Citrix ออกแพตช์ช่องโหว่ ADC/NetScaler ชุดแรก ที่เหลือจะออกในสัปดาห์นี้

By lew Founder on Tag: Citrix, Security
Citrix

Citrix ประกาศออกแพตช์ช่องโหว่ Citrix ADC และ Citrix Gateway ในเวอร์ชั่น 11.1 และ 12.0 สองตัวแรก พร้อมกับเร่งความเร็วแพตช์รุ่นอื่นๆ ให้เร็วกว่าที่ประกาศตอนแรกอีกหนึ่งสัปดาห์ เป็นวันที่ 24 มกราคมนี้

ช่องโหว่นี้เป็นช่องโหว่รันโค้ดระยะไกล โดยไม่ต้องล็อกอินก่อนโจมตี (unauthenticated remote code execution) โดยช่องโหว่ถูกเปิดเผยมาตั้งแต่ปลายเดือนที่แล้ว และที่ผ่านมามีแต่กระบวนการลดความเสี่ยง (mitigation) เท่านั้น โดยก่อนหน้านี้มีรายงานถึงการสแกนเซิร์ฟเวอร์ที่มีความเสี่ยงและตัวอย่างโค้ดสำหรับการโจมตีเผยแพร่ออกมาแล้ว

Read more

ไมโครซอฟท์แจ้งเตือนช่องโหว่ Internet Explorer ระดับวิกฤติ มีการโจมตีแล้วยังไม่มีแพตช์

By lew Founder on Tag: Internet Explorer, Security
Internet Explorer

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2020-0674 กระทบ Internet Explorer เวอร์ชั่น 9 ถึง 11 โดยเป็นช่องโหว่ระดับวิกฤติเปิดทางให้แฮกเกอร์รันโค้ดในเครื่องของเหยื่อได้ เพียงล่อล่วงให้เหยื่อเปิดเว็บหรือส่งอีเมลเพื่อให้เบราว์เซอร์ทำงาน

Read more

Hacker One เปิดโครงการ Bug Bounty สำหรับ Kubernetes

By nismod Writer on Tag: Kubernetes, Bug Bounty, HackerOne, Security
Kubernetes

Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก

CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API

โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ที่นี่

Read more

กูเกิลรองรับการใช้ไอโฟนเป็นกุญแจล็อกอินขั้นตอนที่สอง, มีกุญแจเพิ่มอีกอันก็เลิกใช้ SMS กู้รหัสผ่านได้

By lew Founder on Tag: Google, FIDO, Security
Google

กูเกิลประกาศรองรับการใช้ไอโฟนเป็นโทเค็นล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ทำให้การล็อกอินเว็บหรือบริการที่รองรับ FIDO ใช้สามารถกดแอปบนไอโฟนเพื่อยืนยันการล็อกอินได้ทันที

การเปิดใช้งานต้องเปิดด้วยแอป Smart Lock ของกูเกิล และระหว่างใช้งานต้องเปิด Bluetooth ไว้ แต่ไม่ต้อง pair อุปกรณ์แต่อย่างใด และไอโฟนต้องรัน iOS 10.0 ขึ้นไปเท่านั้น

Read more

Cloudflare ประกาศให้บริการเครื่องมือความปลอดภัยฟรีสำหรับแคมเปญการเมืองในสหรัฐฯ

By nutmos Writer on Tag: Cloudflare, Security, Election
Cloudflare

Cloudflare ประกาศให้บริการเครื่องมือและบริการด้านความปลอดภัยสำหรับแคมเปญการเมืองในสหรัฐฯ ฟรี เพื่อป้องกันการโจมตีทางไซเบอร์และการแทรกแซงการเลือกตั้งที่อาจเกิดขึ้นก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ปีนี้

Cloudflare ระบุว่า บริการใหม่ Cloudflare for Campaigns นี้จะมาพร้อมบริการแบ่งเบาการโจมตีแบบ DDoS, load balancing สำหรับเว็บไซต์ที่รันแคมเปญ, ไฟร์วอลสำหรับเว็บไซต์ และระบบต่อต้านบอท

Read more

เพราะความปลอดภัยของข้อมูลในโลกการเงินสำคัญ Refinitiv เลยเน้นย้ำด้วยการจัด hackathon ด้านความปลอดภัยครั้งแรก

