Tags:
Topics: 
Node Thumbnail

เมื่อเช้านี้มีข่าว VLC มีช่องโหว่ร้ายแรงถึงระดับรันโค้ดได้โดยไม่มีแพตช์ ตอนนี้ทาง VLC ก็แถลงผ่านทวิตเตอร์ ระบุว่าเป็นช่องโหว่ของไลบรารี libebml ที่แก้ไขไปแล้วประมาณปีครึ่ง และทาง VLC ก็ใช้ไลบรารีเวอร์ชั่นล่าสุดแล้ว โดยเวอร์ชั่นที่แก้ปัญหานั้นมาพร้อมกับ VLC 3.0.3 ตั้งแต่ปีที่แล้ว

Tags:
Topics: 
Node Thumbnail

update: ทางโครงการออกมาปฎิเสธข่าวแล้ว

เมื่อเดือนที่แล้วมีรายงานถึงบั๊กของโครงการ VLC ที่ไฟล์ mkv ที่ออกแบบมาเฉพาะสามารถทำให้ VLC แครช และแสดงให้เห็นว่ามีบั๊ก buffer overflow นำไปสู่การรันโค้ดในเครื่องของเหยื่อในที่สุด

ผู้ใช้ที่ใช้ชื่อว่า topsec รายงานช่องโหว่นี้ทางช่องทางแจ้งบั๊กปกติ โดยไม่ได้ใช้ช่องทางรายงานช่องโหว่ความปลอดภัย ทำให้ข้อมูลช่องโหว่นี้อยู่บนเว็บ Trac ของโครงการ VLC เพิ่มความเสี่ยงเพราะข้อมูลช่องโหว่ออกสู่สาธารณะก่อนที่จะมีแพตช์

Tags:
Node Thumbnail

ภาษา Rust เป็นภาษาโปรแกรมที่เพิ่งสร้างขึ้นมาเมื่อปี 2010 โดยมอซิลล่า ผู้สร้างเบราว์เซอร์ไฟร์ฟอกซ์ ตอนนี้ได้รับความสนใจขึ้นมาอีกครั้ง เมื่อ Joseph Birr-Pixton ทีมงาน Rustls ทดสอบการส่งข้อมูลเข้ารหัส เทียบกับ OpenSSL ไลบรารีเข้ารหัสที่แทบจะเป็นมาตรฐานกลางสำหรับการเข้ารหัสในซอฟต์แวร์โอเพนซอร์ส แล้วพบว่าสามารถเอาชนะได้แทบทุกการทดสอบ ตั้งแต่ประสิทธิภาพไปจนถึงการใช้หน่วยความจำ

ผลทดสอบ TLS 1.3 TLS_AES_256_GCM_SHA384 นั้น ประสิทธิภาพการส่งข้อมูล Rustls เร็วกว่า OpenSSL อยู่ 13% ขณะที่ฝั่งรับเร็วกว่า 5.8% ขณะที่การใช้หน่วยความจำน้อยกว่า 54%

Tags:
Node Thumbnail

ผู้ให้บริการอินเทอร์เน็ตในคาซัคสถานเริ่มแจ้งเตือนผู้ใช้ให้ติดตั้งใบรับรอง root CA ของทางรัฐบาล โดยระบุเหตุผลว่าเพื่อความปลอดภัยของผู้ใช้งานธนาคารในประเทศ และการส่งข้อมูลจากแฮกเกอร์

ผู้ใช้ได้รับคำแนะนำให้ติดตั้งใบรับรอง root CA ของรัฐบาลบนเว็บ qca.kz โดยเว็บเป็น HTTP ไม่เข้ารหัส

คาซัคสถานออกกฎหมายดักฟังอินเทอร์เน็ตมาตั้งแต่ปี 2015 และเคยยื่นขอให้ Mozilla รับใบรับรอง root CA ของรัฐบาลเข้าไว้ในฐานข้อมูล อย่างไรก็ดี root CA ที่จะได้รับความเชื่อถือจากเบราว์เซอร์มีข้อห้ามไม่ให้ออกใบรับรองปลอมของโดเมนอื่นอย่างชัดเจน

