Tags:
Nest

มีรายงานมาว่า Nest กำลังจะเปิดตัวอุปกรณ์สมาร์ทโฮมตัวใหม่สัปดาห์หน้า วันนี้มีภาพหลุดมาเฉลยแล้วว่ามันคือกล้องวงจรปิดนั่นเอง

หน้าตาของกล้องวงจรปิดหรือ Nest Cam นั้น เรียกได้ว่าใกล้เคียงกับของ Dropcam ที่ Nest เข้าซื้อไปเมื่อกลางปี 2014 แต่ปรับให้ขนาดกะทัดรัดลง โดยมีฟีเจอร์ทัดเทียมกับรุ่น Dropcam Pro ทั้งความสามารถในการถ่าย และสตรีมวิดีโอความละเอียด 1080p ติดตั้งได้ง่ายด้วยบลูทูธ และ QR code รวมถึงจะมีการอัพเดตแอพ Nest เพื่อให้รองรับการใช้งานร่วมกับ Nest Cam ของฝั่งแอนดรอยด์อีกด้วย

ที่มา - Droid-life

Tags:
Apple

Jan Soucek นักวิจัยจาก Ernst and Young รายงานช่องโหว่ใน Mail.app ที่เชื่อแท็ก <meta http-equiv=refresh> ทำให้สามารถเปิดเว็บจากเซิร์ฟเวอร์ภายนอกได้ด้วยอีเมลที่เป็น HTML

ด้วยแนวทางนี้ Soucek สร้างเว็บที่แสดงหน้าจอเหมือนหน้าจอล็อกอิน Apple ID เพื่อล่อให้ผู้ใช้ที่ได้รับอีเมลนึกว่าแอปเปิลกำลังขอรหัสผ่านเพื่อยืนยันตัวตนซ้ำ แล้วเก็บรหัสผ่านกลับไปยังเซิร์ฟเวอร์ ขณะที่แอพพลิเคชั่นเมลโดยทั่วไปจะไม่เชื่อแท็ก <meta http-equiv=refresh> ทำให้แสดงเป็นเมลธรรมดา

Soucek ระบุว่าเขารายงานบั๊กเรื่องนี้ไปตั้งแต่เดือนมกราคมที่ผ่านมา และจนตอนนี้แอปเปิลยังไม่แก้ไข จึงได้เปิดเผยช่องโหว่ออกมา

ที่มา - The Register

Tags:
Kaspersky

บริษัท Kaspersky ออกมาแถลงข่าวการถูกแฮกเกอร์เข้าโจมตีระบบ โดยบริษัทได้ตรวจจับการบุกรุกได้ตั้งแต่ต้นปี

ข้อมูลจากทีมสอบสวนเปิดเผยว่าแฮกเกอร์ใช้เทคนิคที่ซับซ้อนในการล้วงข้อมูลเทคโนโลยีบางอย่างของบริษัท อีกทั้งแฮกเกอร์ยังออกแบบให้มัลแวร์ทำงานโดยไม่ต้องเขียนไฟล์บนฮาร์ดดิสก์ แต่ทำงานบนหน่วยความจำแทน เพื่อหลีกเลี่ยงการตรวจจับชุดคำสั่งมัลแวร์ ซึ่งมีความเข้ากันได้กับโทรจันชื่อ Duqu ที่เคยถูกใช้โจมตี อิหร่าน อินเดีย ฝรั่งเศส และยูเครน ที่ถูกค้นพบเมื่อปี 2011

Tags:
Gmail

ปีที่แล้วเราเห็นแอพ Gmail 5.0 for Android เพิ่มความสามารถในการอ่านเมลจาก Yahoo Mail, Outlook.com, Microsoft Exchange โดยตรง

อย่างไรก็ตาม การใช้งานเมลจาก Yahoo/Outlook ยังจำกัดเฉพาะการล็อกอินด้วยรหัสผ่านเท่านั้น ผู้ที่ใช้การล็อกอินผ่าน OAuth อย่างการล็อกอิน 2 ชั้นยังไม่สามารถใช้งานผ่าน Gmail ได้