By sponsored on Tag: Refinitiv, Security, Advertorial
Refinitiv

ประเด็นด้านความมั่นคงปลอดภัยคอมพิวเตอร์ หรือ security ในแง่โลกเทคโนโลยีอาจดูเป็นเรื่องไกลตัวสำหรับคนทั่วไปและหลายครั้งความปลอดภัยระบบก็ถูกฝากไว้กับทีมรักษาความมั่นคงปลอดภัยขององค์กร แต่ในโลกสมัยใหม่โดยเฉพาะบริษัทชั้นนำด้านเทคโนโลยีผู้ให้ข้อมูลด้านการเงินอย่าง Refinitiv ความมั่นคงปลอดภัยของระบบเป็นความรับผิดชอบของทุกคน

Read more

[ไม่ยืนยัน] Patch Tuesday เดือนนี้มีช่องโหว่ร้ายแรงพิเศษ, NSA เป็นผู้พบ

By lew Founder on Tag: Windows, Microsoft, Security, NSA
Windows

Brian Krebs อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าแพตช์รายเดือนของไมโครซอฟท์ หรือ Patch Tuesday ที่กำลังจะปล่อยออกมาคืนนี้ จะมีช่องโหว่ร้ายแรงเป็นพิเศษ (extraordinarily serious) ในโมดูล cypto32.dll หรือ CryptoAPI สำหรับการเข้าและถอดรหัสลับ

ทางไมโครซอฟท์ตอบกลับ Krebs อย่างเป็นทางการว่าบริษัทไม่พูดถึงช่องโหว่ก่อนการปล่อยแพตช์ แต่ระบุว่าแพตช์นั้นมีการปล่อยให้พันธมิตรในโครงการ Security Update Validation Program (SVUP) เพื่อทดสอบความเข้ากันได้ล่วงหน้า โดยพันธมิตรในกลุ่มนี้ต้องใช้เพื่อการทดสอบเท่านั้น ห้ามแพตช์ระบบโปรดักชั่นก่อนคนอื่น

Read more

พบปัญหา Pixel 4 ปลดล็อคด้วยใบหน้าไม่ได้, Factory reset ไม่หาย

By hinatasenjou Contributor on Tag: Google Pixel 4, Google, Mobile, Smartphone, Security
Google Pixel 4

ผู้ใช้ Google Pixel 4 หลายคนพบปัญหาปลดล็อคด้วยใบหน้าของ Pixel 4 ไม่ทำงาน ถึงจะลบแล้วสแกนใบหน้าใหม่หรือ Factory reset แล้วก็ใช้ไม่ได้ และมีข้อความแจ้งว่า “Can't verify face. Hardware not available” หรือ “Can't verify face. Try again.” เกิดขึ้นราว 1-2 ครั้งต่อวัน ทำให้ผู้ใช้ต้องปลดล็อคเครื่องด้วยวิธีอื่นเช่นกด PIN, กรอกรหัสผ่านหรือลากนิ้วเป็นแพทเทิร์นแทน

ถึง Pixel 4 จะปลดล็อคด้วยใบหน้าไม่ได้แต่แอปอื่น ๆ ที่ใช้ระบบสแกนใบหน้ายังทำงานได้ปกติ Android Police ระบุว่าแจ้งกูเกิลไปแล้ว ซึ่งปัญหานี้ต้องรอการแก้ไขจากทางกูเกิลในภายหลัง

ที่มา: Android Police via 9to5Google

Read more

ช่องโหว่ Citrix ADC/NetScaler มีโค้ดโจมตีออกสู่สาธารณะแล้ว บริษัทระบุจะแพตช์ภายในสิ้นเดือนนี้

By lew Founder on Tag: Citrix, Security
Citrix

เมื่อวานนี้นักวิจัยจำนวนหนึ่งเริ่มปล่อยโค้ดโจมตีช่องโหว่รันโค้ดระยะไกลบน Citrix ADC และ NetScaler หลังพบว่ามีคอมพิวเตอร์จำนวนหนึ่งเริ่มสแกนช่องโหว่บนเซิร์ฟเวอร์ทั่วโลก โดยสคริปต์ที่ปล่อยออกมามักไม่ได้โจมตีจริง แต่ทดสอบเบื้องต้นว่าเซิร์ฟเวอร์มีช่องโหว่หรือไม่

Read more

ช่องโหว่ระดับวิกฤติบน Citrix ADC และ NetScaler เริ่มโดนสแกน ควรคอนฟิกป้องกันโดยเร็ว

By lew Founder on Tag: Citrix, Security
Citrix

Johannes Ullrich จาก SANS ISC รายงานถึงการตั้งเซิร์ฟเวอร์ honeypot เพื่อดักการโจมตีช่องโหว่บน Citrix ADC และ NetScaler ที่มีช่องโหว่ระดับวิกฤติเปิดทางรันโค้ดระยะไกล ว่าเริ่มมีการสแกนจากจีนและฝรั่งเศส แม้รูปแบบการสแกนจะไม่ได้มุ่งร้ายชัดเจนมากก็ตาม

