Tags:
Node Thumbnail

นักวิจัยจากบริษัทความปลอดภัย Check Point รายงานการค้นพบช่องโหว่ขั้นร้ายแรงบน WinRAR โปรแกรมบีบอัดและแตกไฟล์ชื่อดัง ซึ่งกระทบทุกเวอร์ชันที่ WinRAR เคยออกมาตลอด 19 ปี

นักวิจัยเรียกช่องโหว่นี้ว่า Absolute Path Traversal ซึ่งเป็นช่องโหว่ของไลบรารีภายนอกที่ชื่อว่า UNACEV2.DLL ที่ WinRAR เอาไว้แตกไฟล์ฟอร์แมท .ace โดย WinRAR จะตรวจสอบว่าไฟล์เป็นฟอร์แมต .ace จากเนื้อไฟล์โดยตรงไม่ใช่นามสกุลของไฟล์ ทำให้แฮกเกอร์สามารถแฝงมัลแวร์หรือไฟล์มุ่งร้ายมาในฟอร์แมท .ace โดยแก้สกุลเป็น .rar และเมื่อแตกไฟล์ออกมา แฮกเกอร์สามารถแตกไฟล์ดังกล่าวไปไว้ในโฟลเดอร์ที่แฮกเกอร์กำหนดไว้ได้

Tags:
Node Thumbnail

Karan Saini นักวิจัยความปลอดภัยไซเบอร์พบว่าทวิตเตอร์ไม่ได้ลบข้อมูลในแชทส่วนตัวออก แม้ผู้ใช้จะลบบัญชีนั้นไปแล้วก็ตาม โดยเขาพบข้อความที่มีอายุหลายปีใน archive ผ่านเว็บไซต์ซึ่งเขาพบว่าเป็นข้อความของบัญชีทวิตเตอร์ที่ไม่มีบนทวิตเตอร์แล้ว หรืออาจลบบัญชีออกไป

ทวิตเตอร์ระบุในนโยบายความเป็นส่วนตัวว่า เมื่อลบบัญชีออกและผ่านช่วงผ่อนผัน 30 วันไปแล้ว บัญชีผู้ใช้และข้อมูลต่างๆ ก็จะหายไปด้วย แต่จากการทดสอบโดยนักวิจัยความปลอดภัยไซเบอร์พบว่าไม่ไดเป็นเช่นนั้น เพราะยังสามารถกู้คืนข้อมูลแชทได้แม้จะผ่านไปเป็นปี โดยสามารถดาวน์โหลดผ่าน account’s data

Tags:
Node Thumbnail

เมื่อปลายปีที่แล้วออสเตรเลียออกกฎหมายการให้ความช่วยเหลือเข้าถึงข้อมูล (Assistance and Access Act - AAA) ที่บังคับให้บริษัทไอทีต้องให้ความช่วยเหลือหน่วยงานรัฐเมื่อต้องการเข้าถึงข้อมูล ผ่านมาสองเดือน บริษัทที่ให้บริการเทคโนโลยีเข้ารหัสอย่าง Senetas ที่อยู่ในออสเตรเลียก็ออกมายอมรับว่ากำลังได้รับผลกระทบจากกฎหมายนี้

Senetas ระบุว่าลูกค้าถามเป็นประจำว่ากฎหมาย AAA จะส่งผลกระทบต่อบริการของบริษัทอย่างไร ขณะที่คู่แข่งจากต่างชาติก็ใช้กฎหมายและข่าวเกี่ยวกับกฎหมายนี้โจมตีว่าสินค้าและบริการของบริษัทไว้ใจไม่ได้

Tags:
Node Thumbnail

เว็บแชร์ภาพถ่าย 500px ประกาศถูกแฮกฐานข้อมูลหลังจากเมื่อวานนี้เว็บไซต์ The Register รายงานว่าฐานข้อมูลผู้ใช้ถูกประกาศขายในเว็บใต้ดิน จากการตรวจสอบพบว่าฐานข้อมูลถูกเข้าถึงในวันที่ 5 มิถุนายน 2018 และเมื่อตรวจสอบก็ไม่พบการเจาะซ้ำอีก โดยเว็บไซต์รู้ตัวว่าถูกเจาะเมื่อวันที่ 8 ที่ผ่านมา