วันนี้กูเกิลอัพเดต Gmail for Android เพื่อแก้ปัญหาข้างต้น รองรับ OAuth สำหรับอีเมลจากทั้งสองค่ายเรียบร้อยแล้ว ใครที่จำเป็นต้องใช้ฟีเจอร์นี้ก็เข้าไปอัพเดตกันได้จาก Play Store เลยครับ

ที่มา - Google Apps Update, Phandroid

Tags:
Xen

คล้อยหลัง VMware ไปวันเดียว QEMU ซอฟต์แวร์สร้างเครื่องเสมือนก็มีช่องโหว่เปิดทางให้ซอฟต์แวร์มุ่งร้ายที่รันอยู่ในเครื่องเสมือนสามารถเจาะทะลุเครื่องแม่ออกมาได้

ช่องโหว่อยู่ในส่วนจำลองการ์ดเครือข่าย PCNET (QEMU สามารถจำลองการ์ดได้ 8 แบบ) ที่มีความผิดพลาดในส่วนการสำเนาข้อมูลเฟรมจากเครื่องเสมือนออกมายังเครื่องแม่ ทำให้แฮกเกอร์สามารถสร้างข้อมูลเฉพาะที่ทำให้เกิด heap overflow ความร้ายแรงที่สุดคือแฮกเกอร์เข้ายึดโปรเซส QEMU ที่รันบนเครื่องแม่ได้ทั้งหมด

Xen.org ออกมาเตือนช่องโหว่นี้แต่ก็ระบุว่าผลกระทบมีจำกัดเพราะโดยค่าเริ่มต้นแล้ว QEMU ไม่ได้ใช้ PCNET สำหรับเครือข่าย เท่าที่ผมใช้งาน คนทั่วไปมักใช้ virtio ผู้ดูแลระบบควรตรวจสอบซ้ำว่าเครื่องเสมือนของตัวเองกำลังจำลองเครือข่ายด้วยโมดูลใดอยู่

เครื่องที่รันแบบ paravirtualization, เครื่องที่รันโดยคอนฟิก device_model_stubdomain_override=1, และเครื่อง ARM ไม่ได้รับผลกระทบจากบั๊กนี้ แต่ QEMU ทั้งรุ่นมาตรฐานและ qemu-xen มีโอกาสที่จะมีช่องโหว่นี้ทั้งคู่

ช่องโหว่นี้คือ XSA-135 แต่ XSA-134 และ XSA-136 ยังอยู่ในช่วงปกปิดข้อมูล ช่องโหว่ก่อนหน้านี้ที่เปิดเผยมา คือ XSA-133 หรือ VENOM

ที่มา - Xen.org

Tags:
VMware

VMware ออกแจ้งเตือนช่องโหว่ความปลอดภัย VMSA-2015-0004 เป็นช่องโหว่ระดับวิกฤติสองรายการ

ช่องโหว่ชุดแรกกระทบกับ VMware Workstation และ VMware Horizon Client จากการจัดการหน่วยความจำผิดพลาดทำให้โค้ดที่มุ่งร้ายในเครื่อง guest สามารถรันโค้ดในเครื่องแม่หรือโจมตีให้เครื่องแม่ทำงานต่อไม่ได้ (denial of service - DoS) ช่องโหว่ชุดนี้ค้นพบโดย Kostya Kortchinsky จาก Google Project Zero

ช่องโหว่อีกชุดเป็นของ VMware Workstation, VMware Player, และ VMware Fusion ที่ตรวจสอบคำสั่งผ่าน RPC ผิดพลาดทำให้ถูกโจมตีแบบ DoS ได้อีกเช่นกัน

เวอร์ชั่นแก้ไขช่องโหว่เหล่านี้เปิดให้ดาวน์โหลดแล้ว

ที่มา - VMware, The Register

Tags:
Microsoft

ไมโครซอฟท์ออกแพตช์ความปลอดภัยรายเดือนประจำเดือนมิถุนายน รอบนี้มีช่องโหว่ระดับวิกฤติใน Internet Explorer และ Windows Media Player ที่มีช่องโหว่ทำให้รันโค้ดที่ส่งจากภายนอกได้