Tags:
Node Thumbnail

กระทรวงยุติธรรมสหรัฐฯ ออกจดหมายข่าวแถลงการจับกุม Volodymyr Kvashuk อดีตโปรแกรมเมอร์ชาวยูเครนที่ทำงานกับไมโครซอฟท์ในสหรัฐฯ โดยระบุว่าเขาใช้บัญชีจำลองลูกค้า สั่งซื้อบัตรของขวัญมูลค่ารวม 10 ล้านดอลลาร์

บัญชีจำลองใช้สำหรับทดสอบระบบ แม้จะสั่งสินค้าได้จริง แต่เมื่อสั่งสำเร็จแล้วสินค้าจะไม่ถูกส่งจริง แต่ระบบกลับไม่ได้ป้องกันการสั่งบัตรของขวัญ ทำให้ผู้ที่เข้าถึงบัญชีจำลองสามารถสั่งซื้อบัตรออกไปขายภายนอกได้

Tags:
Topics: 
Node Thumbnail

Slack ประกาศว่าได้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน จำนวนประมาณ 1% ของผู้ใช้งาน ซึ่งหากอ้างอิงตัวเลขจำนวนผู้ใช้ที่ Slack เคยรายงาน จะอยู่ราว 1 แสนบัญชี

บัญชีผู้ใช้งานที่ได้รับผลกระทบนั้น Slack บอกว่าต้องมีเงื่อนไขตรงกัน 3 ข้อ คือ เป็นบัญชีที่สร้างก่อนมีนาคม 2015 และ ไม่เคยเปลี่ยนรหัสผ่านเลย และ ไม่ถูกกำหนดให้ต้องล็อกอินผ่าน single-sign-on (SSO)

Tags:
Node Thumbnail

แอปเปิลได้ออกแพตช์ลบซอฟต์แวร์สำหรับผู้ใช้ macOS ทุกคน เป็นครั้งที่สอง โดยซอฟต์แวร์ที่ถูกถอนออกคือ RingCentral และ Zhumu ซึ่งเป็นแอปประชุมทางวิดีโอที่ใช้เทคโนโลยีของ Zoom ที่มีรายงานช่องโหว่ออกมา และแอปเปิลได้ออกแพตช์ไปก่อนหน้านี้

อัพเดตดังกล่าวเป็นการแพตช์แบบเงียบ ๆ (Silent Update) ผู้ใช้ไม่ต้องทำอะไรเพิ่มเติม ซึ่งจะทำการลบ web server ที่ทั้งสองโปรแกรมลงเพิ่มเติมเข้ามา

ทั้งนี้แอปเปิลชี้แจงว่าแอปเปิลต้องการแก้ไขปัญหาของแอปจาก Zoom ตลอดจนแอปของพาร์ตเนอร์ทั้งหมดให้เรียบร้อย

Tags:
Node Thumbnail

ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว

การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ

ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น

ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS

Tags:
Node Thumbnail

จากประเด็นอื้อฉาวเรื่องช่องโหว่ของ Zoom เวอร์ชันแมคที่เปิดช่องให้ผู้ไม่ประสงค์ดีแอบล่อให้เหยื่อเข้าสู่การประชุมและเปิดกล้องโดยไม่รู้ตัว

ล่าสุดแอปเปิลได้ออกแพตช์ในฝั่งตัวเองด้วยเพื่อลบ web server ที่ Zoom ติดตั้งไว้เพื่อเป็น "ฟีเจอร์" ให้ผู้ใช้งานเข้าสู่การประชุมได้โดยง่าย โดยแพตช์ดังกล่าวจะถูกอัพเดตสู่เครื่องผู้ใช้แมคทุกคนอย่างเงียบๆ และผู้ใช้ไม่ต้องทำอะไร

แอปเปิลระบุว่าถึงแม้ Zoom จะออกแพตช์บนซอฟต์แวร์ของตนเองแล้ว แต่แอปเปิลกังวลว่าผู้ใช้จำนวนมากอาจไม่ได้อัพเดต ทำให้ยังมีความเสี่ยงถูกแอบดูกล้องอยู่ เลยตัดสินใจออกแพตช์เองด้วย