ข้อมูลที่หลุดออกไปได้แก่ ชื่อ-นามสกุล, ชื่อผู้ใช้, อีเมล, ค่าแฮชรหัสผ่านเป็น MD5, วันเกิด, เมืองที่อยู่, และเพศ โดยข้อมูลสามอย่างหลังเป็นข้อมูลที่ไม่บังคับกรอก

ทาง 500px กำลังติดต่อผู้ใช้ทุกคนให้รีเซ็ตรหัสผ่าน อย่างไรก็ดีทางเว็บไซต์ยังไม่พบว่ามีการใช้ข้อมูลที่ได้ไปเข้าสู่บัญชีผู้ใช้แต่อย่างใด

Tags:
Node Thumbnail

นักวิจัยรายงานถึงช่องโหว่ของโปรแกรม runc ตัวคำสั่งคอมมานไลน์สำหรับรันคอนเทนเนอร์ ที่ใช้งานร่วมกับโครงการคอนเทนเนอร์สำคัญๆ จำนวนมาก ทั้ง Docker, cri-o, containerd, Kubernetes

ช่องโหว่นี้เปิดทางให้แฮกเกอร์สร้างอิมเมจมุ่งร้าย สามารถเขียนทับไบนารี runc เอง ทำให้ผลสุดท้ายคือการยึดเครื่องในสิทธิ์ root โดยหากมีใครสร้างอิมเมจต่อมาจากอิมเมจของคนร้าย อิมเมจนั้นก็จะได้รับผลกระทบไปด้วย คะแนนความร้ายแรงตาม CVSSv3 อยู่ที่ 7.2 คะแนน โดยมองเป็นการโจมตีจาก local อย่างไรก็ดีหลายคนอาจจะโหลดอิมเมจจาก Docker Hub โดยไม่ได้ตรวจสอบความน่าเชื่อถือกันอยู่เนืองๆ ช่องโหว่ที่ทำให้ถูกยึดเครื่องได้เช่นนี้ก็ควรเร่งอัพเดตกว่าปกติ

Tags:
Node Thumbnail

ในขณะที่สถานการณ์หัวเว่ยในต่างประเทศยังไม่แน่นอน แต่ในไทยก็ทดสอบ 5G โดยใช้อุปกรณ์หัวเว่ยแล้ว โดย พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัล ชี้ว่า การทดสอบนี้ไม่ได้หมายว่าความว่าไทยจะไม่คิดถึงประเด็นความปลอดภัย และทางรัฐบาลจะดูข้อหาความปลอดภัยของหัวเว่ยต่อไปว่าจริงหรือไม่ และยังบอกด้วยว่า ได้ติดตามสถานการณ์หัวเว่ยอย่างใกล้ชิด และช่วงนี้ยังเป็นช่วงการทดสอบเท่านั้น

นายพิเชฐ ให้สัมภาษณ์จากจากพื้นที่ทดสอบในจังหวัดชลบุรี เขตเศรษฐกิจ EEC ซึ่งผู้ให้บริการเจ้าอื่นอย่าง Nokia, Ericsson และผู้ให้บริการของไทยรายอื่นก็ทดสอบ 5G ในพื้นที่นี้ด้วยเช่นกัน

เมื่อผู้สื่อข่าวถามถึงความเคลื่อนไหวว่ามีเจ้าหน้าที่จากสหรัฐฯ ติดต่อเข้ามาเรื่องแบนอุปกรณ์หัวเว่ยหรือไม่นั้น นายพิเชฐ ระบุว่าไม่รู้เรื่องนี้