แพตช์ของ Internet Explorer นั้นเป็นแพตช์ที่รวมเอาช่องโหว่หลายๆ ตัวเข้าไว้ด้วยกัน ช่องโหว่หลายตัวมีผลกลับไปถึง IE6 ตอนนี้ไมโครซอฟท์ยังไม่พบว่ามีการเปิดเผยช่องโหว่เหล่านี้สู่สาธารณะหรือมีการใช้ช่องโหว่เหล่านี้เจาะระบบแต่อย่างใด

ส่วนช่องโหว่ใน Windows Media Player มีผลกระทบกลับไปถึงเวอร์ชั่น 10 โดยแฮกเกอร์สามารถสร้างไฟล์สำหรับ Windows Media Player เพื่อให้รันโค้ดบนเครื่องและเข้าควบคุมเครื่องได้ในที่สุด ช่องโหว่นี้ยังไม่เปิดเผยต่อสาธารณะ และยังไม่มีการโจมตีเช่นกัน

สำหรับเซิร์ฟเวอร์ไม่มีช่องโหว่ระดับวิกฤติในรอบนี้แต่ก็มีช่องโหว่สำคัญหลายตัว เช่น MS15-064 เป็นช่องโหว่ของ Exchange Server ที่บริการเว็บมีช่องโหว่ในการบังคับนโยบาย same-origin ทำให้แฮกเกอร์สามารถสร้าง URL เพื่อสำรวจเครื่องที่อยู่ภายในองค์กรได้

ที่มา - Technet

Tags:
iOS 9

ฟีเจอร์เล็กๆ ของ iOS 9 ที่ไม่ได้ถูกพูดถึงบนเวทีคือ App Transport Security (ATS) ที่น่าจะเป็นจุดเริ่มต้นของการบังคับให้ผู้พัฒนาแอพทั้งหมดต้องเชื่อมต่อกลับเซิร์ฟเวอร์ด้วย HTTPS เท่านั้น โดยต้องระบุโดเมนที่ต้องการเชื่อมต่อไว้ล่วงหน้า ATS จะเปิดทำงานเป็นค่าเริ่มต้นเพื่อป้องกันไม่ให้แอพเปิดเผยข้อมูลผู้ใช้โดยไม่ตั้งใจ

แอปเปิลยังคงอนุญาตให้นักพัฒนาปิดการทำงานของ ATS ด้วยการประกาศ NSAllowsArbitraryLoads ส่วนข้อมูลตอนนี้ยังอัพเดตไม่ครบถ้วนนัก แต่คาดว่าแอปเปิลจะเปิดให้นักพัฒนาประกาศบางโดเมนให้ยกเว้นไม่ต้องเข้าถึงผ่าน HTTPS ได้

แนวทางนี้ใครทำแอพที่ต้องเชื่อมต่อกลับเซิร์ฟเวอร์ก็ควรต้องอัพเกรดเซิร์ฟเวอร์ให้รองรับ HTTPS กันเตรียมไว้ครับ

ที่มา - ThreatPost

Tags:
USA

เว็บไซต์กองทัพบกสหรัฐฯ www.army.mil ถูกเปลี่ยนหน้าเว็บ (deface) ไปเมื่อวานนี้ทำให้ขึ้นข้อความโจมตีกองทัพสหรัฐฯ ว่าฝึกคนเพื่อส่งไปตาย โดยกลุ่ม Syrian Electronic Army (SEA) อ้างความรับผิดชอบว่าเป็นผู้ลงมือ

เว็บกองทัพบกสหรัฐฯ ปิดตัวลงอย่างรวดเร็วและยังเข้าไม่ได้ในตอนนี้ ทาง SEA ยังแสดงภาพหน้าจอหลังบ้านของเว็บกองทัพบกที่เป็นหน้าจอของ Limelight CDN ทำให้เป็นไปได้ว่าเว็บที่ถูกแฮกจริงๆ คือ Limelight และทางบริษัทระบุว่ากำลังสอบสวนเรื่องนี้อยู่

