Tags:
Node Thumbnail

รัฐแคลิฟอร์เนียร์ผ่านกฎหมายควบคุมอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต (SB-327 Information privacy: connected devices.) ที่ควบคุมให้ผู้ผลิตต้องเพิ่มมาตรการความปลอดภัยเพิ่มเติมหากอุปกรณ์สามารถเชื่อมต่ออินเทอร์เน็ตได้ โดยระบุว่าผู้ผลิตต้องเลือกระหว่างใช้รหัสผ่านเริ่มต้นไม่ซ้ำกันในอุปกรณ์แต่ละชิ้นที่ขายไป หรือตั้งให้ผู้ใช้ต้องตั้งรหัสผ่านเองเมื่อเปิดใช้งานครั้งแรก

กฎหมายนี้ยกเว้นให้กับอุปกรณ์ที่เชื่อมต่อเฉพาะเน็ตเวิร์กภายใน (LAN) เท่านั้น หากเปิดทางให้ผู้ใช้เชื่อมต่อจากเน็ตเวิร์กภายนอกไม่ว่าทางตรงหรือทางอ้อมจึงจะเข้าข่ายบังคับ และกฎหมายจะเริ่มบังคับตั้งแต่วันที่ 1 มกราคม 2020 ทำให้ผู้ผลิตมีเวลาปรับตัวประมาณ 15 เดือนนับจากนี้ไป

Tags:
Node Thumbnail

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนตุลาคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ต.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ต.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ต.ค. มาด้วย)

สำหรับแพตช์ 1 ต.ค. แก้ช่องโหว่ด้านความปลอดภัย 23 จุด (CVE) เป็นระดับร้ายแรง (critical) 8 จุด เป็นเรื่องของ Mediaserver เจ้าเก่า 4 จุด ส่วนแพตช์ 5 ต.ค. แก้เพิ่มอีก 3 จุด แต่รอบนี้ไม่มีเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์แต่อย่างใด

สำหรับผลิตภัณฑ์ในกลุ่ม Pixel/Nexus รอบนี้ไม่มีแพตช์ด้านความปลอดภัย มีแต่เรื่องปรับปรุงฟีเจอร์ เช่น การปรับแต่งเรื่องการชาร์จ, ปรับปรุงการใช้งาน Android Auto สำหรับตระกูล Pixel

Tags:
Node Thumbnail

ก่อนหน้านี้เพิ่งมีข่าว Python ได้รับความนิยมจนติด Top 3 ของ TIOBE ที่อ้างอิงข้อมูลจากซอฟต์แวร์ทั่วไปในภาพรวม ส่วนในโลกของบรรดาแฮ็กเกอร์สายมืด Python ก็ได้รับความสนใจไม่แพ้กัน

รายงานจากบริษัทความปลอดภัย Imperva ที่ไปสำรวจโค้ดของเครื่องมือที่ใช้โจมตีที่เปิดโค้ดไว้บน GitHub พบว่า Python ได้รับความนิยมเป็นอันดับหนึ่ง ด้วยส่วนแบ่งประมาณ 25% ของเครื่องมือทั้งหมด

Imperva วิเคราะห์ว่า Python ได้รับความนิยมสูงเพราะเรียนรู้ง่าย ไม่ต้องมีทักษะการเขียนโปรแกรมมาก ก็สามารถสร้างสคริปต์ที่ใช้ในการโจมตีได้ไม่ยากนัก

Tags:
Node Thumbnail

ช่วงหลังกูเกิลมีนโยบายคุมเข้มส่วนขยายของ Chrome มากขึ้นเรื่อยๆ เช่น ปิดไม่ให้ติดตั้งส่วนขยายนอก Chrome Web Store และ แบนส่วนขยายบางตัวที่แอบฝังสคริปต์

ล่าสุดกูเกิลขยับไปอีกขั้นด้วยการเพิ่มระบบ Host Permission ให้กับส่วนขยาย โดยผู้ใช้สามารถกำหนดได้ว่าจะให้ส่วนขยายอ่าน/เขียนข้อมูลบนเว็บไซต์ใดบ้าง สามารถเลือกได้ 3 ระดับคือ ทุกเว็บไซต์, เฉพาะเว็บไซต์ปัจจุบันที่เปิดอยู่ หรือ ทำงานเมื่อคลิกเท่านั้น

