Tags:
Node Thumbnail

เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)

Tags:
Node Thumbnail

นักวิจัยจาก Kaspersky ค้นพบว่าแอปสแกนไฟล์เป็น PDF ชื่อดังอย่าง CamScanner เวอร์ชันฟรีถูกฝังมาด้วยโมดูล Trojan Dropper ที่เปิดทางให้แฮกเกอร์แอบดาวน์โหลดและติดตั้งไฟล์ได้จากทางไกลโดยที่เจ้าของเครื่องไม่รู้ Google ทราบเรื่องนี้และนำแอปออกจาก Play Store แล้ว

ปัญหานี้น่าจะไม่ได้เกิดจากตัว CamScanner โดยตรงแต่เกิดจากการที่นักพัฒนาของ CamScanner ไปใช้โมดูลโฆษณาภายนอกเจ้าหนึ่งซึ่งมาพร้อมโมดูล Trojan Dropper ตัวนี้ ซึ่งนักวิจัยจาก Kaspersky ระบุด้วยว่าเคยเจอโมดูลมัลแวร์ตัวนี้อยู่ในแอปที่ถูกติดตั้งมาในสมาร์ทโฟนราคาถูกจากจีน

แน่นอนว่าปัญหานี้เกิดจากการใช้ไลบรารีโฆษณาในเวอร์ชันฟรี ดังนั้นคนที่ใช้เวอร์ชันเสียเงินจะไม่ได้รับผลกระทบจากปัญหานี้ ส่วนคนที่ใช้ฟรีแนะนำให้ลบแอปออกไปก่อนครับ

Tags:
Node Thumbnail

สัปดาห์ก่อนประเด็นในแวดวงความปลอดภัยว่า Valve ปฏิเสธไม่รับแจ้งช่องโหว่ LPE ของ Steam Client ที่นักวิจัยแจ้งผ่านทาง HackerOne เพราะ Valve มองว่ากเป็นช่องโหว่ที่อยู่นอกสโคป ต้องวางไฟล์ในเครื่องเหยื่อก่อนจึงไม่เข้าข่ายที่จะรับรายงาน

ล่าสุด Valve แถลงการณ์ออกมายอมรับความผิดพลาดที่ปฏิเสธไม่รับแจ้งช่องโหว่ดังกล่าวแล้ว พร้อมแก้ไขกฎกติกาบน HackerOne ให้ครอบคลุมช่องโหว่ LPE และจะยอมรับการแจ้งช่องโหว่ลักษณะนี้แล้ว ขณะที่นักวิจัยที่เคยแจ้งช่องโหว่เหล่านี้มาก่อนหน้านี้ Valve ระบุว่าจะดำเนินการต่อไป

Tags:
Topics: 
Node Thumbnail

npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย

ประกาศแจ้งว่าคอมพิวเตอร์ที่ติดตั้งแพ็กเกจนี้แล้วควรถือว่าถูกแฮกไปแล้ว และยกเลิกค่าความลับและกุญแจต่างๆ ที่อยู่บนเครื่องโดยเร็ว แม้แต่การลบแพ็กเกจไปแล้วก็ไม่รับประกันว่าคนร้ายติดตั้งโค้ดมุ่งร้ายอื่นลงบนเครื่องไปแล้วหรือไม่ โดยตอนนี้ bb-builder มีสถานะเป็น security holding ที่ทีมงาน npm ถือไว้เองไม่ให้ใครมาสร้างแพ็กเกจชื่อนี้

Tags:
Node Thumbnail

คาซัคสถานได้ออกนโยบายเชื่อมต่ออินเทอร์เน็ตต้องติดตั้ง root CA ของรัฐบาล โดยอ้างความปลอดภัย ซึ่งจะทำให้รัฐบาลดักฟังอินเทอร์เน็ตได้ทั่วประเทศ