Read more

งานวิจัยชี้ค่ายมือถือสหรัฐฯ มีโดนหลอกให้ออกซิมใหม่ได้ง่ายแต่เว็บจำนวนมากก็ล็อกอินด้วย SMS อย่างเดียว

By lew Founder on Tag: Security, SMS
Security

ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ

Read more

แฮกเกอร์จีนปล่อยบัญชีกล้องวงจรปิดในบ้านขายลงออนไลน์ ซื้อได้ในราคาแค่ 200 กว่าบาท

By sunnywalker Writer on Tag: China, Hack, Surveillance, Privacy, Security
China

เว็บไซต์ ABACUS ของจีน รายงานว่าตอนนี้มีปัญหาความปลอดภัยกล้องวงจรปิดในบ้าน คือแฮกเกอร์เข้าขโมยข้อมูลบัญชีและเอาบัญชีนั้นๆ ไปขายลงออนไลน์ และขายได้ในราคาเพียงแค่ 50 หยวน หรือราว 218 บาท ตำรวจบอกว่ามีผู้ได้รับผลกระทบเป็นหมื่นบัญชีเลยทีเดียว

Read more

Broadcom ซื้อธุรกิจ Symantec เสร็จแล้วขายบางส่วนต่อให้ Accenture ทันที

By mk Founder on Tag: Symantec, Broadcom, Accenture, Acquisition, Security, Enterprise
Symantec

เมื่อปลายปีที่แล้วเราเพิ่งเห็นข่าว Symantec ขายธุรกิจความปลอดภัยฝั่งองค์กรให้ Broadcom โดยบริษัท Symantec เดิมจะเหลือแต่ธุรกิจฝั่งคอนซูเมอร์ และเปลี่ยนชื่อบริษัทเป็น NortonLifeLock (มาจากแอนตี้ไวรัส Norton และบริการป้องกันข้อมูลส่วนตัว LifeLock)

เวลาผ่านมาเพียงไม่กี่เดือน Broadcom ก็ขายธุรกิจ (บางส่วน) ของ Symantec เดิมต่อไปให้ Accenture อีกทอด

Read more

Project Zero เปลี่ยนนโยบายเปิดเผยช่องโหว่หลังรายงาน 90 วันเสมอแม้แก้เร็ว, แก้บั๊กแล้วแต่ไม่สมบูรณ์ไม่ต่อเวลาให้

By lew Founder on Tag: Project Zero, Google, Security
Project Zero

Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด

นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่

Read more

Travelex บริษัทแลกเงินอังกฤษ ถูกแฮกจาก VPN ที่ไม่ได้แพตช์ แม้มีนักวิจัยเตือนหลายเดือนแล้ว

By lew Founder on Tag: United Kingdom, VPN, Security
United Kingdom

Kevin Beaumont นักเขียนด้านความปลอดภัยไซเบอร์รายงานลงเว็บไซต์ DoublePulsar ของเขาถึงเหตุที่ Travelex บริษัทแลกเงินในอังกฤษถูกมัลแวร์ช่วงปีใหม่ โดยพบว่าทาง Travelex มีเซิร์ฟเวอร์ VPN จาก Pulse Secure ที่ยังไม่ได้แพตช์อยู่หลายตัว

หลังจากเขาทวีตถึงเรื่องนี้ ทาง Bad Packets บริษัทข่าวกรองความมั่นคงปลอดภัยไซเบอร์ก็ออกมาตอบว่า สแกนพบเซิร์ฟเวอร์ที่มีช่องโหว่เหมือนกัน และได้แจ้งทาง Travelex ไปแล้วตั้งแต่เดือนกันยายน แต่ทาง Travelex ไม่ได้ตอบอะไรกลับมา

Read more

กูเกิลออกแพตช์ความปลอดภัยเดือนมกราคม 2020 ให้มือถือ Pixel

By mk Founder on Tag: Android, Security, Google, Google Pixel
Android

กูเกิลปล่อยแพตช์ความปลอดภัยประจำเดือนมกราคม 2020 (รอบแพตช์ 2020-01-01) ให้กับสมาร์ทโฟนแบรนด์ Pixel ที่ยังซัพพอร์ตในปัจจุบัน (Pixel 2 ไปจนถึง Pixel 4)