Tags:
Node Thumbnail

พรรคอนุรักษ์นิยมของสหราชอาณาจักรมีแอพบนมือถือสำหรับอำนวยความสะดวกในการประชุมใหญ่ของพรรคชื่อว่า Conservative Party Conference แต่มีรายงานว่าแอพนี้มีช่องโหว่ที่อันตรายมาก คือกดปุ่ม Attendees และใช้เพียงอีเมลแอดเดรสเป็นข้อมูลทำการล็อกอิน ก็เห็นข้อมูลของสำคัญของผู้เข้าร่วมการประชุมคนอื่น ๆ ได้ทันที หรือจะแก้ข้อมูลยังได้ แม้ว่าจะเป็นข้อมูลของนักการเมืองคนสำคัญก็ตาม

Tags:
Node Thumbnail

เฟซบุ๊กประกาศพบช่องโหว่ในฟีเจอร์ View As ที่ให้เราดูหน้าเพจโดยสมมติว่าเป็นเพื่อนของเราเข้ามาดูว่าเห็นอะไรบ้าง ช่องโหว่ทำให้แฮกเกอร์สามารถขโมยบัญชีใครก็ได้ โดยมีผู้ใช้ได้รับผลกระทบรวมเกือบ 50 ล้านคน

เฟซบุ๊กรีเซ็ต token ของผู้ใช้ที่ได้รับผลกระทบทั้งหมด พร้อมกับรีเซ็ต token ของผู้ใช้ที่เคยถูกใช้ View As ในรอบปีที่ผ่านมา อีก 40 ล้านคน ทำให้ผู้ใช้ทั้งหมดล็อกอินหลุด และหลังจากล็อกอินเข้ามาแล้ว เฟซบุ๊กจะแจ้งเตือนว่าเกิดอะไรขึ้นอีกครั้ง

ผมเองก็ล็อกอินหลุดเมื่อช่วงเย็นที่ผ่านมา

Tags:
Node Thumbnail

VirusTotal เป็นบริษัทแอนตี้ไวรัสที่กูเกิลซื้อมาตั้งแต่ปี 2012 และเมื่อต้นปี 2018 ถูกโยกเข้ามาอยู่ภายใต้ Chronicle บริษัทความปลอดภัยใหม่ในเครือ Alphabet

ล่าสุด Chronicle เปิดตัวบริการใหม่ VirusTotal Enterprise เวอร์ชันอัพเกรดสำหรับขายลูกค้าองค์กร โดยเพิ่มความสามารถจากรุ่นปกติ (ที่เป็นของฟรี) ดังนี้

Tags:
Node Thumbnail

วัยรุ่นชาวออสเตรเลียผู้ดาวน์โหลดข้อมูลออกจากเครือข่ายของแอปเปิลในช่วงปี 2015 ถึง 2017 โดยดาวน์โหลดข้อมูลประมาณ 1TB ได้รับโทษคุมความประพฤติ, ไม่ถูกบันทึกประวัติ, และไม่เปิดเผยชื่อ เนื่องจากขณะก่อเหตุ เขาอายุ 16 ปี และได้รับความคุ้มครองในฐานะผู้เยาว์

คำพิพากษาระบุกระบวนการแฮกว่าวัยรุ่นรายนี้เจาะ VPN ของแอปเปิลได้สำเร็จ และเจาะระบบภายในเพื่อสร้าง SSH tunnel ไว้ใช้งาน จากนั้นจึงดาวน์โหลดข้อมูลต่างๆ รวมถึงกุญแจเซิร์ฟเวอร์ออกมา

Tags:
Node Thumbnail

Zheng Dutao นักวิจัยความปลอดภัยไซเบอร์จากบริษัท Tencent ไปร่วมงาน Hack in the Box ในสิงคโปร์ แต่กลับลองแฮกเครือข่าย หลังพบว่าอินเทอร์เน็ตเกตเวย์ใช้รหัสผ่านจากโรงงานโดยไม่ได้เปลี่ยน ทำให้เข้าถึงหน้าจอแอดมิน

