Chrome 77 จะเลิกแสดงชื่อองค์กรจากใบรับรอง SSL EV, เว็บธนาคารจะเหมือนเว็บทั่วไป

By lew Founder on Tag: Chrome, SSL, Security
Chrome

ทีมงาน Chromium ประกาศว่า Chrome 77 จะเลิกแสดงแถบ SSL EV ที่เคยแสดงชื่อองค์กรผู้ขอใบรับรองแบบ Extended Validation (EV) แล้วจะนำข้อมูลนี้ไปแสดงเมื่อผู้ใช้กดไอคอนกุญแจเพื่อขอดูข้อมูลเว็บไซต์แทน ทำให้หลังจากนี้เว็บธนาคารจำนวนมาก ที่มักแสดงชื่อธนาคารบนแถบ URL จะเหลือเพียงโดเมนอย่างเดียว

Chrome มีแนวทางลดความสำคัญของใบรับรองแบบ EV เรื่อยมา จากแต่เดิมแถบ EV เคยเป็นสีเขียวเด่นก็กลายเป็นสีเดียวกับโดเมน ส่วน iOS และ macOS นั้นเลิกแสดงไปก่อนหน้านี้แล้ว

Read more

นักวิจัยความปลอดภัยเผย ผู้ใช้คลาวด์ปล่อย EBS snapshot ที่มีข้อมูลสำคัญเป็นสาธารณะจำนวนมาก

By nutmos Writer on Tag: Security, AWS, Cloud Storage
Security

ทุกคนต่างรู้กันดีว่าการเปิด S3 เป็น public เป็นหนึ่งในสาเหตุของข้อมูลหลุดหลายครั้ง จนสุดท้าย AWS ต้องออก Block Public Access ไม่ให้เปิด S3 เป็นสาธารณะตลอดไป แต่จริง ๆ แล้วคลาวด์มีส่วนประกอบจำนวนมาก ดังนั้น S3 จึงไม่ใช่อย่างเดียวที่คนใช้งานจะพลาดในด้านความปลอดภัย

Ben Morris นักวิเคราะห์ความปลอดภัยอาวุโสจาก Bishop Fox ระบุว่า snapshot ของ EBS คือสิ่งหนึ่งที่ถูกละเลยความปลอดภัย เพราะตัว snapshot เก็บข้อมูลทุกอย่างของแอปบนคลาวด์ แต่กลับมีคนปล่อยเป็นสาธารณะ

Read more

ข้อมูลนักเรียนปลอดภัยแค่ไหน? เด็กมัธยมเผยระบบจัดการข้อมูลโรงเรียนในบอสตันมีช่องโหว่อันตรายจำนวนมาก

By nutmos Writer on Tag: Security, Education, Privacy
Security

Bill Demirkapi นักเรียนที่เพิ่งจบจากไฮสคูลในเมืองบอสตันได้ทำการทดสอบต่าง ๆ กับระบบจัดการและเก็บข้อมูลของนักเรียนในโรงเรียน ซึ่งเขาพบว่าระบบจัดการการเรียนรู้ของโรงเรียนอย่าง Blackboard และระบบข้อมูลโรงเรียนในเขตของเขา Aspen ซึ่งพัฒนาโดย Follett มีปัญหาความปลอดภัยหลายอย่าง

Demirkapi ได้นำข้อมูลนี้เปิดเผยในงาน Def Con ซึ่งเป็นงานด้านความปลอดภัยซึ่งจัดขึ้นในวันศุกร์ที่ผ่านมา โดยมีช่องโหว่หลายอย่างที่น่าสนใจและถือเป็นช่องโหว่ที่รุนแรงต่อระบบ

Read more

Symantec แยกครึ่งบริษัท ขายธุรกิจ Enterprise ให้ Broadcom, ยังเก็บแบรนด์ Norton ไว้

By mk Founder on Tag: Symantec, Acquisition, Broadcom, Norton, Security, NortonLifeLock
Symantec

หลังมีข่าวลือ ว่า Broadcom เจรจาซื้อ Symantec วันนี้ข่าวอย่างเป็นทางการออกมาแล้วว่า Broadcom ประกาศซื้อกิจการ Symantec ครึ่งบริษัท

บริษัท Symantec จะขายกิจการฝั่งลูกค้าองค์กร (Enterprise Security) พร้อมสิทธิการใช้แบรนด์ "Symantec" รวมมูลค่า 10.7 พันล้านดอลลาร์ (3.3 แสนล้านบาท) ให้กับ Broadcom โดยจ่ายเป็นเงินสดทั้งหมด