Tags:
Node Thumbnail

การเข้ารหัสสตอเรจสำหรับโทรศัพท์และพีซีเริ่มได้รับความนิยมอย่างกว้างขวางในช่วงหลัง เช่น ไอโฟนนั้นเมื่อตั้งรหัสล็อกหน้าจอก็จะเป็นการเข้ารหัสเครื่องไปพร้อมกัน สำหรับแอนดรอยด์เองก็มักเปิดการเข้ารหัสได้แทบทุกรุ่นแล้ว ยกเว้นโทรศัพท์รุ่นล่างมากๆ หรือกล่องทีวีแอนดรอยด์ เช่นชิป Cortex-A7 ที่ไม่มีส่วนเร่งความเร็วการเข้ารหัส ทำให้ความเร็วต่ำเกินยอมรับได้ โดยอาจจะเหลือเพียง 20MB/s เท่านั้น ตอนนี้กูเกิลก็ออกแบบโหมดการเข้ารหัสที่ยังพอยอมรับได้ และประสิทธิภาพดีพอสำหรับโทรศัพท์เหล่านี้ เรียกว่า Adiantum

Tags:
Topics: 
Node Thumbnail

นักวิจัยความปลอดภัยจาก Safety Detective ออกรายงานช่องโหว่ของระบบควบคุมอุณหภูมิในตู้แช่ที่เปิดโอกาสให้ผู้บุกรุกเข้ายึดครองอุปกรณ์และทำลายของที่แช่อยู่ในตู้ได้

ระบบที่ใช้ในตู้แช่นี้ พัฒนาโดย Resource Data Management หรือ RDM นิยมใช้กันแพร่หลายในร้านขายของชำ, โรงพยาบาลหรือองค์กรด้านเภสัช รวมถึงอีกหลาย ๆ ที่ ซึ่งตัวระบบใช้รหัสผ่านแบบที่ไม่ปลอดภัย และมีการเชื่อมต่ออินเทอร์เน็ต

Tags:
Node Thumbnail

Google ออกรายงานโครงการ bug bouty ประจำปี 2018 โดยแยกโปรแกรมออกเป็นสองอย่างคือการแจกรางวัลเมื่อแจ้งช่องโหว่ และแจกรางวัลให้งานวิจัยความปลอดภัยและความเป็นส่วนตัว

ในส่วนของการแจกรางวัลเมื่อแจ้งช่องโหว่ Google ระบุว่า เป้าหมายของโครงการนี้คือเพื่อจูงใจให้นักวิจัยความปลอดภัย รวมไปถึงบุคคลทั่วไปที่สนใจมาแจ้งช่องโหว่ให้ Google อุด และมีเงินรางวัลตอบแทนตั้งแต่ 100-200,000 ดอลลาร์ตามความร้ายแรงของช่องโหว่

Tags:
Node Thumbnail

รัฐสภาของออสเตรเลียออกมาเปิดเผยว่าพบความผิดปกติด้านความปลอดภัยในระบบเนิ็ตเวิร์ค โดยไม่ได้เจาะจงว่าเป็นปัญหาอะไรและยังอยู่ระหว่างการสอบสวนร่วมกับหน่วยงานด้านความปลอดภัยไซเบอร์

แถลงการณ์ของรัฐสภาระบุว่าเบื้องต้นได้เปลี่ยนพาสเวิร์ดและบังคับใช้มาตรการต่างๆ เพื่อปกป้องข้อมูลเรียบร้อยแล้ว พร้อมยืนยันว่าไม่มีข้อมูลหลุดออกไป อีกทั้งยังไม่มีหลักฐานที่ชี้ชัดว่าเป็นความพยายามกำหนดทิศทางหรือการลงคะแนนเสียงต่างๆ ในสภา ด้านนายกรัฐมนตรีก็ยืนยันว่าไม่มีข้อมูลที่ชี้ว่า หน่วยงานรัฐหรือกระทรวงไหนตกเป็นเป้าหมายการโจมตีทางไซเบอร์

ที่มา - Strait Times

Tags:
Node Thumbnail

ข้อมูลหรือเซสชันการใช้งานของลูกค้าเรียกได้ว่าเป็นขุมทรัพย์สำคัญของบริษัทที่ให้บริการทั้งหลาย ซึ่งก็มีรายงานออกมาเนืองๆ เรื่องพฤติกรรมลักษณะนี้ของผู้ให้บริการที่ไม่มีการแจ้งเตือนผู้ใช้งาน