เขาไม่ได้แจ้งทางโรงแรมถึงช่องโหว่แต่กลับโพสบล็อกเมื่อวันที่ 30 สิงหาคมที่ผ่านมา โดยโพสข้อมูลทั้งหมดรวมถึงรหัสผ่านของเซิร์ฟเวอร์ องค์กรความปลอดภัยไซเบอร์สิงคโปร์ (Cyber Security Agency of Singapore - CSA) ไปพบบล็อกนี้จึงแจ้งทางโรงแรมและจับกุม Zheng

Tags:
Node Thumbnail

Yubico ผู้ผลิตและพัฒนากุญแจอิเล็กทรอนิกส์ประกาศเปิดตัว YubiKey 5 Series ซึ่งมีทั้งหมด 4 รุ่นได้แก่ YubiKey 5 NFC, 5C, 5 Nano และ 5C Nano

กุญแจ YubiKey 5 Series ทุกรุ่นรองรับโปรโตคอลการยืนยันตัวตน FIDO2, FIDO U2F, smart card (PIV), Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response, รองรับอัลกอริทึมการเข้ารหัส RSA 4096, ECC p256 และ ECC p384

สำหรับ YubiKey 5 NFC จะรองรับการยืนยันตัวตนผ่าน NFC ด้วยการแตะกับอุปกรณ์และเสียบกับพอร์ต USB-A, 5 Nano รองรับการเสียบกับพอร์ต USB-A และ 5C กับ 5C Nano รองรับการเสียบกับพอร์ต USB-C โดย YubiKey 5 ขายเริ่มต้นที่ 45 ดอลลาร์หรือราว 1,500 บาท

Tags:
Node Thumbnail

ที่ประชุมบอร์ด ICANN ยืนยันการเปลี่ยนกุญแจสำหรับรับรองกุญแจ (key signing key - KSK) ในวันที่ 11 ตุลาคมนี้ นับเป็นการเปลี่ยนกุญแจครั้งแรกของโครงสร้าง DNSSEC นับแต่เริ่มใช้งานมาตั้งแต่ปี 2010

กำหนดการเปลี่ยน KSK เดิมกำหนดไว้วันที่ 17 กรกฎาคม 2017 แต่ ICANN พบว่ามีเซิร์ฟเวอร์ DNS จำนวนหนึ่งคอนฟิกไม่ถูกต้อง, ผู้ดูแลระบบไม่ยอมเปลี่ยนกุญแจ, หรือซอฟต์แวร์ไม่รองรับการอัพเดตกุญแจอัตโนมัติ ทำให้หากเปลี่ยนกุญแจไป เซิร์ฟเวอร์เหล่านี้จะใช้งานไม่ได้ อย่างไรก็ดี เซิร์ฟเวอร์ที่ได้รับผลกระทบต้องเปิดใช้งาน DNSSEC เท่านั้น หากใช้ DNS ปกติก็จะไม่มีผลอะไร

Tags:
Node Thumbnail

Grindr เป็นแอปหาคู่เดทของกลุ่มชายรักร่วมเพศได้เกิดเหตุอีกครั้ง ในคราวที่แล้วทำข้อมูล HIV และข้อมูลอื่นๆของผู้ใช้หลุด และในครั้งนี้ก็เกิดเหตุแบบเดียวกัน เพิ่มเติมคือระบุที่อยู่ของผู้ใช้ได้บนแผนที่ และสามารถเข้าถึงได้ผ่านทางเว็บไซต์ โดยเรียกข้อมูลผ่านทาง API ส่วนตัวของ Grindr เอง

Tags:
Node Thumbnail

Adobe ออกแพตช์ความปลอดภัยให้กับ Acrobat และ Acrobat Reader นอกรอบปกติ แก้ช่องโหว่ out-of-bounds write ที่เป็นช่องโหว่ระดับวิกฤติ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องของเหยื่อได้ และช่องโหว่ out-of-bounds read ที่เปิดเผยข้อมูลในเครื่องของเหยื่อ

Adobe เพิ่งปล่อยแพตช์ประจำเดือนไปเมื่อสัปดาห์ก่อน ตรงกับ patch Tuesday ของไมโครซอฟท์ การออกแพตช์นอกรอบเช่นนี้นับว่าเป็นเรื่องผิดปกติ ที่มักมีการปล่อยแพตช์เร่งด่วนเพราะมีการโจมตีแล้ว อย่างไรก็ดี ประกาศของ Adobe ไม่ได้ระบุว่ามีการโจมตีแต่อย่างใด