Tags:
Topics: 
Node Thumbnail

Zoom ประกาศออกแพตช์พิเศษ หลังจากนักวิจัยความปลอดภัยไซเบอร์รายงานช่องโหว่ดึงเหยื่อให้เข้าประชุมแล้วถ่ายทอดสดภาพผู้ใช้ออกไป โดยแพตช์ใหม่จะถอนการติดตั้งเว็บเซิร์ฟวเอร์ออกทั้งหมด และแพตช์ต่อไปในวันศุกร์นี้จะเพิ่มตัวเลือกในการปิดวิดีโอเป็นค่าเริ่มต้น สำหรับการร่วมประชุมในอนาคต

ทาง Zoom ชี้แจงการฝังเว็บเซิร์ฟเวอร์ไว้ในเครื่องผู้ใช้ ว่าทำไปเพื่อหลบเลี่ยงมาตรการความปลอดภัยของ Safari 12 ที่บังคับให้ผู้ใช้ต้องกดยืนยันก่อนเข้าร่วมประชุม และทาง Zoom "รู้สึก" ว่าการบังคับของ Safari ทำให้ประสบการณ์ผู้ใช้ไม่ดี จึงได้สร้างเว็บเซิร์ฟเวอร์ขึ้นมา

Tags:
Node Thumbnail

คณะกรรมาธิการด้านข้อมูลของสหราชอาณาจักรหรือ ICO กำลังเตรียมสั่งปรับ Marriott เชนโรงแรมขนาดใหญ่เป็นเงินจำนวน 99 ล้านปอนด์ ฐานไม่รักษาความปลอดภัยของข้อมูลลูกค้าอย่างเพียงพอ จนส่งผลให้ข้อมูลลูกค้าของบริษัทหลุดเป็นจำนวนมาก

ย้อนกลับไปเมื่อปีที่แล้ว Marriott ได้ประกาศว่าฐานข้อมูลของโรงแรมเครือ Starwood ถูกแฮก ทำให้มีผู้เข้าถึงโดยไม่ได้รับอนุญาตมาตั้งแต่ปี 2014 แต่เพิ่งจะถูกค้นพบเมื่อปีที่แล้ว ผลกระทบจากการถูกแฮกครั้งนี้คือข้อมูลสำคัญของลูกค้าโรงแรมรั่วไหลออกไปถึง 383 ล้านคน

Tags:
Topics: 
Node Thumbnail

Jonathan Leitschuh นักวิจัยความมั่นคงปลอดภัยไซเบอร์ รายงานถึงช่องโหว่ของแอปประชุมออนไลน์ Zoom ที่เปิดทางให้ผู้ที่ "เคยติดตั้งแอป" Zoom บนเครื่องแมคถูกโจมตี แอบมองภาพผ่านกล้องเว็บแคม และอาจจะถูกติดตั้งซอฟต์แวร์ลงบนเครื่องได้

Jonathan ระบุว่า Zoom ใช้เทคนิคสำหรับอำนวยความสะดวกผู้ใช้ ให้สามารถเข้าร่วมการประชุมได้ง่ายๆ เพียงแค่เปิดลิงก์การประชุมเท่านั้น โดยอาศัยการวางเว็บเซิร์ฟเวอร์ไว้ในเครื่องผู้ใช้ เว็บเซิร์ฟเวอร์นี้รับ HTTP request จาก localhost เท่านั้น แต่ตอบกลับเป็นภาพ โดยขนาดภาพจะเป็นการคืนค่าสถานะคำสั่ง เช่น 1x1 พิกเซลแสดงว่าคำสั่งรันสำเร็จ 6x1 พิกเซลแปลว่าการรันล้มเหลว

Tags:
Node Thumbnail

ต่อเนื่องจากกรณีที่ British Airways ทำข้อมูลสำคัญและข้อมูลบัตรเครดิตลูกค้าหลุดเมื่อปีที่แล้ว ล่าสุดคณะกรรมาธิการด้านข้อมูลของสหราชอาณาจักร (Information Commissioner Office) สั่งปรับ British Airways เป็นเงินกว่า 183 ล้านปอนด์ ซึ่งสูงที่สุดที่ ICO เคยปรับมา

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่ผ่านมา ศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ สำนักงานตำรวจแห่งชาติ ได้โพสแจ้งเตือนถึงภัย "โกงเงินแบบใหม่" ที่คนร้ายอาศัยฟีเจอร์ผูกกระเป๋าเงินอิเล็กทรอนิกส์เข้ากับบัญชี