ล่าสุด App Analyst ได้เปิดเผยว่าแอปใหญ่ๆ หลายตัวบน iOS อาทิ Abercrombie & Fitch, Hotel.com, Expedia, Singapore Airlines, Air Canada เลือกใช้เครื่องมือของ Glassbox บันทึกหน้าจอและติดตามการใช้งานของลูกค้า (session replay) โดยไม่มีการแจ้งเตือน, ขออนุญาตหรือแม้แต่บอกใน Privacy Policy

Tags:
Node Thumbnail

Google ปล่อยแพตช์ความปลอดภัยประจำเดือนกุมภาพันธ์ 2019 ให้สมาร์ทโฟนในกลุ่ม Pixel แล้ว อุดช่องโหว่ความปลอดภัยทั้งหมด 42 จุด เป็นระดับร้ายแรง (critical) 11 จุด รวมถึงช่องโหว่ที่เกิดจากฮาร์แวร์ของ NVIDIA และ Qualcomm

หนึ่งในช่องโหว่ระดับร้ายแรงเป็นช่องโหว่ในเฟรมเวิร์ค ที่เปิดให้โจมตีทางไกลผ่านไฟล์ .PNG เพื่อรันโค้ดด้วยโปรเซสที่มีสิทธิระดับสูง ซึ่งกระทบตั้งแต่ Android Nougat ขึ้นไป อย่างไรก็ตาม Google ระบุว่ายังไม่พบรายงานการโจมตีด้วยช่องโหว่นี้

Tags:
Node Thumbnail

Safe-Kid One สมาร์ทวอทช์สำหรับเด็กจากแบรนด์สัญชาติเยอรมนี ENOX เป็นผลิตภัณฑ์ตัวแรกที่ถูก European Commission ออกคำเตือนเร่งด่วน (RAPEX - Rapid Alert System for Non-Food Product) พร้อมสั่งเก็บออกจากชั้นวางขายในท้องตลาดทั้งหมด ด้วยเหตุผลว่าไม่ปกป้องข้อมูลส่วนตัวของผู้ใช้งาน

Tags:
Node Thumbnail

Google เปิดตัวฟีเจอร์ใหม่เพื่อช่วยให้ผู้ใช้ปลอดภัยในการใช้งานเว็บ คือ Password Checkup ส่วนขยายบน Chrome สำหรับตรวจสอบความปลอดภัยของรหัสผ่าน และ Cross Account Protection ที่ช่วยรักษาความปลอดภัยบัญชี

สำหรับฟีเจอร์ Password Checkup นั้น Google ระบุว่า โดยปกติแล้ว Google จะทำการรีเซ็ทรหัสผ่านบัญชี Google ของผู้ใช้ทันทีหากพบว่ามีโอกาสที่ข้อมูลจะรั่วจากบุคคลที่สาม ซึ่งส่วนนี้สามารถช่วยลดความเสี่ยงการถูกแฮกบัญชีได้ ดังนั้น Google จึงอยากนำแนวคิดนี้มาใช้กับทุกเว็บที่ผู้ใช้ได้ใช้งานอยู่ทุกวัน จึงเกิดส่วนขยาย Password Checkup นี้ขึ้นมา

Tags:
Node Thumbnail

หนึ่งปีหลังการเปิดเผยช่องโหว่ Spectre และ Meltdown เคอร์เนลใหม่ๆ มีแนวทางป้องกันปัญหากันหมดแล้ว แม้กระบวนการป้องกันจะทำให้ประสิทธิภาพเครื่องลดลงก็ตาม แต่ช่วงปีที่ผ่านมาลินุกซ์ก็เพิ่มทางเลือกสำหรับปิดกระบวนการป้องกันเหล่านี้เพิ่มเติม และโค้ดล่าสุดก็เปิดให้ปรับแนวทางการปิดระบบป้องกันอย่างละเอียดขึ้น