Tags:
Node Thumbnail

เรารู้กันดีว่า "รหัสผ่าน" เป็นวิธีการยืนยันตัวตนที่มีช่องโหว่มาก และวงการไอทีก็มีความพยายามหาสิ่งอื่นมาทดแทนรหัสผ่านหลายอย่าง เช่น ไบโอเมตริก หรือสมาร์ทการ์ด

ล่าสุด โอเปอเรเตอร์สหรัฐ 4 รายใหญ่คือ AT&T, Verizon, Sprint, T-Mobile ร่วมกันเปิดตัว Project Verify วิธีการยืนยันตัวตนผ่านโทรศัพท์มือถือที่เราใช้งานอยู่

แนวคิดของ Verify คือผู้ใช้งานโทรศัพท์แต่ละคนมีข้อมูลที่แตกต่างกันอยู่แล้ว เช่น หมายเลขโทรศัพท์ ข้อมูลในซิมการ์ด หมายเลขไอพี รวมถึงพฤติกรรมการใช้งาน ฯลฯ โอเปอเรเตอร์มองเห็นข้อมูลเหล่านี้อยู่แล้ว และสามารถนำมาแยกแยะว่าผู้ใช้แต่ละคนเป็นคนนั้นจริงๆ หรือไม่

Tags:
Node Thumbnail

กูเกิลอธิบายกระบวนการลบข้อมูลบน Google Cloud Platform ว่าเมื่อลูกค้าสั่งลบข้อมูลของตัวเอง ข้อมูลนั้นจะอยู่บนเครื่องของกูเกิลไปอีกนานเท่าไร

คำตอบคืออาจนานถึง 6 เดือน

กระบวนการเก็บข้อมูลของ Google Cloud ค่อนข้างซับซ้อน เพราะมีทั้งระบบที่ใช้งานจริง (active) และระบบแบ็คอัพ ที่เก็บข้อมูลไว้นานไม่เท่ากัน

เมื่อผู้ใช้สั่งขอลบข้อมูล (deletion request) ระบบจะเปลี่ยนสถานะของข้อมูลก้อนนั้นว่าถูกลบ (marked as deleted) แต่ยังไม่ลบข้อมูลออกไปจริงๆ เพราะอยู่ในช่วงเผื่อกู้คืน (recovery period) หลังจากหมดระยะเผื่อกู้คืนแล้ว ข้อมูลจะถูกลบออกจากระบบหลัก แต่ยังเก็บไว้ในระบบแบ็คอัพที่จะเขียนข้อมูลทับของเก่าไปเรื่อยๆ

Tags:
Node Thumbnail

เพิ่งมีข่าวว่า Apple ถอดแอป Adware Doctor ออกจาก Mac App Store หลังมีผู้พบการดักเก็บข้อมูลผู้ใช้งาน ไปหมาดๆ ล่าสุดมีแอพอีกชุดโดนถอดในลักษณะเดียวกัน แต่เป็นประเด็นน่าสนใจกว่าเพราะผู้พัฒนาคือ Trend Micro บริษัทซอฟต์แวร์ความปลอดภัยที่เราคุ้นชื่อกันดี

แอพชุดนี้ชื่อว่า Dr. Unarchiver และ Dr. Cleaner เป็นผลงานของบริษัท Trend Micro, Inc. ที่เผยแพร่บน Mac App Store โดยมีพฤติกรรมเก็บประวัติการท่องเว็บจากเบราว์เซอร์, รายชื่อแอพภายในเครื่อง แล้วรวมเป็นไฟล์ Zip ส่งกลับไปยังเซิร์ฟเวอร์ของบริษัท

Tags:
Node Thumbnail

British Airways ออกประกาศเหตุการณ์ข้อมูลรั่วไหลบนเว็บไซต์และแอพของบริษัทกระทบกับลูกค้ากว่า 380,000 คนที่จองเที่ยวบินตั้งแต่วันที่ 21 สิงหาคมจนถึง 5 กันยายน

สำหรับข้อมูลที่หลุดไปนั้น British Airways ระบุว่าเป็นข้อมูลสำคัญ โดยมีทั้งชื่อ, ที่อยู่, อีเมล และข้อมูลบัตรเครดิต แต่ไม่มีข้อมูลพาสปอร์ตหรือข้อมูลเกี่ยวกับการเดินทางที่จองหลุดออกไปในครั้งนี้