คนร้ายอาศัยกระบวนการอนุญาตให้ผูกเงินของหลายธนาคารที่ค่อนข้างง่าย เพียงกด "ยอมรับ" ในข้อความยาวๆ ที่ไม่แจ้งเตือนให้ชัดเจนว่าจะมีผลอย่างไรบ้าง เมื่อกดแล้วคนร้ายก็สามารถดูดเงินออกจากบัญชีทั้งหมดได้ภายในไม่กี่นาที

Tags:
Node Thumbnail

ผู้ใช้แอป 7pay ที่เป็นบริการของ 7-Eleven ในญี่ปุ่นถูกขโมยบัญชีจนกระทั่งเสียเงินเป็นวงกว้าง รวมเหยื่อประมาณ 900 คน มูลค่าความเสียหาย 55 ล้านเยน หรือประมาณ 15 ล้านบาท จากการออกแบบระบบรีเซ็ตรหัสผ่านที่ผิดพลาด

หน้าจอรีเซ็ตรหัสผ่านของ 7pay ถามข้อมูลอีเมล, วันเกิด, และหมายเลขโทรศัพท์ แต่หลังจากนั้นกลับมีหน้าจอถามว่าต้องการให้ส่งลิงก์รีเซ็ตรหัสผ่านไปที่ใด ทำให้คนร้ายที่รู้ข้อมูลเบื้องต้นของเหยื่อสามารถขโมยบัญชีของเหยื่อได้โดยง่าย

Tags:
Node Thumbnail

AWS ประกาศว่า Security Hub บริการเพื่อตรวจสอบด้านความปลอดภัยของ resource ต่าง ๆ บนคลาวด์ และรวบรวมข้อมูลทั้งหมดไว้ในพื้นที่เดียวเพื่อความง่ายในการตรวจสอบ ได้เข้าสู่สถานะ GA พร้อมให้บริการเต็มรูปแบบแล้ว

Security Hub นี้เกิดขึ้นมาเพื่อตอบโจทย์ด้านความปลอดภัย เนื่องจากนักพัฒนามักจะไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัย และบ่อยครั้งอาจคอนฟิกระบบพลาดจนทำให้เกิดช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่ง Security Hub จะมีคอนฟิกที่คอยตรวจสอบ resource บนคลาวด์ให้อัตโนมัติตามมาตรฐานต่าง ๆ เพื่อให้มั่นใจว่า resource ต่าง ๆ จะเป็นไปตามเงื่อนไขด้านความปลอดภัยที่กำหนดไว้

Tags:
Node Thumbnail

Robert J. Hansen ผู้ดูแลเอกสารของ GnuPG รายงานถึงการโจมตีเซิร์ฟเวอร์กุญแจ (Synchronizing Key Server - SKS) ที่ใช้ค้นหากุญแจสาธารณะสำหรับผู้รับอีเมลปลายทาง ถูกโจมตีโดยมุ่งเป้าไปยังนักพัฒนาบางคนด้วยการโพสใบรับรองกุญแจจำนวนมาก จน OpenPGP ทำงานไม่ได้ หรือทำงานได้ช้า

กระบวนการตรวจสอบกุญแขของ OpenPGP อาศัยการรับรองกันเองของผู้ใช้ โดยเมื่อผู้ใช้คนหนึ่งอ้างตัวว่าเป็นเจ้าของอีเมลและประกาศกุญแจสาธารณะออกมา เขาต้องให้ผู้อื่นมาเซ็นกุญแจรับรองโดยเรียกว่า (certificate signature) โดยตอนนี้มีคนอัพโหลดการเซ็นกุญแจรับรองเหล่านี้จำนวนมาก นับแสนรายการเข้าไปยังเซิร์ฟเวอร์ SKS ทำให้หากไคลเอนต์ซิงก์ข้อมูลลงมาและตรวจสอบอีเมลเหล่านี้ โปรแกรมก็จะค้างไป

Tags:
Node Thumbnail

Alphabet ประกาศยุบบริษัทลูก Chronicle บริษัทด้านระบบความปลอดภัยไซเบอร์ที่แยกตัวมาตอนต้นปี 2018 กลับเข้าไปอยู่ใต้ Google โดยจะเป็นส่วนหนึ่งของธุรกิจ Google Cloud