แม้ว่าสุดท้าย คาซัคสถานจะประกาศหยุดระบบนี้ (โดยเรียกว่าเป็นการทดสอบ) และอนุญาตให้ประชาชนลบใบรับรองออกได้แล้ว แต่ Google และ Mozilla ได้เตรียมมาตรการขั้นถัดไป คือหยุดการเชื่อถือใบรับรองเหล่านี้แม้ว่าจะติดตั้งอยู่ในเครื่องของผู้ใช้ก็ตาม

ส่วนฝั่ง Apple โฆษกระบุว่าทางบริษัทปกป้องผู้ใช้ โดยจะทำให้ Safari ไม่เชื่อถือใบรับรองนี้

Tags:
Topics: 
Node Thumbnail

สองวันก่อนมีรายงานถึงโครงการโมดูล rest-client ในที่เป็นไลบรารีภาษา Ruby ถูกเพิ่มโค้ดเข้ามาในเวอร์ชั่น 1.6.13 และเป็นโค้ดมุ่งร้าย ที่จะดาวน์โหลดไฟล์จากอินเทอร์เน็ตเข้ามารันบนเครื่อง จากการสอบสวนพบว่า Matthew Manning ผู้ดูแลโครงการถูกแฮกบัญชีใน Rubygems จนคนร้ายสามารถอัพโหลดโมดูลขึ้นไปได้เอง

ทาง Rubygems สอบสวนเพิ่มเติมและพบว่าที่จริงแล้วมีโมดูลอีกนับสิบที่มีโค้ดแบบเดียวกัน แต่โมดูลส่วนมากเป็นการนำโค้ดโมดูลอื่นมาเพิ่มโค้ดมุ่งร้ายและอัพโหลดไปใหม่ในชื่ออื่น โดยโค้ดเหล่านี้ถูกดาวน์โหลดไปบ้างระดับร้อยครั้งต่อโมดูล รวมแล้วมีโค้ดถูกดาวน์โหลดทั้งหมดหลายพันครั้ง

Tags:
Node Thumbnail

ธนาคารและสถาบันการเงินเป็นเป้าหมายโจมตีของแฮกเกอร์เสมอมา การแฮกสถาบันทางการเงินแต่ละครั้งสามารถสร้างความเสียหายได้มหาศาล ทั้งจากการเจาะระบบตัวธนาคารโดยตรงอย่างการแฮกเพื่อส่งคำสั่งในระบบ SWIFT ของธนาคารบังคลาเทศเมื่อปี 2016 หรือการโจมตีที่ตัวผู้ใช้ ทั้งการทำ skimming เพื่อสำเนาข้อมูลบัตร, การหลอกเอารหัส OTP ผ่านทางมัลแวร์บนโทรศัพท์ของผู้ใช้ ไปจนถึงการโจมตีที่ตัวผู้ปฎิบัติงาน ที่อาจจะพลาดพลั้ง

Tags:
Node Thumbnail

ปัจจุบัน รัฐจอร์เจียใช้เครื่องลงคะแนนเสียงแบบไม่ใช้กระดาษ direct-recording electronic (DRE) ที่ฮาร์ดแวร์และซอฟต์แวร์ถูกใช้งานมานานกว่า 10 ปี ทั้งยังมีช่องโหว่สำคัญต่อระบบจนทำให้รัฐแคลิฟอร์เนียเลิกใช้เครื่อง DRE ในการเลือกตั้งภายในรัฐมาแล้ว แต่จอร์เจียก็ยังคงใช้อยู่มาจนถึงทุกวันนี้ จึงทำให้กลุ่มผู้มีสิทธิ์ลงคะแนนเสียงในรัฐจอร์เจียได้ฟ้องร้องให้รัฐจอร์เจียเลิกใช้ระบบลงคะแนนเสียง DRE ตั้งแต่ปี 2017 เนื่องจากระบบมีช่องโหว่ที่เสี่ยงต่อการแฮก