เว็บกองทัพสหรัฐฯ เช่น stratcom.mil ปิดตัวลงไปพร้อมๆ กับเว็บกองทัพบก แม้จะไม่มีรายงานว่าถูกแฮกก็ตาม

ที่มา - ArsTechnica

Tags:
Internet Explorer

IE11 บน Windows 10 เริ่มทดสอบรองรับมาตรฐานการเข้ารหัสเว็บตลอดเวลา HSTS มาตั้งแต่เดือนกุมภาพันธ์ ตอนนี้อัพเดตล่าสุด KB3058515 ก็อัพเดตไปยัง Windows 7 และ Windows 8.1 แล้วทำให้ IE11 บนวินโดวส์ทั้งสองรุ่นรองรับ HSTS เต็มรูปแบบ

เว็บจำนวนหนึ่งจะบังคับเอาไว้ในตัวเบราว์เซอร์ว่าต้องเข้าเว็บด้วย HTTPS เท่านั้นโดยไมโครซอฟท์ใช้รายชื่อมาจากกูเกิล และรองรับการประกาศเว็บด้วยค่าใน header ของ HTTP ด้วยฟิลด์ Strict-Transport-Security

ใครได้อัพเดตแล้วก็จะเริ่มเข้าเว็บยอดนิยมโดยไม่มี HTTP อีกต่อไป

ที่มา - Microsoft Edge Dev Blog

Tags:
USA

เมื่อเดือนมีนาคมรัฐบาลโอบามาประกาศแนวทางให้เว็บของหน่วยงานรัฐบาลกลางทั้งหมดต้องเป็น HTTPS ภายในสองปีโดยนำร่างแนวทางการอัพเกรดขึ้น GitHub เพื่อให้ประชาชนส่งข้อเสนอเข้ามา ตอนนี้ร่างทั้งหมดก็ลงถึงช่วงใช้งานจริง โดย Tony Scott CIO ของรัฐบาลกลางได้ลงนามเป็นบันทึกถึงผู้บริหารของหน่วยงานภายใต้รัฐบาลกลางทั้งหมดให้เตรียมอัพเกรดไปใช้ HTTPS ภายในสิ้นปี 2016

หลักการของร่างประกาศนี้ไม่เปลี่ยนไปจากเมื่อเดือนมีนาคมนัก เว็บรัฐบาลยังคงแบ่งออกเป็นสี่ระดับ ได้แก่ เว็บสร้างใหม่ต้องเป็น HTTPS เท่านั้น, เว็บเดิมที่มีข้อมูลส่วนตัวต้องให้ความสำคัญก่อน, เว็บที่เหลือจะมีเวลาถึง 31 ธันวาคม 2016, และยกเว้นให้กับเว็บในอินทราเน็ต

ที่มา - ThreatPost, The HTTP-Only Standard

Tags:
Trend Micro

ตั้งแต่ปลายปีก่อน เริ่มมีรายงานว่าพบมัลแวร์เรียกค่าไถ่(Ransomware) เพิ่มขึ้นอย่างต่อเนื่อง และมีรูปแบบใหม่ในการทำให้เหยื่อติดมัลแวร์ง่ายขึ้น จากเดิมที่มาจากอีเมล ตอนนี้ถึงกับมีคนลงทุนซื้อโฆษณาเพื่อใช้ช่องโหว่จากแฟลช และจาวาสคริปต์เพื่อติดตั้งมัลแวร์ได้สะดวกขึ้น Trend Micro ผู้เชี่ยวชาญด้านความปลอดภัยจึงออกมาแนะนำ และนำเสนอเครื่องมือสำหรับป้องกัน Ransomware โดยเฉพาะ