Chronicle เคยเป็นส่วนหนึ่งของ X (หรือชื่อเดิมคือ Google X) ก่อนที่จะแยกตัวออกมาเป็นบริษัทลูกของ Alphabet (มีศักดิ์เท่ากับ Google และ X) เมื่อเดือนมกราคม 2018 โดยดึงเอา VirusTotal แอนตี้ไวรัสที่กูเกิลซื้อมาในปี 2018 เข้ามาอยู่ใต้สังกัดด้วย และภายหลังก็เปิดตัวบริการ BackStory ที่ช่วยวิเคราะห์ล็อกไฟล์ขนาดใหญ่

Tags:
Node Thumbnail

ไมโครซอฟท์ส่งใบสมัครเข้าวงเมลลิ่งลิสต์ oss-security ในฐานะผู้ผลิตลิุนกซ์ดิสโทร โดยเมลนี้จะทำให้ไมโครซอฟท์เข้าถึงรายงานช่องโหว่ความปลอดภัยได้ล่วงหน้าก่อนที่จะมีการเปิดเผยช่องโหว่ต่อสาธารณะ

โดยปกติแล้ว สมาชิกของ oss-security จะเป็นผู้ผลิตลินุกซ์ดิสโทรที่มีผู้ใช้มากเพียงพอ, เป็นผู้สร้างดิสโทรหลักของตัวเอง, มีประวัติการรับและแก้ไขปัญหาช่องโหว่ความปลอดภัยที่สม่ำเสมอ

ไมโครซอฟท์ระบุว่าตัวเองมีลินุกซ์ในความดูแลถึง 3 กลุ่ม ได้แก่ Azure Sphere ที่เป็นลินุกซ์สำหรับ IoT, WSL2 ลินุกซ์ที่รันเคียงอยู่กับวินโดวส์, และกลุ่มคลาวด์คือ Azure HDInsight / Azure Kubernetes Service

Tags:
Topics: 
Node Thumbnail

VLC ออกแจ้งเตือนการค้นพบช่องโหว่ CVE-2019-5439 และ CVE-2019-12874 ระดับวิกฤติ 2 ช่อง ซึ่งเป็นช่องโหว่ในกระบวนการอ่านและประมวลผลไฟล์วิดิโอ หากเหยื่อเปิดไฟล์ .avi หรือ .mkv ที่ไม่ประสงค์ดี แฮกเกอร์สามารถรันโค้ดที่มากับไฟล์วิดิโอผ่านช่องโหว่ดังกล่าวได้ด้วยสิทธิเดียวกับผู้ที่เปิดไฟล์

ช่องโหว่นี้กระทบกับ VLC เวอร์ชัน 3.0.6 ลงไป โดยล่าสุด VLC อัพเดตเวอร์ชัน 3.0.7 ออกมาเพื่ออุดช่องโหว่นี้แล้ว ดังนั้นใครใช้ VLC อยู่รีบอัพเดตโดยด่วน

ที่มา - VLC via The Hacker News

Tags:
Node Thumbnail

FIDO Alliance ประกาศตั้งกลุ่มกำหนดมาตรฐานอุตสาหกรรมด้าน IoT ขึ้นมาสองกลุ่ม เพื่อนำระบบยืนยันตัวตนของ FIDO เข้ามาใช้งานเป็นมาตรฐานในกลุ่มสินค้าประเภท IoT เพื่อให้ IoT ที่กำลังจะแพร่หลายในอนาคตมีมาตรฐานด้านความปลอดภัยที่ชัดเจนและรัดกุมกว่าปัจจุบัน

กลุ่มที่กำหนดมาตรฐานกลุ่มแรกคือ Identity Verification and Binding Working Group ที่จะกำหนดกฎเกณฑ์ของ remote ID verification รวมถึงพัฒนาเอกสารให้ความรู้และจัดทำกระบวนการออกใบรับรองให้ผู้ผลิตสินค้า IoT ที่ผ่านมาตรฐานด้วย

Tags:
Node Thumbnail

เมือง Lake City ในรัฐฟลอริด้า สหรัฐอเมริกา เป็นเมืองที่ 2 ต่อจาก Riviera Beach ที่พบปัญหาระบบคอมพิวเตอร์ของหน่วยงานท้องถิ่นติด Ransomware แพร่ระบาด และสภาเมืองก็ได้ลงมติให้จ่ายค่าไถ่แฮกเกอร์เพื่อแลกกับกุญแจถอดรหัสคืน