Read more

ไมโครซอฟท์เปิด Azure Security Lab เชิญนักวิจัยความปลอดภัยมาช่วยแฮ็ก Azure

By mk Founder on Tag: Microsoft Azure, Security, Microsoft, Bug Bounty
Microsoft Azure

ไมโครซอฟท์ประกาศตั้ง Azure Security Lab โดยเชิญนักวิจัยด้านความปลอดภัยจำนวนหนึ่งมาช่วยกันแฮ็ก Azure เหมือนกับเป็นอาชญากรไซเบอร์จริงๆ

เครื่องที่ใช้ใน Azure Security Lab เป็นเครื่องที่เซ็ตขึ้นมาเฉพาะกิจเพื่อการทดสอบโจมตีเพียงอย่างเดียว ถูกกันแยกจากเครื่องที่ให้บริการลูกค้าจริงๆ เพื่อให้นักวิจัยด้านความปลอดภัยมีอิสระอย่างเต็มที่ในการคิดค้นวิธีโจมตีแบบใหม่ๆ และไมโครซอฟท์ก็มีเงินรางวัลให้เป็นแรงจูงใจด้วย (รางวัลใหญ่ที่สุด 300,000 ดอลลาร์ หรือเกือบ 10 ล้านบาท - รายละเอียด)

Read more

Tencent รายงานช่องโหว่โมเด็ม Qualcomm ยึดโทรศัพท์แอนดรอยด์ผ่านทาง Wi-Fi

By lew Founder on Tag: Android, Security, Tencent, Qualcomm
Android

ทีมวิจัย Blade Team ของ Tencent รายงานถึงช่องโหว่ระดับวิกฤติในโมดูลเคอร์เนลของ Qualcomm เปิดทางให้แฮกเกอร์สามารถยึดโทรศัพท์แอนดรอยด์ผ่านทางการยิงแพ็กเก็ต Wi-Fi โดยใช้ชื่อช่องโหว่กลุ่มนี้ว่า QualPwn

ช่องโหว่เกิดจากโมดูลเคอร์เนลที่เป็นไดร์เวอร์โมเด็มของ Qualcomm ที่ไม่ตรวจข้อมูลอินพุตจากตัวโมเด็มดีพอ เมื่อแฮกเกอร์ broadcast แพ็กเก็ตมุ่งร้ายที่ออกแบบมาเฉพาะ จะทำให้เคอร์เนลเขียนข้อมูลลงหน่วยความจำโดยเชื่อข้อมูลจากโมเด็มทันที และนำไปสู่การเขียนข้อมูลทับโมดูลเคอร์เนลและนำไปสู่การรันโค้ดในเครื่องของเหยื่อ

Read more

LibreOffice พลาดปล่อยแพตช์ความปลอดภัยไม่สมบูรณ์ ต้องแพตช์ใหม่สัปดาห์หน้า

By lew Founder on Tag: LibreOffice, Security
LibreOffice

เมื่อเดือนที่แล้ว LibreOffice ปล่อยแพตช์ตามรอบปกติเป็นรุ่น 6.2.5 โดยส่วนหนึ่งของแพตช์คือการแก้ช่องโหว่ CVE-2019-9848 ที่เปิดทางให้แฮกเกอร์สร้างไฟล์มุ่งร้ายเพื่อรันสคริปต์ยึดเครื่องได้ โดยหลังจากแพตช์ออกมาแล้วช่วงปลายเดือนก็มีการเปิดเผยรายละเอียดช่องโหว่ออกมา แต่พบว่าแพตช์นั้นไม่สามารถอุดช่องโหว่ได้ครบถ้วน ทำให้ต้องการเตรียมแพตช์ใหม่อีกครั้ง

Read more

Project Zero ชี้นโยบายเปิดเผยบั๊กใน 90 วันได้ผล ผู้ผลิตออกแพตช์ทันเวลาถึง 95.8%

By lew Founder on Tag: Security, Project Zero
Security

Project Zero ของกูเกิลออกบทความคำถามพบบ่อย (FAQ) ระบุถึงเหตุผลที่ต้องเปิดเผยช่องโหว่ภายใน 90 วันหลังจากรายงาน แม้ผู้ผลิตจะไม่สามารถแก้ไขได้ทันเวลาก็ตาม โดยระบุว่าด้วยนโยบายปัจจุบัน ผู้ผลิตสามารถแก้ไขได้ก่อนที่ Project Zero จะเปิดเผยช่องโหว่คิดเป็น 95.8% หรือตลอดช่วงเวลาตั้งแต่ปี 2015 เป็นต้นมา มีช่องโหว่ถูกเปิดเผยโดยยังไม่ได้แก้ไขเพียง 66 รายการเท่านั้นจากที่มีการรายงาน 1,585 รายการ