ออปชั่น PR_SPEC_DISABLE_NOEXEC ถูกเพิ่มเข้าเมื่อสัปดาห์ที่ผ่านมา โดยมันเปิดทางเลือกให้ผู้ดูแลระบบ สามารถเปิดปิดฟีเจอร์ Speculative Store Bypass Disable (SSBD) ของซีพียูได้อย่างละเอียด โดยเปิดให้โปรเซสลูกสามารถยกเลิก SSBD แยกจากโปรเซสแม่ได้

Tags:
Node Thumbnail

Palo Alto Network บริษัทด้านความปลอดภัยเครือข่ายประกาศการค้นพบมัลแวร์ CookieMiner ที่แพร่กระจายบน macOS เพื่อขโมยข้อมูลสำคัญที่เกี่ยวกับการเงินอย่างข้อมูลบัตรเครดิตที่เซฟไว้ในเบราว์เซอร์ ไปจนถึงข้อมูลล็อกอินหรือกุญแจกระเป๋าเงินคริปโต

พฤติกรรมของ CookieMiner คือเมื่อติดในเครื่องเหยื่อ จะติดเครื่องซอฟต์แวร์ขุดเงินคริปโตสกุล Koto ที่ใช้งานกันส่วนมากในญี่ปุ่น พร้อมดึงข้อมูลคุกกี้จาก Chrome และ Safari ที่เป็นคุกกี้จากเว็บที่ให้บริการคริปโตหรือแลกเปลี่ยนสกุลเงินคริปโต, ข้อมูลบัตรเครดิต ยูสเซอร์เนมและพาสเวิร์ดจากเบราว์เซอร์, กุญแจและกระเป๋าเงินคริปโต สุดท้ายคือข้อมูล SMS ที่เหยื่อแบ็คอัพไว้ใน iTunes

Tags:
Topics: 
Node Thumbnail

ช่องโหว่ในโปรโตคอล Signalling System No. 7 (SS7) ที่ใช้ดัก SMS มีรายงานและการสาธิตกันมาหลายปีและหลายครั้งแล้ว โดยถึงแม้ข่าวการโจมตีผ่านทาง SS7 อาจจะดูเงียบๆ แต่เว็บไซต์ Motherboard ก็ออกรายงานระบุว่ามีแฮกเกอร์ใช้วิธีนี้เยอะกว่าที่คิด และหลายธนาคารก็ตกเป็นเหยื่อแล้ว

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) ยืนยันว่ามีเหตุการแฮกบัญชีธนาคารด้วยการดักรับ SMS ที่ใช้ส่งรหัสสำหรับการล็อกอินสองขั้นตอนจริง โดยไม่ได้ระบุมีคดีมากน้อยเพียงใด แต่ก็ยืนยันว่าการใช้การล็อกอินสองขั้นตอนด้วย SMS ยังดีกว่าการล็อกอินด้วยรหัสผ่านอย่างเดียวมาก

Tags:
Node Thumbnail

นักวิจัยความปลอดภัยได้ค้นพบเซิร์ฟเวอร์เก็บข้อมูลสำคัญของ State Bank of India หรือ SBI ธนาคารที่ใหญ่ที่สุดในอินเดียเปิดไว้ใช้งานโดยไม่มีรหัสผ่านเข้าฐานข้อมูล

เซิร์ฟเวอร์ของ SBI นี้อยู่ที่ศูนย์ข้อมูลในเมืองมุมไบ เก็บข้อมูล 2 เดือนย้อนหลังจาก SBI Quick ระบบข้อความตัวอักษรและโทรศัพท์ที่ใช้สำหรับการขอข้อมูลพื้นฐานของบัญชีธนาคารโดยลูกค้า ซึ่งตัวเซิร์ฟเวอร์ของ SBI นี้ไม่ได้ถูกล็อกรหัสผ่านไว้ ดังนั้นใครรู้แค่เพียงช่องทางเข้าก็สามารถเข้าเซิร์ฟเวอร์ไปเรียกดูข้อมูลนับล้านของลูกค้าได้ทันที