ทั้งนี้แฮกเกอร์ได้ติดต่อเรียกค่าไถ่ผ่านบริษัทประกันภัยของเมือง โดยคิดค่าถอดรหัส 42 บิตคอยน์ หรือราว 500,000 ดอลลาร์ ซึ่งล่าสุดได้มีการจ่ายค่าไถ่เรียบร้อยแล้ว และกำลังอยู่ในขั้นตอนถอดรหัสกู้ข้อมูลคืน

ผลกระทบของ Ransomware ต่อเมือง Lake City ครั้งนี้กระทบงานบริการสาธารณะทั้งหมดเนื่องจากใช้เครือข่ายร่วมกัน ยกเว้นแผนกตำรวจและดับเพลิง ที่ใช้เครือข่ายแยกต่างหาก

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัย ค้นพบมัลแวร์ตัวใหม่ของ macOS ที่อาศัยช่องโหว่ที่แอปเปิลยังไม่ออกแพตช์เป็นช่องทางในการโจมตี

มัลแวร์ตัวนี้ถูกตั้งชื่อว่า OSX/Linker ค้นพบโดย Joshua Long นักวิจัยด้านความปลอดภัยจากบริษัท Intego

OSX/Linker อาศัยช่องโหว่ของ Gatekeeper ระบบรักษาความปลอดภัยของ macOS ที่ค้นพบและเปิดเผยในเดือนพฤษภาคม หลักการของช่องโหว่นี้คือ Gatekeeper จะไม่สแกนไฟล์ประเภท symbolic link (symlink) ที่อยู่ในไฟล์บีบอัดข้อมูล และสามารถใช้ symlink เชื่อมกลับไปยังเซิร์ฟเวอร์ NFS ของแฮ็กเกอร์ได้

ตอนนี้แอปเปิลยังไม่ออกแพตช์แก้ช่องโหว่ตัวนี้ และมีแฮ็กเกอร์สร้างมัลแวร์ขึ้นมาทดสอบการใช้งานแล้ว ตอนนี้ยังไม่มีรายงานว่าพบการโจมตีที่ใช้มัลแวร์ตัวนี้

Tags:
Node Thumbnail

Wall Street Journal ระบุว่าได้รับรายงานของบริษัทด้านความปลอดภัยไซเบอร์ Finite State ที่ชี้ว่าอุปกรณ์เครือข่ายของ Huawei มีแนวโน้มจะถูกโจมตีจากแฮกเกอร์ได้มากกว่าแบรนด์คู่แข่งอื่นๆ ซึ่งรายงานชิ้นนี้ถูกส่งมอบให้รัฐบาลสหรัฐและสหราชอาณาจักรแล้วด้วย

นักวิจัยได้นำเฟิร์มแวร์สำหรับอุปกรณ์เครือข่ายสำหรับองค์กรของ Huawei กว่า 10,000 ตัว มาทดสอบผ่านอุปกรณ์กว่า 500 ชิ้น ก่อนจะพบว่าเฟิร์มแวร์กว่า 55% มีช่องโหว่อย่างน้อยๆ 1 ช่องโหว่ ซึ่งถือว่าสูงกว่าค่าเฉลี่ยที่เจอในอุปกรณ์ของคู่แข่งค่อนข้างมาก โดยช่องโหว่เหล่านั้นรายงานระบุว่ามีสิทธิจะเป็น backdoor ก็ได้ด้วยซ้ำไป (potential backdoor)

Tags:
Node Thumbnail

Oracle ประกาศและแจ้งเตือนลูกค้า Oracle WebLogic ให้อัพเดตแพตช์อุดช่องโหว่ CVE-2019-2729 ซึ่งเป็นช่องโหว่ Zero-Day ที่มีคะแนน CVSS ถึง 9.8 จาก 10 ที่เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดทางไกลและเข้ายึดเครื่องได้โดยไม่ต้องยืนยันตัวตนใดๆ

Oracle WebLogic เวอร์ชันที่ได้รับผลกระทบคือ 10.3.6.0.0, 12.1.3.0.0, และ 12.2.1.3.0 โดยนักวิจัยด้านความปลอดภัยจาก KnownSec 404 ระบุว่ามีความพยายามโจมตีผ่านช่องโหว่นี้แล้วด้วย

Pages