Read more

Windows Defender มีส่วนแบ่งตลาดแอนตี้ไวรัสเกินครึ่งของผู้ใช้ Windows แล้ว

By mk Founder on Tag: Microsoft Defender, Microsoft, Security, Antivirus
Microsoft Defender

Tanmay Ganacharya ผู้บริหารฝ่ายวิจัยความปลอดภัยของไมโครซอฟท์ เปิดเผยว่า Windows Defender มีส่วนแบ่งตลาดเกิน 50% ของผู้ใช้ Windows ทั้งหมดแล้ว หรือถ้านับเป็นจำนวนอุปกรณ์คือมากกว่า 500 ล้านเครื่อง

ในแง่จำนวนผู้ใช้ Windows Defender อาจไม่ใช่เรื่องน่าแปลกใจนัก เพราะมาพร้อมกับตัวระบบปฏิบัติการอยู่แล้ว แต่ Ganacharya ก็ให้ข้อมูลว่าการที่ Windows Defender มีส่วนแบ่งตลาดสูงสุด ก็ตกเป็นเป้าโจมตีของไวรัสและมัลแวร์ต่างๆ มากตามไปด้วยเช่นกัน เพราะการเจาะผ่าน Windows Defender สำเร็จมีรางวัลเป็นฐานผู้ใช้จำนวนมากที่สุดนั่นเอง

Read more

G Suite รองรับโหมดรักษาความปลอดภัยเข้มข้น บังคับต้องล็อกอินด้วยกุญแจฮาร์ดแวร์

By mk Founder on Tag: G Suite, Google, U2F, Security, Enterprise
G Suite

กูเกิลมีฟีเจอร์รักษาความปลอดภัยระดับสูง Advanced Protection Program เปิดตัวมาตั้งแต่ปี 2017 โดยเปิดให้ผู้ใช้ Google Account ใช้งาน ล่าสุดฟีเจอร์นี้ขยายมายังผู้ใช้ฝั่งองค์กร G Suite เรียบร้อยแล้ว

Read more

กูเกิลเริ่มวางขาย กุญแจยืนยันตัวตน Titan Security Keys นอกสหรัฐอเมริกา

By mk Founder on Tag: Google, Security, FIDO, U2F
Google

กูเกิลเริ่มขยายตลาดของ กุญแจยืนยันตัวตน Titan Security Keys ที่เชื่อมต่อกับพีซีหรืออุปกรณ์พกพาผ่าน USB/Bluetooth/NFC ไปยังประเทศอื่นนอกสหรัฐอเมริกาแล้ว

ประเทศชุดที่สองที่ Titan Security Keys วางขายมี 4 ประเทศคือ แคนาดา ฝรั่งเศส ญี่ปุ่น สหราชอาณาจักร โดยยังจำกัดช่องทางการขายผ่านร้านออนไลน์ Google Store ในแต่ละประเทศเท่านั้น

กุญแจ Titan Security Keys ถือเป็นกุญแจยืนยันตัวตนแบรนด์ของกูเกิลเอง ถือเป็นอีกหนึ่งทางเลือกนอกเหนือจากกุญแจยี่ห้อ Yubico ที่นิยมใช้งานกันทั่วไป

Read more

ธนาคาร Capital One ถูกแฮก ข้อมูลผู้สมัครบัตรเครดิต 100 ล้านคนรั่วไหล

By lew Founder on Tag: Capital One, Security, Banking, Data Breach
Capital One

ธนาคาร Capital One ออกประกาศว่าเมื่อวันที่ 19 กรกฏาคมที่ผ่านมาทางธนาคารพบว่าระบบถูกแฮกเข้าถึงระบบข้อมูลผู้สมัครบัตรเครดิต ทำให้สามารถเข้าถึงข้อมูลผู้สมัครบัตรที่อยู่ในสหรัฐฯ 100 ล้านคน และจากแคนาดาอีก 6 ล้านคน

ข้อมูลได้แก่ ชื่อ, ที่อยู่, รหัสไปรษณีย์, อีเมล, วันเกิด, ข้อมูลรายได้, คะแนนเครดิต, วงเงิน, ประวัติการจ่ายเงิน, ข้อมูลติดต่อ, และรายการจ่ายเงินบางส่วน รวม 23 วัน นอกจากนี้ยังมีผู้สมัคร 140,000 รายที่ข้อมูลหมายเลขประกันสังคมสหรัฐรั่วไปด้วย และอีก 80,000 รายมีหมายเลขบัญชี ส่วนข้อมูลประกันสังคมแคนาดารั่วไป 1 ล้านเลขหมาย

