระบบปฏิบัติการในท้องตลาดมักเป็นระบบปฏิบัติการเฉพาะทาง-เฉพาะอุปกรณ์ ส่วนระบบปฏิบัติการที่ใช้งานทั่วไป (general-purpose OS) อย่างลินุกซ์ก็มีความปลอดภัยไม่เพียงพอ เพราะไม่ได้ออกแบบมาสำหรับความปลอดภัยโดยตรง

Tags:
Node Thumbnail

ทาง Project Zero ของกูเกิลเปิดเผยช่องโหว่ในไลบรารี gdi32.dll ของระบบปฏิบัติการ Windows โดยช่องโหว่ดังกล่าวพบในระบบปฏิบัติการหลายรุ่นตั้งแต่ Windows Vista Service Pack 2 จนถึง Windows 10

ตามรายงานบอกว่า ช่องโหว่เปิดช่องให้แฮคเกอร์ขโมยข้อมูลจากหน่วยความจำได้ และมีผลถึงทุกแอพที่ใช้ไลบรารีดังกล่าว อย่างไรก็ตาม การโจมตีช่องโหว่นี้ต้องเข้าถึงไลบรารีโดยตรงเท่านั้น (Physical Access)

Project Zero แจ้งให้ไมโครซอฟท์ทราบตั้งแต่เดือนมีนาคม 2016 และไมโครซอฟท์ก็ออกแพทช์แก้แล้วเมื่อเดือนมิถุนายน 2016 แต่ปรากฏว่ายังไม่สามารถแก้ไขบั๊กได้อย่างสมบูรณ์

Tags:
Node Thumbnail

ต่อจากข่าว บั๊กทำพิษ ไมโครซอฟท์เลื่อนอัพเดต Patch Tuesday รอบเดือนกุมภาพันธ์ 2017 ไมโครซอฟท์อัพเดตประกาศเดิมสั้นๆ ว่ายกเลิกการออกแพตช์รอบเดือนกุมภาพันธ์ 2017 ไปทั้งหมด และจะนำแพตช์รอบนี้ไปรวมกับแพตช์รอบเดือนมีนาคม 2017 ทีเดียวเลย (ออก 14 มีนาคม)

ประกาศนี้สร้างความตื่นตะลึงให้กับโลกความปลอดภัยไม่น้อย เพราะไมโครซอฟท์ไม่เคยพลาดรอบการออกแพตช์ Patch Tuesday เลย (เคยมีบางเดือนที่ไม่ออก แต่ก็ประกาศล่วงหน้าว่าจะไม่ออก) และผู้เชี่ยวชาญหลายรายก็กังวลว่าระบบของไมโครซอฟท์มีความเสี่ยงจากช่องโหว่บางตัวที่รู้ข้อมูลแล้วแต่ยังไม่มีแพตช์

Tags:
Node Thumbnail

กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรองด้วยการบังคับกฏนี้ใน Chrome เสียเอง

Tags:
Node Thumbnail

แอปแชตจำนวนมากเน้นโฆษณาถึงความปลอดภัยระดับสูงแต่การอ้างเช่นนี้หากเป็นซอฟต์แวร์ที่ปิดโค้ดก็ตรวจสอบได้ยากว่าได้ทำตามที่อ้างไว้จริงหรือไม่ ตอนนี้แอปแชตสำหรับองค์กรอย่าง Wickr ก็ทำตามแนวทางความปลอดภัยที่ดี คือเปิดโค้ดให้คนภายนอกเข้าตรวจสอบได้อย่างอิสระ

โค้ดของ Wickr อยู่ใน GitHub แต่ไม่ใช่โครงการโอเพนซอร์สที่เปิดให้คนทั่วไปพัฒนาต่อได้ โค้ดส่วนโปรโตคอล wickr-crypto-c เปิดออกมาเพื่อให้นักวิจัยภายนอกตรวจว่ามีความผิดพลาดหรือไม่เท่านั้น โดยเปิดมาพร้อมกับเอกสารอธิบายโปรโตคอลของ Wickr เอง

Tags:
Node Thumbnail

HP ร่วมกับ Bromium เปิดตัว HP Sure Click ระบบแบ่งโซนความปลอดภัยระหว่างเว็บต่างๆ ในเบราว์เซอร์ที่ระดับฮาร์ดแวร์ ทำให้โค้ดในเว็บต่างๆ ไม่สามารถเข้าไปยุ่งกับข้อมูลในเว็บอื่นๆ หรือในระบบปฏิบัติการได้

Sure Click จะทำงานได้กับ Internet Explorer และ Chromium (น่าสนใจว่าไม่ใช่ Chrome ปกติ) และจะทำงานได้บนเครื่อง HP EliteBook x360 1030 G2 ตัวเดียวก่อนในช่วงแรก

ซอฟต์แวร์จะเปิดให้ดาวน์โหลดในช่วงฤดูใบไม้ผลินี้

ที่มา - Market Wired

Tags:
Node Thumbnail

ปกติแล้วไมโครซอฟท์มีรอบการออกแพตช์ความปลอดภัยประจำเดือน หรือที่เรียกกันว่า Patch Tuesday ทุกวันอังคารที่สองของเดือนในเวลา 10.00 น. (ตรงกับวันพุธในเวลาบ้านเรา)

Patch Tuesday ในเดือนกุมภาพันธ์ 2017 ตรงกับวันวาเลนไทน์พอดี แต่ Patch Tuesday รอบนี้มีเหตุให้ต้องเลื่อนออกไปอย่างไม่มีกำหนด ด้วยเหตุผลว่าค้นพบบั๊กในนาทีสุดท้าย และไม่สามารถแก้ปัญหาได้ทันเวลา จึงขอเลื่อนออกไปก่อน

เดือนนี้ยังเป็นเดือนแรกที่ไมโครซอฟท์ปรับระบบรายงานช่องโหว่ จากเดิมที่แสดงรายการช่องโหว่ทั้งหมดเป็นไฟล์ (security bulletin) ที่ใช้มาตั้งแต่ปี 1998 เปลี่ยนมาเป็นระบบฐานข้อมูลช่องโหว่ที่สามารถค้นหาได้ง่ายขึ้น

Tags:
Node Thumbnail

Daniel Stenberg จากโครงการ libssh2 ไลบรารีสำหรับการเชื่อมต่อผ่านโปรโตคอล SSH สำหรับการใช้งานผ่านซอฟต์แวร์อื่นๆ เช่น SFTP บน curl ได้รับแจ้งช่องโหว่ความปลอดภัยจากนักวิจัยภายนอก แต่นักพัฒนากลับไม่มีเวลาจัดการช่องโหว่นี้

ตอนนี้ผู้ดูแลโครงการคือ Stenberg เอง และ Alexander
Lamaison ขออาสาสมัครเพื่อช่วยเข้ามาสร้างแพตช์สำหรับช่องโหว่นี้ ไม่เช่นนั้นหากปล่อยให้เนิ่นนานไป ช่องโหว่จะถูกเปิดเผยต่อสาธารณะ

ตอนนี้ประกาศมีนักพัฒนาเข้าไปอาสาแล้วจำนวนหนึ่ง และผู้ดูแลโครงการก็มอบหมายให้ Peter Stuge และ Sara Golemon ที่เคยทำงานร่วมกับโครงการมานานหลายปี เป็นผู้ดูแลช่องโหว่ในครั้งนี้

Pages