Tags:
Topics: 
Node Thumbnail

ซิสโก้ออกแพตช์ให้เราท์เตอร์ RV320 และ RV325 แก้ช่องโหว่ CVE-2019-1653 ที่เปิดเผยข้อมูลคอนฟิกของเราท์เตอร์โดยไม่ตรวจสิทธิ์ผู้ใช้ ข้อมูลที่หลุดออกมานั้นรวมถึงชื่อผู้ใช้และค่าแฮชของรหัสผ่านด้วย ซึ่งนำไปสู่การยึดเราท์เตอร์ได้ในที่สุด ผ่านทางช่องโหว่ CVE-2019-1652 ที่เป็นช่องโหว่สำหรับผู้ใช้ที่ล็อกอินแล้ว

ช่องโหว่ถูกโจมตีได้ทางหน้าเว็บ HTTP/HTTPS หากเปิดหน้าเว็บให้เข้าจากอินเทอร์เน็ตได้ความเสี่ยงก็จะมากขึ้น

Tags:
Node Thumbnail

โครงการ Debian ออกเวอร์ชั่น 9.7 เป็นการเฉพาะเพื่อแก้ช่องโหว่ APT ที่ทำให้แฮกเกอร์สามารถส่งโค้ดมารันในเครื่องได้ในสิทธิ์ root

แม้ช่องโหว่ของ APT จะสามารถป้องกันได้ผ่านทางการอัพเดตตามปกติ แต่โดยทั่วไปเมื่อเราติดตั้งระบบปฎิบัติการใหม่แต่แรกก็มักจะอัพเดตระบบทันที ทำให้มีความเสี่ยงว่าจะถูกโจมตีตั้งแต่แรก การออกเวอร์ชั่นใหม่ทำให้คนจำได้ง่ายว่าต้องดาวน์โหลดอิมเมจสำหรับการติดตั้งเวอร์ชั่นใดจึงปลอดภัย

Tags:
Node Thumbnail

ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ออกประกาศเตือนประชาชนทั่วไปถึงการโจมตีแบบฟิชชิ่ง (phishing) ที่มีมากขึ้นในช่วงหลัง แม้ที่ผ่านมาจะมีการประสานงานระหว่างกันเพื่อช่วยป้องกัน ทั้งสื่อสารกับผู้ผลิตเบราว์เซอร์ต่างๆ ให้ช่วยบล็อคเว็บ และการประสานงานกับผู้ให้บริการอินเทอร์เน็ตเพื่อให้หยุดให้บริการหน้าเว็บฟิชชิ่งเหล่านั้น แต่ปัจจัยสำคัญยังคงเป็นผู้ใช้

ดร.กิตติ โฆษะวิสุทธิ์ ประธานกรรมการ TB-CERT ระบุว่าแม้โดยทั่วไปการประสานงานกับผู้ผลิตเบราว์เซอร์จะให้ผลที่ดี มักบล็อคเว็บได้ภายในหนึ่งวัน และหลายครั้งก็ใช้เวลาเพียงไม่กี่ชั่วโมง แต่ก็ยังเป็นความเสี่ยงอยู่

Tags:
Topics: 
Node Thumbnail

เซิร์ฟเวอร์ดาวน์โหลดไลบรารีภาษา PHP หรือ PHP Extension and Application Repository (PEAR) ประกาศปิดเว็บไม่มีกำหนดโดยแจ้งผู้ใช้ว่าถูกแฮก และกำลังสร้างเว็บใหม่

ไม่มีรายละเอียดมากนักว่าแฮกเกอร์โจมตีได้อย่างไร ประกาศระบุเพียงให้ผู้ใช้ที่ดาวน์โหลดไปในช่วงครึ่งปีที่ผ่านมาตรวจสอบไฟล์ go-pear.phar ว่าเหมือนกับไฟล์บน GitHub หรือไม่ หากไม่ตรงก็อาจจะถูกโจมตีแล้ว