Read more

ถึงขั้นประกาศภาวะฉุกเฉิน รัฐหลุยเซียนาพบโรงเรียนจำนวนมากโดนมัลแวร์โจมตี

By mk Founder on Tag: USA, Malware, Cybersecurity, Security
USA

John Bel Edwards ผู้ว่าการรัฐลุยเซียนา (Louisiana) ของสหรัฐอเมริกา ใช้อำนาจผู้ว่าการรัฐประกาศภาวะฉุกเฉิน (Emergency Declaration) หลังพบว่าโรงเรียนในสังกัดรัฐบาลจำนวนมาก ติดมัลแวร์จนไม่สามารถดำเนินการเรียนการสอนตามปกติได้

ตอนนี้ยังไม่มีข้อมูลว่ามัลแวร์ตัวนี้คืออะไร และมีรูปแบบการโจมตีอย่างไร แต่ในแถลงการณ์ของ Edwards ระบุว่าต้องประกาศภาวะฉุกเฉิน เพื่อให้มีผลทางกฎหมาย สามารถสั่งการให้หน่วยงานที่เกี่ยวข้อง ทั้งตำรวจ หน่วยงานด้านบริการไอทีภาครัฐ และผู้เชี่ยวชาญด้านความปลอดภัยจากหลายส่วน เข้ามาช่วยกันแก้ปัญหาได้โดยเร็ว

Read more

Sephora ประกาศข้อมูลบนเว็บรั่วไหล กระทบลูกค้าในไทยด้วย

By lew Founder on Tag: Data Breach, Security
Data Breach

Sephora ประกาศพบการเข้าถึงข้อมูลบนเว็บขายสินค้าออนไลน์ในโซนเอเชียตะวันออกเฉียงใต้ กระทบลูกค้าใน สิงคโปร์ มาเลเซีย อินโดนีเซีย ไทย ฟิลิปปินส์ ฮ่องกง ออสเตรเลีย และนิวซีแลนด์ โดยเบื้องต้นได้ยกเลิกรหัสผ่านและแจ้งลูกค้าให้รีเซ็ตรหัสใหม่แล้ว

ทาง Sephora พบการรั่วไหลตั้งแต่สองสัปดาห์ที่ผ่านมา โดยข้อมูลที่รั่วไหลได้แก่ ชื่อต้น, นามสกุล, วันเกิด, เพศ, อีเมล, รหัสผ่านแบบเข้ารหัส, และข้อมูลเกี่ยวกับความพึงพอใจด้านความงาม โดยไม่มีการเข้าถึงข้อมูลบัตรเครดิตแต่อย่างใด

Read more

Android Enterprise ผ่านมาตรฐานความปลอดภัยข้อมูล ISO 27001

By mk Founder on Tag: Android, Enterprise, Security, Google
Android

กูเกิลประกาศข่าว Android Enterprise ผ่านการรับรองมาตรฐาน ISO 27001 ด้านความปลอดภัยของข้อมูล ทำให้หน่วยงานที่ต้องการนำ Android ไปใช้งานภายใน มั่นใจได้มากขึ้นว่ามีระดับความปลอดภัยที่ดีพอ

Read more

VLC โวย ช่องโหว่แก้ไปตั้งแต่ปีที่แล้ว, นักวิจัยไม่ตอบคำถาม, MITRE ออกเลข CVE โดยไม่ติดต่อโครงการ

By lew Founder on Tag: VLC, Security
VLC

เมื่อเช้านี้มีข่าว VLC มีช่องโหว่ร้ายแรงถึงระดับรันโค้ดได้โดยไม่มีแพตช์ ตอนนี้ทาง VLC ก็แถลงผ่านทวิตเตอร์ ระบุว่าเป็นช่องโหว่ของไลบรารี libebml ที่แก้ไขไปแล้วประมาณปีครึ่ง และทาง VLC ก็ใช้ไลบรารีเวอร์ชั่นล่าสุดแล้ว โดยเวอร์ชั่นที่แก้ปัญหานั้นมาพร้อมกับ VLC 3.0.3 ตั้งแต่ปีที่แล้ว

Read more

[ทางโครงการปฎิเสธข่าวแล้ว] ช่องโหว่ VLC เปิดทางไฟล์ mkv มุ่งร้ายรันโค้ดในเครื่องเหยื่อ ยังไม่มีแพตช์