Ransomware นั้นแต่เดิมมีอยู่หลายประเภทด้วยกัน ตั้งแต่แบบที่หลอกผู้ใช้ว่าเครื่องติดไวรัส (Scareware) ไปจนถึงการเข้ารหัสไฟล์สำคัญของเครื่องเพื่อเรียกค่าไถ่สำหรับปลดล็อกข้อมูล (Crypto-Ransomware) ซึ่งแบบหลังเริ่มพบบ่อยในช่วงหลังทั้งภาคธุรกิจ และผู้ใช้ตามบ้าน ซึ่งนอกจากจะเป็นที่นิยมมากขึ้นแล้ว ตัวมัลแวร์ยังถูกพัฒนาให้ทำงานได้ซับซ้อนยิ่งขึ้น การทำงานของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสไฟล์จะเริ่มต้นจากเหยื่อรันโปรแกรมที่มีมัลแวร์ซึ่งมักได้มาจากอีเมล ทำให้ตัวมัลแวร์เริ่มเข้ารหัสไฟล์ ก่อนจะแจ้งเตือนให้จ่ายเงินเพื่อแลกกับการปลดล็อกไฟล์ในภายหลัง

Tags:
USA

หนังสือพิมพ์ The Wall Street Journal และสถานีโทรทัศน์ CNN รายงานว่าหน่วยสืบสวนกลางของสหรัฐ (FBI) กำลังทำการสอบสวนเหตุการณ์การจารกรรมข้อมูลจากระบบของรัฐบาลกลางที่อาจถือว่าเป็นการจารกรรมข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่ง โดยเจ้าหน้าที่ระบุว่าอาจจะมีข้อมูลส่วนบุคคลหลุดออกไปมากถึง 4 ล้านรายการ

เจ้าหน้าที่ของหน่วยงานสอบสวนกลางระบุว่า การจารกรรมข้อมูลครั้งนี้ตรวจพบตั้งแต่เดือนเมษายนของปีนี้ และกระจายไปตามหน่วยงานต่างๆ โดยหน่วยงานที่โดนระบุชื่ออย่างชัดเจนคือ Office of Personnel Management ที่เป็นองค์กรบริหารบุคลากรของรัฐบาลกลาง (เทียบกับบ้านเราใกล้เคียงที่สุดคือ สำนักงานคณะกรรมการข้าราชการพลเรือน) เจ้าหน้าที่สอบสวนกำลังสงสัยว่า การแฮกดังกล่าวนี้มีต้นทางมาจากประเทศจีนและแฮกเกอร์อาจได้รับการสนับสนุนจากทางการจีน

ด้านสถานเอกอัครราชทูตจีนประจำสหรัฐอเมริกาออกมาปฏิเสธความเกี่ยวข้อง และระบุว่าอย่ารีบด่วนสรุปจนเกินไป อนึ่ง ในช่วงที่ผ่านมาความสัมพันธ์ระหว่างสองประเทศเป็นไปอย่างไม่ค่อยราบรื่นนัก โดยเฉพาะกรณีล่าสุดที่สหรัฐส่งเครื่องบินสอดแนม บินใกล้กับหมู่เกาะทะเลจีนใต้ที่ทางการจีนอ้างสิทธิว่าเป็นส่วนหนึ่งของดินแดนตัวเอง

ที่มา - The Wall Street Journal (อาจจำเป็นต้องสมัครสมาชิก), CNN

Tags:

ผู้สร้างมัลแวร์เรียกค่าไถ่ข้อมูล (ransomeware) Tox ประกาศเลิกกิจการและขอให้ผู้สนใจเสนอราคาซื้อกิจการต่อ

Tox เป็นกิจการแบบให้บริการกับผู้เผยแพร่มัลแวร์ โดยผู้เผยแพร่มัลแวร์สามารถตั้งราคาค่าไถ่ข้อมูลและหาทางทำให้เหยื่อถูกมัลแวร์เล่นงานด้วยวิธีการต่างๆ เมื่อมีเงินโอนเข้ามา ทาง Tox จะหักค่าบริการ 30%

การขายกิจการแบ่งออกเป็นสองแบบ คือ ขายเฉพาะซอฟต์แวร์แพลตฟอร์มและตัวมัลแวร์ หรือขายพร้อมกิจการ ฐานข้อมูลของผู้ที่ติดมัลแวร์เดิมและกุญแจเว็บ toxicola7qwv37qj.onion ไปด้วย เพื่อดำเนินการต่อ