ล่าสุด ศาลสหพันธรัฐได้ออกคำสั่งให้จอร์เจียหยุดใช้เครื่อง DRE โดยผู้พิพากษา Amy Totenberg ระบุว่าเครื่องลงคะแนนเสียงระบบนี้ล้าสมัยและมีช่องโหว่สำคัญ ตรวจสอบไม่ได้ ซึ่งศาลสั่งให้รัฐจอร์เจียจะต้องหยุดใช้เครื่องนี้ภายในปีหน้า

Tags:
Node Thumbnail

Google เปิดตัวส่วนเสริม Password Checkup สำหรับตรวจสอบรหัสผ่านที่หลุดออนไลน์, ตรวจสอบการล็อกอินเว็บที่ credential ไม่ปลอดภัย รวมถึงแนะนำให้เปลี่ยนรหัสผ่านทันที

ล่าสุดฟีเจอร์ที่ตรวจสอบรหัสผ่านว่ามีการรั่วไหลหรือไม่ จะกลายมาเป็นฟีเจอร์ดีฟอลต์บน Chrome คาดว่าน่าจะมาใน Chrome 78 เพื่อแก้ปัญหาที่เกิดกับส่วนเสริม ทั้งในแง่การเป็นฟีเจอร์แบบ opt-in ที่ต้องเป็นคนที่สนใจด้านความปลอดภัยหน่อยถึงจะเลือกใช้งาน (ทั้งที่เป็นฟีเจอร์สำคัญ) และการที่ Chrome บนแอนดรอยด์ไม่รองรับส่วนเสริม

การทำงานของฟีเจอร์นี้เมื่อกลายมาเป็นฟีเจอร์หลักใน Chrome จะเหมือนกับบนส่วนเสริม คือ Chrome จะตรวจรหัสผ่านทุกอย่างผ่านการเข้ารหัสทั้งหมด

Tags:
Node Thumbnail

ไฟร์ฟอกซ์ประกาศเดินตาม Chrome เลิกแสดงแถบชื่อองค์กรที่ใช้ใบรับรองแบบ Extended Validation (EV) ในเวอร์ชั่น 70 ที่มีกำหนดการออกเดือนตุลาคมนี้ อย่างไรก็ตาม แนวทางของไฟร์ฟอกซ์จะเพิ่มตัวเลือกให้สามารถแสดงชื่อองค์กรหน้า URL เหมือนเดิมได้

ตัวเลือก security.identityblock.show_extended_validation ถูกเพิ่มเข้ามาเพื่อให้คนที่ต้องการหน้าจอแบบเดิมสามารถใช้งานได้ต่อไป แต่ตัวเลือกนี้จะถูกปิดไว้เป็นค่าเริ่มต้น

ทางไฟร์ฟอกซ์ระบุว่าการปลอมแปลงชื่อองค์กรในใบรับรอง EV นั้นมีรายงานมาถึง 18 เดือนแล้ว จนตอนนี้ยังไม่มีทางแก้ ทำให้ทีมพัฒนาเลือกจะปิดการแสดงข้อความส่วนนี้

Tags:
Node Thumbnail

Eyal Itkin นักวิจัยด้านความปลอดภัยได้เสนอวิธีการเจาะช่องโหว่ของกล้อง Canon ผ่านทาง Wi-Fi และ USB ซึ่งช่องโหว่เหล่านี้เปิดให้ผู้บุกรุกสามารถใช้งานกล้องและฟีเจอร์ต่าง ๆ ได้

ช่องโหว่เหล่านี้ อยู่ภายใต้ Picture Transfer Protocol หรือ PTP ของ Canon ที่อยู่ในเฟิร์มแวร์ของตัวกล้อง โดยเป็นมาตรฐานของกล้อง DSLR ยุคใหม่ที่ใช้ในการถ่ายโอนไฟล์ภาพระหว่างตัวกล้องกับคอมพิวเตอร์หรืออุปกรณ์พกพาผ่าน USB หรือ Wi-Fi กระทบทั้ง Canon EOS ที่เป็น DSLR และ Mirrorless, PowerShot SX740 HS, PowerShot SX70 HS และ PowerShot G5X Mark II