British Airways ได้แจ้งลูกค้าที่ได้รับผลกระทบหลังตรวจพบข้อมูลรั่วไหลภายใน 1 วัน โดยทางสายการบินแนะนำให้ผู้ใช้ที่ได้รับผลกระทบติดต่อผู้ออกบัตรเครดิต โดยทางบริษัทจะจ่ายค่าตรวจสอบเครดิตให้ลูกค้ารวมถึงชดใช้ค่าเสียหายให้ด้วย

Tags:
Node Thumbnail

อังคารบ้านเราที่ผ่านมา กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนกันยายน 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ก.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ก.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ก.ย. มาด้วย)

สำหรับแพตช์ 1 ก.ย. แก้ช่องโหว่ด้านความปลอดภัย 24 จุด (CVE) เป็นระดับร้ายแรง (critical) 5 จุด ซึ่งรอบนี้เป็นเรื่องการได้สิทธิ์ (permission) โดยไม่ได้รับอนุญาต 3 จุด และเป็นเรื่องของ Mediaserver เจ้าเก่า 2 จุด ส่วนแพตช์ 5 ก.ย. แก้เพิ่มอีก 35 จุด ส่วนใหญ่แก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm โดยในจำนวนนี้มีระดับร้ายแรงถึง 6 จุด

Tags:
Node Thumbnail

ซัมซุงประกาศว่า Galaxy Note 5 และ Galaxy S6 edge+ ที่เปิดตัวในช่วงเดือนสิงหาคม 2015 จะหมดระยะซัพพอร์ตด้านความปลอดภัย และไม่ได้อัพเดตแพตช์รายเดือนอีกแล้ว (แพตช์รอบเดือนสิงหาคม 2018 เป็นครั้งสุดท้าย)

ปกติแล้วซัมซุงมีระยะซัพพอร์ตด้านความปลอดภัยให้อย่างน้อย 2 ปี การที่มือถือทั้งสองรุ่นอยู่มาได้ถึง 3 ปีเต็มถือเป็นกรณีที่น่าสนใจ

ก่อนหน้านี้ Galaxy S6 และ S6 edge (รุ่นไม่ +) ก็หมดระยะซัพพอร์ตในเดือนมีนาคม 2018 ถือว่ามีอายุนาน 3 ปีเช่นกัน

Tags:
Node Thumbnail

กูเกิลรายงานช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์แบรนด์ต่างๆ สู่โลกภายนอกเสมอๆ และในงาน DEF CON เมื่อต้นเดือนสิงหาคมที่ผ่านมา David Tomaschik วิศวกรอาวุโสฝ่ายตรวจสอบความปลอดภัยของกูเกิล รายงานถึงระบบจัดการผ่านเข้าออกสำนักงานของออฟฟิศกูเกิลเอง โดยสำนักงานของกูเกิลนั้นใช้ระบบควบคุมประตูที่ชื่อว่า iStar Ultra และ IP-ACM โดยบริษัท Software House

Tags:
Node Thumbnail

หลังจากช่องโหว่ Struts 2 เผยแพร่ออกมาพร้อมกับโค้ด PoC ทาง Volexity ก็รายงานว่าเริ่มเห็นการสแกนหาช่องโหว่ และยึดเครื่องเพื่อขุดเงินคริปโตกันแล้ว โดยตอนนี้พบต้นทางการสแกนมาจากรัสเซียและฝรั่งเศส

ตัวอย่างการสแกนเป็นการลองยิงโค้ดเข้าไปยัง /struts3-showcase/ เพื่อให้ดาวน์โหลดสคริปต์มาจาก GitHub อีกครั้ง จากนั้นสคริปต์ค่อยดาวน์โหลด miner มารัน

ข้อสังเกตอย่างหนึ่งคือ miner ที่แฮกเกอร์ใช้นั้นมีสามไฟล์ รองรับทั้ง x86, ARM, และ MIPS ทำให้สามารถขุดได้แทบทุกที่ ทั้งพีซี, เซิร์ฟเวอร์, คอมพิวเตอร์ IoT, หรือเราท์เตอร์