ทาง Tox ประกาศว่าหากไม่มีใครรับฐานข้อมูลไปดำเนินกิจการต่อภายในหนึ่งเดือนเขาจะปล่อยกุญแจและตัวมัลแวร์จะปลดล็อกไฟล์โดยอัตโนมัติ

ที่มา - Bleeping Computer

Tags:
Google ATAP

โครงการ ATAP ของกูเกิลกำลังพัฒนาวิธีตรวจสอบความปลอดภัยแบบใหม่ที่ใช้แทนรหัสผ่าน โดยใช้ชื่อว่า Project Abacus

จากการสาธิตการทำงานของ Project Abacus ในงาน Google I/O ที่ผ่านมา ระบบนี้จะเฝ้าสังเกตพฤติกรรมการใช้มือถือ เช่น รูปแบบการพิมพ์ และแอพพลิเคชันที่ใช้งาน แทนการใช้ระบบจดจำเสียงและระบบจดจำใบหน้า ผลลัพธ์จากพฤติกรรมการใช้งานซ้ำๆ อย่างมีรูปแบบจะสร้างฐานคะแนนความน่าเชื่อถือขึ้น เพื่อใช้ระบุตัวตนของผู้ใช้ และสามารถบอกความแตกต่างระหว่างผู้ใช้สองคนได้อย่างชัดเจน ซึ่งการประเมินทางความปลอดภัยของระบบนี้จะทำการล็อกมือถือเมื่อคนอื่นมาใช้งานเครื่องของเราได้ทันที

Project Abacus เป็นความร่วมมือระหว่างกูเกิลกับมหาวิทยาลัย 33 แห่งจาก 28 รัฐ โดยมีฐานข้อมูลพฤติกรรมการใช้งานขนาดใหญ่ถึง 40TB ผลการทดสอบพบว่ามีความน่าเชื่อถือมากกว่าระบบความปลอดภัยแบบอื่นๆ มาก

Tags:
Paysbuy

note: ข่าวนี้เป็นอีเมลจากทาง Paysbuy ส่งมายังคุณ Ford Antitrust ครับ

ตามที่มีกระแสข่าวจากกระทู้ในเว็บไซต์พันทิป เรื่องพบความผิดปกติในการใช้บัตรเครดิต ซึ่งเกิดรายการใช้จ่ายบนบัตรเครดิตที่เจ้าของบัตรเครดิตไม่ได้ทำธุรกรรมด้วยตนเองนั้น บริษัท เพย์สบาย จำกัด (“เพย์สบาย”) ในฐานะผู้ให้บริการ ขอชี้แจงว่า นับตั้งแต่วันที่เพย์สบายได้รับแจ้ง เพย์สบายได้มีการรวบรวมข้อมูลเบื้องต้น และกำลังอยู่ในระหว่างการตรวจสอบหาข้อเท็จจริงว่าปัญหาที่พบนั้นเกิดขึ้นจากระบบของเพย์สบายหรือไม่อย่างไร เนื่องจากปัญหาดังกล่าวนั้นสามารถเกิดขึ้นได้จากหลายสาเหตุ อีกทั้งยังมีความซับซ้อนและเกี่ยวข้องกับบุคคลภายนอกหลายราย จึงทำให้ต้องใช้เวลาในการตรวจสอบอย่างละเอียดถี่ถ้วน ซึ่งในกระบวนการตรวจสอบทั้งหมดอาจจะทำให้เกิดความล่าช้าในการชี้แจงกับลูกค้า และผู้ที่กังวลใจในการใช้บริการของเพย์สบาย ดังนั้น เพย์สบายจึงต้องขออภัยในความไม่สะดวกมา ณ ที่นี้

ปัจจุบันเพย์สบายได้รับเรื่องจากลูกค้า และทำการตรวจสอบพบความผิดปกติในการใช้บัตรเครดิตที่ผูกเข้ากับบัญชีเพย์สบาย (E-Wallet) เป็นจำนวนประมาณ 53 ราย ซึ่งเพย์สบายได้มีการประสานงานกับธนาคารเจ้าของบัตรเครดิตเพื่อให้ทำการตรวจสอบและเฝ้าระวังการทำธุรกรรมบัตรเครดิตอย่างใกล้ชิด รวมทั้งการอายัดบัตรและดำเนินการตามมาตรการที่เกี่ยวข้องอย่างเหมาะสม