Tags:
Node Thumbnail

ทีมวิจัยความปลอดภัยไซเบอร์ของ Netflix รายงานถึงช่องโหว่ในโปรโตคอล HTTP/2 จำนวน 8 รายการ พร้อมๆ กับอีกช่องโหว่ที่พบโดยกูเกิล เป็นชุดของช่องโหว่ที่ไคลเอนต์มุ่งร้ายกำหนดพารามิเตอร์ให้กินทรัพยากรเซิร์ฟเวอร์จนหมด และเว็บล่มได้ในที่สุด

ช่องโหว่เหล่านี้ไม่มีช่องโหว่ใดทำให้ข้อมูลรั่วไหล หรือยึดเซิร์ฟเวอร์ได้แต่อย่างใด โดยช่องโหว่มี 8 รายการ ได้แก่

Tags:
Node Thumbnail

แพตช์ความปลอดภัยตามรอบปกติ แต่รอบนี้มีความพิเศษที่ไมโครซอฟท์แจ้งเตือนสองช่องโหว่ คือ CVE-2019-1181 และ CVE-2019-1182 ว่าสามารถนำไปสร้างเวิร์มทำให้ติดมัลแวร์กันเป็นวงกว้างได้ เหมือนกับ CVE-2019-0708 หรือ Bluekeep ที่รายงานออกมาเมื่อเดือนพฤษภาคม

ช่องโหว่นี้ค้นพบโดยไมโครซอฟท์เอง ระหว่างที่เพิ่มความปลอดภัยให้ซอฟต์แวร์ และยังไม่มีรายงานถึงการโจมตีจากภายนอกไมโครซอฟท์

ช่องโหว่กระทบ Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, และ Windows 10 แต่ไม่กระทบเวอร์ชั่นเก่าๆ อย่าง Windows XP, Windows Server 2003, และ Windows Server 2008

Tags:
Node Thumbnail

กูเกิลปล่อยฟีเจอร์ FIDO2 บนโทรศัพท์ ทำให้ผู้ใช้ที่เคยล็อกอินบริการและลงทะเบียนโทรศัพท์เอาไว้ สามารถล็อกอินซ้ำโดยไม่ต้องใส่รหัสผ่านอีกครั้งเมื่อใช้โทรศัพท์เครื่องเดิม (local user verification)

การปรับปรุงครั้งนี้ใช้ฟีเจอร์ของมาตรฐาน FIDO2, WebAuthn, และ FIDO CTAP เมื่อเข้าเว็บหรือแอปที่เคยลงทะเบียนโทรศัพท์ไว้ เว็บจะเรียก WebAuthn API เพื่อข้อข้อมูลเข้ารหัสลับยืนยันว่าเป็นโทรศัพท์เครื่องเดิมที่เคยลงทะเบียนไว้ ตัวโทรศัพท์จะขอให้ผู้ใช้ยืนยันลายนิ้วมือหรือปลดล็อกหน้าจอด้วยวิธีอื่น เช่น PIN หรือรหัสผ่านของโทรศัพท์

Tags:
Topics: 
Node Thumbnail

Vasily Kravets นักวิจัยความปลอดภัยไซเบอร์จาก Amonitoring บริษัทความปลอดภัยไซเบอร์ในรัสเซีย รายงานถึงช่องโหว่การยกระดับสิทธิ์ซอฟต์แวร์ด้วย steam client ที่เป็นโปรแกรมหน้าร้านขายเกม

รายงานระบุถึงช่องโหว่ของ Steam Client Service ที่ถูกหลอกด้วย symbolic link ใน Windows registry ทำให้แฮกเกอร์ที่อยู่บนเครื่องของเหยื่อ สามารถยกสิทธิ์ของซอฟต์แวร์ตัวเองได้ ทาง Kravets แจ้งช่องโหว่นี้ผ่านทาง HackerOne ตั้งแต่กลางเดือนมิถุนายนที่ผ่านมา แต่ทาง Valve ระบุว่าไม่เข้าข่าย เพราะแฮกเกอร์ต้องสามารถวางไฟล์บนเครื่องของเหยื่อและเข้าถึงตัวเครื่องได้ ซึ่งก็น่าจะเป็นเงื่อนไขปกติของช่องโหว่ local privilege escalation (LPE)