By lew Founder on Tag: VLC, Security
VLC

update: ทางโครงการออกมาปฎิเสธข่าวแล้ว

เมื่อเดือนที่แล้วมีรายงานถึงบั๊กของโครงการ VLC ที่ไฟล์ mkv ที่ออกแบบมาเฉพาะสามารถทำให้ VLC แครช และแสดงให้เห็นว่ามีบั๊ก buffer overflow นำไปสู่การรันโค้ดในเครื่องของเหยื่อในที่สุด

ผู้ใช้ที่ใช้ชื่อว่า topsec รายงานช่องโหว่นี้ทางช่องทางแจ้งบั๊กปกติ โดยไม่ได้ใช้ช่องทางรายงานช่องโหว่ความปลอดภัย ทำให้ข้อมูลช่องโหว่นี้อยู่บนเว็บ Trac ของโครงการ VLC เพิ่มความเสี่ยงเพราะข้อมูลช่องโหว่ออกสู่สาธารณะก่อนที่จะมีแพตช์

Read more

Rust มาแรง? ผลทดสอบประสิทธิภาพ Rustls พบเร็วกว่า OpenSSL 5-40% ไมโครซอฟท์ระบุน่าสนใจสำหรับงานต้องการความปลอดภัย

By lew Founder on Tag: Rust, Programming, Security
Rust

ภาษา Rust เป็นภาษาโปรแกรมที่เพิ่งสร้างขึ้นมาเมื่อปี 2010 โดยมอซิลล่า ผู้สร้างเบราว์เซอร์ไฟร์ฟอกซ์ ตอนนี้ได้รับความสนใจขึ้นมาอีกครั้ง เมื่อ Joseph Birr-Pixton ทีมงาน Rustls ทดสอบการส่งข้อมูลเข้ารหัส เทียบกับ OpenSSL ไลบรารีเข้ารหัสที่แทบจะเป็นมาตรฐานกลางสำหรับการเข้ารหัสในซอฟต์แวร์โอเพนซอร์ส แล้วพบว่าสามารถเอาชนะได้แทบทุกการทดสอบ ตั้งแต่ประสิทธิภาพไปจนถึงการใช้หน่วยความจำ

ผลทดสอบ TLS 1.3 TLS_AES_256_GCM_SHA384 นั้น ประสิทธิภาพการส่งข้อมูล Rustls เร็วกว่า OpenSSL อยู่ 13% ขณะที่ฝั่งรับเร็วกว่า 5.8% ขณะที่การใช้หน่วยความจำน้อยกว่า 54%

Read more

คาซัคสถานเตรียมดักฟังอินเทอร์เน็ตทั้งประเทศ เชื่อมต่ออินเทอร์เน็ตต้องติดตั้ง root CA รัฐบาล อ้างความปลอดภัยผู้ใช้

By lew Founder on Tag: Internet, Security, Kazakhstan
Internet

ผู้ให้บริการอินเทอร์เน็ตในคาซัคสถานเริ่มแจ้งเตือนผู้ใช้ให้ติดตั้งใบรับรอง root CA ของทางรัฐบาล โดยระบุเหตุผลว่าเพื่อความปลอดภัยของผู้ใช้งานธนาคารในประเทศ และการส่งข้อมูลจากแฮกเกอร์

ผู้ใช้ได้รับคำแนะนำให้ติดตั้งใบรับรอง root CA ของรัฐบาลบนเว็บ qca.kz โดยเว็บเป็น HTTP ไม่เข้ารหัส

Read more

โปรแกรมเมอร์ไมโครซอฟท์ถูกจับจากข้อหาใช้ซอฟต์แวร์จำลองเป็นลูกค้าซื้อบัตรของขวัญจากระบบไปขาย รวมมูลค่า 10 ล้านดอลลาร์

By lew Founder on Tag: Microsoft, Security
Microsoft

กระทรวงยุติธรรมสหรัฐฯ ออกจดหมายข่าวแถลงการจับกุม Volodymyr Kvashuk อดีตโปรแกรมเมอร์ชาวยูเครนที่ทำงานกับไมโครซอฟท์ในสหรัฐฯ โดยระบุว่าเขาใช้บัญชีจำลองลูกค้า สั่งซื้อบัตรของขวัญมูลค่ารวม 10 ล้านดอลลาร์

บัญชีจำลองใช้สำหรับทดสอบระบบ แม้จะสั่งสินค้าได้จริง แต่เมื่อสั่งสำเร็จแล้วสินค้าจะไม่ถูกส่งจริง แต่ระบบกลับไม่ได้ป้องกันการสั่งบัตรของขวัญ ทำให้ผู้ที่เข้าถึงบัญชีจำลองสามารถสั่งซื้อบัตรออกไปขายภายนอกได้

Read more
Subscribe to Security