Tags:
Thailand

เมื่อวานนี้ (2 มิ.ย. 2558) มีการเผยแพร่ช่องโหว่ ที่อ้างว่าเป็นของเว็บแอพพลิเคชันซึ่งถูกพัฒนาและใช้กันมากในหน่วยงานรัฐ สถาบันการศึกษาและหน่วยงานอื่นๆ โดยเป็นช่องโหว่ประเภท SQL injection และกลุ่มแฮกเกอร์ชาวอินเดียเป็นผู้ประกาศช่องโหว่และวิธีการโจมตี

ช่องโหว่นี้จะเป็นการสร้างคำสั่ง SQL ไปยังพารามิเตอร์ &id_sub_menu= ในไฟล์ /core_main/module/web/blog/blog.php ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลในระบบได้โดยไม่ได้รับอนุญาต และในกรณีที่เว็บไซต์นั้นมีความปลอดภัยอยู่ในระดับต่ำ ความเสียหายของการโจมตีจะยิ่งร้ายแรงมากขึ้น จากการตรวจสอบพบว่ามีเว็บไซต์ที่มีช่องโหว่นี้อยู่ถึง 53,100 ราย ทางที่ดีที่สุดคือควรหยุดใช้งานในทันทีครับ

แก้ไข: จากความคิดเห็นของผู้อ่าน คาดว่า CMS ตัวนี้มีชื่อว่า OBECLMS ครับ

ที่มา - Thailand Gov Custom Blog WebApp SQL Injection

Tags:
GitHub

GitHub ประกาศกวาดล้างกุญแจ SSH ที่อ่อนแอเนื่องจากบั๊กในเดเบียนตั้งแต่ปี 2008 แม้จะผ่านไปแล้วหลายปีและโครงการลินุกซ์จำนวนมากออกสคริปต์เตือนให้ผู้ใช้สร้างกุญแจใหม่แล้ว แต่ก็ยังมีผู้ใช้จำนวนมากใช้กุญแจเหล่านี้อยู่ และยังใช้สำหรับ GitHub ทำให้เสี่ยงต่อการถูกปลอมตัวเพื่อส่งโค้ดเข้าไปโครงการสำคัญหลายโครงการ

โครงการที่ได้รับผลกระทบบางส่วน เช่น Django, gov.uk, Couchbase, Spotify, และ Python

นอกจากกุญแจอ่อนแอจากเดเบียนแล้วยังมีผู้ใช้จำนวนไม่มากใช้กุญแจ RSA ขนาด 256 บิตและ 512 บิตซึ่งถอดรหัสได้โดยง่าย

ผู้ใช้จะได้รับอีเมลว่ากุญแจ SSH ถูกยกเลิกจะต้องสร้างกุญแจใหม่ต่อไป

ที่มา - Ben's Blog

Tags:
Facebook

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

ทางด้าน Facebook จึงออกมาประกาศว่าจะเลิกสนับสนุนการใช้ค่าแฮช SHA-1 มาเข้ารหัสในวันที่ 1 ตุลาคม 2015 นี้ ในตัวประกาศแนะนำให้ใช้ SHA-2 ในการเข้ารหัสแทนแล้ว

ในส่วนของทางด้านนักพัฒนาควรตรวจสอบตัวแอพพลิเคชันที่มีการเชื่อมต่อกับ Facebook ของตัวเองว่าสนับสนุน SHA-2 แล้วหรือไม่ด้วยครับ

ที่มา : The Next Web

Tags:
Mac OS X

เมื่อวันที่ 29 พฤษภาคม 2015 นักวิจัยด้านความปลอดภัย Pedro Vilaca ได้โพสต์เปิดเผยช่องโหว่ของ Mac OS X ที่ปล่อยให้ผู้ไม่ประสงค์ดีสามารถเข้ามาแฟลช BIOS และฝัง rootkit ได้ผ่านการโจมตีระยะไกล