Tags:
Node Thumbnail

ทีมงาน Chromium ประกาศว่า Chrome 77 จะเลิกแสดงแถบ SSL EV ที่เคยแสดงชื่อองค์กรผู้ขอใบรับรองแบบ Extended Validation (EV) แล้วจะนำข้อมูลนี้ไปแสดงเมื่อผู้ใช้กดไอคอนกุญแจเพื่อขอดูข้อมูลเว็บไซต์แทน ทำให้หลังจากนี้เว็บธนาคารจำนวนมาก ที่มักแสดงชื่อธนาคารบนแถบ URL จะเหลือเพียงโดเมนอย่างเดียว

Chrome มีแนวทางลดความสำคัญของใบรับรองแบบ EV เรื่อยมา จากแต่เดิมแถบ EV เคยเป็นสีเขียวเด่นก็กลายเป็นสีเดียวกับโดเมน ส่วน iOS และ macOS นั้นเลิกแสดงไปก่อนหน้านี้แล้ว

Tags:
Node Thumbnail

ทุกคนต่างรู้กันดีว่าการเปิด S3 เป็น public เป็นหนึ่งในสาเหตุของข้อมูลหลุดหลายครั้ง จนสุดท้าย AWS ต้องออก Block Public Access ไม่ให้เปิด S3 เป็นสาธารณะตลอดไป แต่จริง ๆ แล้วคลาวด์มีส่วนประกอบจำนวนมาก ดังนั้น S3 จึงไม่ใช่อย่างเดียวที่คนใช้งานจะพลาดในด้านความปลอดภัย

Ben Morris นักวิเคราะห์ความปลอดภัยอาวุโสจาก Bishop Fox ระบุว่า snapshot ของ EBS คือสิ่งหนึ่งที่ถูกละเลยความปลอดภัย เพราะตัว snapshot เก็บข้อมูลทุกอย่างของแอปบนคลาวด์ แต่กลับมีคนปล่อยเป็นสาธารณะ

Tags:
Node Thumbnail

Bill Demirkapi นักเรียนที่เพิ่งจบจากไฮสคูลในเมืองบอสตันได้ทำการทดสอบต่าง ๆ กับระบบจัดการและเก็บข้อมูลของนักเรียนในโรงเรียน ซึ่งเขาพบว่าระบบจัดการการเรียนรู้ของโรงเรียนอย่าง Blackboard และระบบข้อมูลโรงเรียนในเขตของเขา Aspen ซึ่งพัฒนาโดย Follett มีปัญหาความปลอดภัยหลายอย่าง

Demirkapi ได้นำข้อมูลนี้เปิดเผยในงาน Def Con ซึ่งเป็นงานด้านความปลอดภัยซึ่งจัดขึ้นในวันศุกร์ที่ผ่านมา โดยมีช่องโหว่หลายอย่างที่น่าสนใจและถือเป็นช่องโหว่ที่รุนแรงต่อระบบ

ช่องโหว่หนึ่งที่ Demirkapi ค้นพบอยู่บนระบบข้อมูลของนักเรียน เป็นช่องโหว่ที่จัดการ access control แบบไม่เหมาะสม ซึ่งหากมีการเจาะระบบขึ้นมา แฮกเกอร์ก็อ่านเขียนฐานข้อมูลหรือจะเอาข้อมูลนักเรียนคนใดออกไปจาก Aspen ก็ได้

Tags:
Node Thumbnail

หลังมีข่าวลือ ว่า Broadcom เจรจาซื้อ Symantec วันนี้ข่าวอย่างเป็นทางการออกมาแล้วว่า Broadcom ประกาศซื้อกิจการ Symantec ครึ่งบริษัท