Tags:
Node Thumbnail

Check Point บริษัทฮาร์ดแวร์และโซลูชันความปลอดภัยออกรายงานสรุปประเด็นด้านความปลอดภัยในปีที่ผ่านมา เผยว่ามัลแวร์ประเภท ransomware ที่แพร่ระบาดอย่างมากในราวปี 2017 กลับลดลงอย่างมากเมื่อปีที่ผ่านมา โดยมีองค์กรทั่วโลกกระทบแค่ 4% เท่านั้น

มัลแวร์ประเภทใหม่ที่แพร่ขึ้นมาตามกระแสบิทคอยน์คือมัลแวร์ขุดเหมือง พบองค์กรสูงถึง 37% ที่ถูกโจมตีด้วยมัลแวร์ประเภทนี้และถึงแม้มูลค่าของคริปโตจะตกลง แต่ก็ยังพบองค์กรกว่า 20% ที่ถูกโจมตีทุกสัปดาห์ ส่วนที่รองลงมาคือการโจมตีผ่านทางสมาร์ทโฟนโดยพบถึง 33% ขององค์กรโดยเฉพาะแอนดรอยด์ และพบหลายกรณีที่มีการติดตั้งแอปจาก Play Store แต่แฝงมาด้วยมัลแวร์ รวมถึงการใช้งานสมาร์ทโฟนผ่าน Wi-Fi สาธารณะและตกเป็นเป้าของการโจมตีแบบ MitM

Tags:
Node Thumbnail

Max Justicz นักวิจัยความปลอดภัยรายงานถึงบั๊กของโปรแกรม apt (apt-get) ที่อ่านข้อมูล HTTP response ไม่ตรงตามมาตรฐาน ทำให้แฮกเกอร์สามารถส่งข้อมูลหลอก จนกระทั่งยิงไฟล์แพ็กเกจปลอมเข้ามารันบนเครื่องได้ และเนื่องจาก apt มักรันบนสิทธิ์ root ทำให้แพ็กเกจที่ได้รับมารันบนสิทธิ์ root ไปด้วยส่งผลกระทบร้ายแรงถึงระดับยึดเครื่องได้

ปัญหาเกิดจากกระบวนการทำงานของ apt เมื่อผู้ใช้สั่งดาวน์โหลดโปรแกรม ตัวโปรแกรมจะ fork โปรเซสลูกเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ (fetcher) ซึ่งอาจจะเป็นโปรโตคอลต่างๆ กันไป ปัญหาคือ fetcher นี้มีบั๊กในการอ่าน HTTP Redirect ที่มันจะเชื่อข้อมูลฟิลด์ Location ใน HTTP Header เสมอ และส่งต่อไปยังโปรเซสแม่เพื่อแจ้งสถานะว่าเกิดการ Redirect โดยไม่ตรวจสอบ

Tags:
Topics: 
Node Thumbnail

WP MultiLingual (WPML) ปลั๊กอิน WordPress ที่ได้รับความนิยมอย่างสูง มีลูกค้าจ่ายเงินกว่า 6 แสนรายโดยไม่มีเวอร์ชั่นฟรีถูกแฮกแก้หน้าเว็บและส่งเมลออกไปหาลูกค้าว่าปลั๊กอินมีช่องโหว่หลายรายการและยังไม่มีการแก้ไข

ทาง WPML ออกมาระบุว่าเหตุการณ์นี้เกิดจากอดีตพนักงานวางช่องโหว่ไว้ในระบบ และตอนนี้ทางบริษัทกำลังสร้างเซิร์ฟเวอร์ขึ้นใหม่ทั้งหมดเพื่อล็อกระบบ พร้อมกับแนะนำให้สมาชิกเปลี่ยนรหัสผ่าน แต่ยืนยันว่าตัวปลั๊กอินเองไม่ได้มีช่องโหว่แต่อย่างใด

ปัญหาความปลอดภัยจากตัวพนักงานเองเป็นปัญหาสำคัญ บริษัทใหญ่อย่าง Tesla เองก็เคยมีคดีแบบเดียวกันเมื่อปีที่แล้ว

Pages