แพตช์รอบนี้อุดช่องโหว่ระดับ critical 1 ตัว (เกี่ยวกับไดรเวอร์ Wi-Fi ของ Realtek), ช่องโหว่ระดับ high 3 ตัว และช่องโหว่ที่เกี่ยวข้องกับ Qualcomm อีกชุดใหญ่

นอกจากช่องโหว่แล้ว อัพเดตรอบเดือนมกราคม 2020 ยังแก้บั๊กอื่นๆ ของ Pixel หลายอย่าง เช่น ปัญหาการเชื่อมต่อ Wi-Fi กับเราเตอร์บางรุ่น, ปรับปรุงคุณภาพเสียง, แก้ปัญหาสีเพี้ยนของ Pixel 4 เป็นต้น

Read more

นักวิจัยสร้างใบรับรอง PGP แบบ SHA-1 ปลอมได้สำเร็จ ต้นทุนสร้างแฮชชนกันเหลือ 11,000 ดอลลาร์เท่านั้น

By lew Founder on Tag: Cryptography, Security
Cryptography

Gaëtan Leurent จากสถาบัน INRIA ในฝรั่งเศสและ Thomas Peyrin จากมหาวิทยาลัยเทคโนโลยีนันยางในสิงคโปร์ ประกาศเทคนิคการโจมตีกระบวนการแฮชข้อมูลแบบ SHA-1 ครั้งใหม่ในงานวิจัย "SHA-1 is a Shambles" โดยลดความซับซ้อนในการสร้างเอกสารที่ค่าแฮช SHA-1 ตรงกัน จากเดิมเป็น 264.7 เหลือ 261.2 ทำให้ต้นทุนการสร้างเอกสารที่ค่าแฮชตรงกันเหลือ 11,000 ดอลลาร์เท่านั้น นับเป็นครั้งแรกที่การสร้างค่าแฮชชนกันมีต้นทุนต่ำกว่าแสนดอลลาร์

Read more

แบงค์ชาติเพิ่มความปลอดภัย Mobile Banking ธนาคารต้องหยุดให้บริการบน OS หมดอายุภายใน 6 เดือน หรือเพิ่มมาตรการความปลอดภัย

By lew Founder on Tag: Bank of Thailand, Security, Mobile Banking
Bank of Thailand

หลังจากธนาคารแห่งประเทศไทยประกาศ "แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่" วันนี้ประกาศฉบับเต็มก็ออกมาแล้ว โดยประกาศมีมาตรการขั้นต่ำ 12 ประการ

Read more

ทีมวิจัย Tencent ค้นพบช่องโหว่ SQLite เจาะ Chrome ได้, แก้แล้วใน Chrome 79

By mk Founder on Tag: Tencent, Chrome, Chromium, SQL, Security
Tencent

ทีมวิจัยความปลอดภัย Tencent Blade ในสังกัด Tencent เปิดเผยข้อมูลช่องโหว่ Magellen 2.0 เปิดให้ยิงโค้ด SQL เข้าไปยัง Chrome ได้

กูเกิลแก้ไขช่องโหว่นี้แล้วใน Chrome 79.0.3945.79 ที่ออกตัวจริงเมื่อช่วงต้นเดือนธันวาคม ผู้ที่ใช้ Chrome/Chromium เวอร์ชันก่อนหน้านี้ (รวมถึงเว็บเบราว์เซอร์ที่พัฒนาบน Chromium อย่าง Opera) ควรอัพเดตเป็นเวอร์ชันล่าสุด

Read more

123456 ยังครองแชมป์รหัสผ่านยอดแย่ประจำปี 2019 ต่ออีกปี

By arjin Writer on Tag: Security, Password
Security

บริษัทด้านความปลอดภัย SplashData ที่เป็นผู้ให้บริการแอปจัดการรหัสผ่าน SplashID ประกาศอันดับรหัสผ่านยอดแย่ประจำปี 2019 ซึ่งปีนี้จัดอันดับเป็นปีที่ 9 แล้ว โดยรวบรวมรหัสผ่านยอดแย่ (หรือยอดนิยมมาก) ที่ค้นพบจากรหัสผ่านที่มีการหลุดออกมา และเสี่ยงต่อการนำไปทดลองใช้ล็อกอิน

อันดับ 1 คือ 123456 ซึ่งยังครองแชมป์ต่อเนื่องจากปีที่แล้ว ส่วนอันดับ 2 ขยับขึ้นมาหนึ่งอันดับจากปีก่อนคือ 123456789 ที่ทาง SplashData ให้ข้อสังเกตว่าเป็นแนวโน้มที่ดีก็คือ password ตกไปอยู่อันดับที่ 4

Read more
Subscribe to Security