บริษัท Symantec จะขายกิจการฝั่งลูกค้าองค์กร (Enterprise Security) พร้อมสิทธิการใช้แบรนด์ "Symantec" รวมมูลค่า 10.7 พันล้านดอลลาร์ (3.3 แสนล้านบาท) ให้กับ Broadcom โดยจ่ายเป็นเงินสดทั้งหมด

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศตั้ง Azure Security Lab โดยเชิญนักวิจัยด้านความปลอดภัยจำนวนหนึ่งมาช่วยกันแฮ็ก Azure เหมือนกับเป็นอาชญากรไซเบอร์จริงๆ

เครื่องที่ใช้ใน Azure Security Lab เป็นเครื่องที่เซ็ตขึ้นมาเฉพาะกิจเพื่อการทดสอบโจมตีเพียงอย่างเดียว ถูกกันแยกจากเครื่องที่ให้บริการลูกค้าจริงๆ เพื่อให้นักวิจัยด้านความปลอดภัยมีอิสระอย่างเต็มที่ในการคิดค้นวิธีโจมตีแบบใหม่ๆ และไมโครซอฟท์ก็มีเงินรางวัลให้เป็นแรงจูงใจด้วย (รางวัลใหญ่ที่สุด 300,000 ดอลลาร์ หรือเกือบ 10 ล้านบาท - รายละเอียด)

Tags:
Node Thumbnail

ทีมวิจัย Blade Team ของ Tencent รายงานถึงช่องโหว่ระดับวิกฤติในโมดูลเคอร์เนลของ Qualcomm เปิดทางให้แฮกเกอร์สามารถยึดโทรศัพท์แอนดรอยด์ผ่านทางการยิงแพ็กเก็ต Wi-Fi โดยใช้ชื่อช่องโหว่กลุ่มนี้ว่า QualPwn

ช่องโหว่เกิดจากโมดูลเคอร์เนลที่เป็นไดร์เวอร์โมเด็มของ Qualcomm ที่ไม่ตรวจข้อมูลอินพุตจากตัวโมเด็มดีพอ เมื่อแฮกเกอร์ broadcast แพ็กเก็ตมุ่งร้ายที่ออกแบบมาเฉพาะ จะทำให้เคอร์เนลเขียนข้อมูลลงหน่วยความจำโดยเชื่อข้อมูลจากโมเด็มทันที และนำไปสู่การเขียนข้อมูลทับโมดูลเคอร์เนลและนำไปสู่การรันโค้ดในเครื่องของเหยื่อ

ช่องโหว่ที่จริงแล้วเป็นกลุ่ม รวม 3 รายการ ได้แก่ CVE-2019-10539, CVE-2019-10540, และ CVE-2019-10538

Tags:
Node Thumbnail

เมื่อเดือนที่แล้ว LibreOffice ปล่อยแพตช์ตามรอบปกติเป็นรุ่น 6.2.5 โดยส่วนหนึ่งของแพตช์คือการแก้ช่องโหว่ CVE-2019-9848 ที่เปิดทางให้แฮกเกอร์สร้างไฟล์มุ่งร้ายเพื่อรันสคริปต์ยึดเครื่องได้ โดยหลังจากแพตช์ออกมาแล้วช่วงปลายเดือนก็มีการเปิดเผยรายละเอียดช่องโหว่ออกมา แต่พบว่าแพตช์นั้นไม่สามารถอุดช่องโหว่ได้ครบถ้วน ทำให้ต้องการเตรียมแพตช์ใหม่อีกครั้ง

ช่องโหว่ CVE-2019-9848 เป็นฟีเจอร์ LibreLogo ที่ทำให้สามารถฝังสคริปต์เพื่อวาดภาพกราฟิกได้ แต่ช่องโหว่กลับเปิดทางให้แฮกเกอร์รันสคริปต์ไพธอน จนนำไปสู่การรันโค้ดอื่นๆ ได้ในที่สุด และตัว LibreOffice จะยังรันสคริปต์เสมอแม้จะตั้งค่าความปลอดภัยระดับสูงสุดไว้แล้วก็ตาม