Tags:
Node Thumbnail

Titan Security Key กุญแจยืนยันตัวตนมาตรฐาน U2F ของ Google ที่เปิดตัวไปเมื่อเดือนกรกฎาคม วันนี้่เริ่มวางขายบน Google Store แล้ว สนนราคาอยู่ที่ 50 ดอลลาร์ต่อชุด ประกอบไปด้วยตัว NFC/Bluetooth LE และ USB/NFC

Google บอกว่าตัว NFC/Bluetooth LE สามารถใช้งานได้ราว 6 เดือนต่อการชาร์จ 1 ครั้ง สามารถใช้กับบัญชี Google ผ่าน Advanced Protection ไปจนถึงบริการอื่นๆ อย่าง Dropbox, GitHub, Twitter, หรือเฟซบุ๊กที่รองรับ FIDO2

ทั้งนี้ก่อนหน้านี้ Google เคยบอกด้วยว่าตั้งแต่บังคับใช้กุญแจ U2F ไม่พบพนักงานเป็นเหยื่อ Phishing อีกเลย

Tags:
Node Thumbnail

Instagram ประกาศการปรับปรุงด้านบัญชีผู้ใช้หลายอย่าง เพื่อให้มีความปลอดภัยในการใช้งานมากขึ้น โดยมีรายการสำคัญดังนี้

อย่างแรกคือ About This Account เป็นหัวข้อใหม่ในหน้าโปรไฟล์ ให้ผู้ติดตามดูข้อมูลเพิ่มเติมได้ เช่น วันที่สร้างบัญชี, ประเทศของบัญชีนี้, ผู้ติดตามร่วมกัน, ประวัติการเปลี่ยนชื่อบัญชี ตลอดจนโฆษณาที่บัญชีนี้ซื้อไว้ (คล้าย Facebook Page) หัวข้อนี้จะเริ่มแสดงในไม่กี่สัปดาห์ข้างหน้า โดยบัญชีที่มีผู้ติดตามจำนวนมาก จะได้รีวิวข้อมูลนี้ก่อนเปิดเผยกับสาธารณะ

Tags:
Node Thumbnail

เมื่อวานนี้บัญชีทวิตเตอร์ @SandboxEscaper ทวีตลิงก์ถึงไฟล์ rar ช่องโหว่ที่ไม่เคยมีการรายงานมาก่อน แล้วลบบัญชีทิ้งไป

ทวีตข้อวามระบุว่า "นี่ช่องโหว่ 0-day ของ ALPC https://t.co/m1T3wDSvPX ผมไม่สนแล้วว่าชีวิตจะเป็นยังไง ยังไงก็ไม่อยากส่งบั๊กนี้ให้ไมโครซอฟท์อยู่แล้ว ช่างแม่ง"

ทาง CERT ยืนยันว่าช่องโหว่นี้เป็นของจริง ซอฟต์แวร์สามารถยกระดับสิทธิ์ตัวเองขึ้นไปสู่ระดับ SYSTEM ได้บนวินโดวส์ที่แพตช์ครบถ้วน และยังไม่ทราบว่ามีทางแก้ไขใดหรือไม่

ช่องโหว่นี้จะทำงานได้แฮกเกอร์ต้องสามารถนำโปรแกรมมารันบนเครื่องเหยื่อได้ก่อน ความร้ายแรงตาม CVSS อยู่ที่ 6.8

Tags:
Node Thumbnail

นโยบายของ Fortnite for Android ที่ไม่ให้ดาวน์โหลดผ่าน Play Store สร้างความกังวลในแง่ความปลอดภัย และล่าสุดก็มีคนค้นพบช่องโหว่ของตัวติดตั้ง Fortnite for Android แถมคนค้นพบก็คือ... กูเกิล

วิศวกรของกูเกิลลองดาวน์โหลด Fortnite Installer จากเว็บไซต์ของ Epic Games และพบว่าตัวติดตั้งดาวน์โหลดไฟล์ APK ของตัวเกมจริงมาไว้ที่ external storage ก่อน จากนั้นค่อยติดตั้งตัวเกมลงในระบบอีกทีหนึ่ง

ปัญหาคือแอพที่สามารถเข้าถึง external storage ได้สามารถสับเปลี่ยนหรือแก้ไขไฟล์ APK ได้ก่อนที่ Installer จะติดตั้งตัวเกม เปิดช่องให้เกิดการโจมตีได้

Pages