Tags:
Node Thumbnail

Project Zero ของกูเกิลออกบทความคำถามพบบ่อย (FAQ) ระบุถึงเหตุผลที่ต้องเปิดเผยช่องโหว่ภายใน 90 วันหลังจากรายงาน แม้ผู้ผลิตจะไม่สามารถแก้ไขได้ทันเวลาก็ตาม โดยระบุว่าด้วยนโยบายปัจจุบัน ผู้ผลิตสามารถแก้ไขได้ก่อนที่ Project Zero จะเปิดเผยช่องโหว่คิดเป็น 95.8% หรือตลอดช่วงเวลาตั้งแต่ปี 2015 เป็นต้นมา มีช่องโหว่ถูกเปิดเผยโดยยังไม่ได้แก้ไขเพียง 66 รายการเท่านั้นจากที่มีการรายงาน 1,585 รายการ

นโยบายของ Project Zero ตอนนี้กำหนดว่าจะเปิดเผยช่องโหว่ภายใน 90 วัน เว้นแต่ผู้ผลิตสัญญาว่าจะออกแพตช์ได้ทันเวลา เช่น มีแพตช์แล้วแต่รอรอบการออกแพตช์ถัดไป ก็จะยืดเวลาให้อีกไม่เกิน 14 วันเพื่อรอแพตช์ก่อน โดยหากคิดเฉพาะช่วงเวลาที่มีนโยบายยืดเวลา 14 วันนี้ อัตราการแพตช์ทันเวลาจะเพิ่มเป็น 97.5%

Tags:
Node Thumbnail

Tanmay Ganacharya ผู้บริหารฝ่ายวิจัยความปลอดภัยของไมโครซอฟท์ เปิดเผยว่า Windows Defender มีส่วนแบ่งตลาดเกิน 50% ของผู้ใช้ Windows ทั้งหมดแล้ว หรือถ้านับเป็นจำนวนอุปกรณ์คือมากกว่า 500 ล้านเครื่อง

ในแง่จำนวนผู้ใช้ Windows Defender อาจไม่ใช่เรื่องน่าแปลกใจนัก เพราะมาพร้อมกับตัวระบบปฏิบัติการอยู่แล้ว แต่ Ganacharya ก็ให้ข้อมูลว่าการที่ Windows Defender มีส่วนแบ่งตลาดสูงสุด ก็ตกเป็นเป้าโจมตีของไวรัสและมัลแวร์ต่างๆ มากตามไปด้วยเช่นกัน เพราะการเจาะผ่าน Windows Defender สำเร็จมีรางวัลเป็นฐานผู้ใช้จำนวนมากที่สุดนั่นเอง

Tags:
Node Thumbnail

กูเกิลมีฟีเจอร์รักษาความปลอดภัยระดับสูง Advanced Protection Program เปิดตัวมาตั้งแต่ปี 2017 โดยเปิดให้ผู้ใช้ Google Account ใช้งาน ล่าสุดฟีเจอร์นี้ขยายมายังผู้ใช้ฝั่งองค์กร G Suite เรียบร้อยแล้ว

ผู้ใช้ที่เปิด Advanced Protection Program จะถูกบังคับให้ต้องล็อกอินด้วยอุปกรณ์ยืนยันตัวตน U2F มาตรฐาน FIDO, บล็อคการเข้าถึงแอพ 3rd party ทั้งหมด (ยกเว้นที่แอดมินองค์กร whitelist), อีเมลจะถูกสแกนไวรัส มัลแวร์ ฟิชชิ่ง และการกู้คืนบัญชีจะต้องให้แอดมินองค์กรเป็นคนทำให้เท่านั้น (เพื่อแก้ปัญหาบัญชีผู้ใช้บางบัญชีโดนแฮ็กง่าย และกลายเป็นจุดเริ่มต้นของการเจาะเข้ามาในองค์กร)

Pages