Tags:
Node Thumbnail

เมื่อเดือนมิถุนายนที่ผ่านมา ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ OneDrive Personal Vault ให้เก็บข้อมูลลับลงในโฟลเดอร์ของ OneDrive โดยต้องใส่รหัสผ่าน, PIN, สแกนลายนิ้วมือหรือใบหน้า จึงจะปลดล็อคได้ ล่าสุดทางบริษัทเริ่มเปิดให้ใช้งานฟีเจอร์นี้แล้ว และจะขยายไปยังผู้ใช้งาน OneDrive ทั้งหมดภายในปี 2019 นี้

Tags:
Node Thumbnail

หลังจากนักวิจัยที่ใช้ชื่อในอินเทอร์เน็ตว่า axi0mX ประกาศช่องโหว่ Checkm8 ที่ใช้เจาะอุปกรณ์ iOS เปิดทางการทำ jailbreak และฝังซอฟต์แวร์ลงในเครื่องแม้จะเป็นระบบปฎิบัติการรุ่นล่าสุด ทาง ArsTechnica ได้ติดต่อสัมภาษณ์ axi0mX เพื่อขอข้อมูลเพิ่มเติม

ทาง ArsTechnica ยืนยันว่าช่องโหว่นี้ กระทบ Apple Watch 1/2/3 ด้วย

ช่องโหว่ Checkm8 เป็นช่องโหว่ระดับ bootrom ซึ่งเป็นโค้ดระดับต่ำสุดของกระบวนการบูตอุปกรณ์ iOS ที่เขียนโค้ดอยู่ในหน่วยความจำที่เขียนทับไม่ได้ (ROM) ทำให้ไม่สามารถแพตช์แก้ไขในอนาคตได้ axi0mX ระบุว่าช่องโหว่ระดับนี้เคยพบครั้งล่าสุดเมื่อปี 2010 ใน iPhone 4

Tags:
Topics: 
Node Thumbnail

ผู้ใช้ทวิตเตอร์ชื่อว่า axi0mX ออกมาประกาศช่องโหว่ checkm8 (อ่านว่า เช็ค-เมด/checkmate) เป็นช่องโหว่ของซอฟต์แวร์ใน bootrom ทำให้แฮกเกอร์สามารถข้ามกระบวนการตรวจสอบความปลอดภัยของอุปกรณ์ที่ใช้ iOS ทั้งไอโฟนและไอแพดจำนวนมาก โดยอุปกรณ์จาก iPhone 4S ที่ใช้ชิป Apple A5 ไปจนถึง iPhone X ที่ใช้ชิป Apple A11

ช่องโหว่ใน bootrom จะเปิดทางให้แฮกเกอร์สามารถเปิดใช้ JTAG เพื่อดีบั๊กระบบ และแฮกซอฟต์แวร์ใดๆ บนเครื่อง หรือสามารถดึงข้อมูล SecureROM ออกมาได้ทั้งชุด เปิดทางอ่านกุญแจเข้ารหัสต่างๆ ของ iOS โดยความเสี่ยงของช่องโหว่นี้ ทำให้หากอุปกรณ์ตกอยู่ในมือคนร้าย คนร้ายจะสามารถฝังซอฟต์แวร์ลงไปในรอมได้

Tags:
Node Thumbnail

เมื่อกลางเดือนกันยายนที่ผ่านมา AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ซอฟต์แวร์ในตัวซิมโทรศัพท์ ที่เปิดทางให้แฮกเกอร์ส่ง SMS เข้าไปรันโค้ดบนซิม ควบคุมการทำงาน เช่น การรายงานตำแหน่งโทรศัพท์ หรือการส่ง SMS แทนคนร้าย ล่าสุด Ginno Security Lab ก็แจ้งมายังเว็บไซต์ Hacker News ระบุว่านักวิจัยได้พบช่องโหว่แบบเดียวกันนี้บนซอฟต์แวร์อีกตัว คือ Wireless Internet Browser (WIB) ที่มีผู้ใช้นับร้อยล้านซิม

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศเปิดบริการ Azure Sentinel ซึ่งเป็นบริการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (ในวงการมีชื่อเรียกว่า security information and event management หรือตัวย่อ SIEM)

SIEM เป็นระบบวิเคราะห์ไฟล์ล็อกและข้อมูลอื่นๆ แบบเรียลไทม์ เพื่อตรวจจับว่าเกิดการโจมตีหรือมีข้อมูลรั่วออกไปหรือไม่ องค์กรจะได้มีเวลารับมืออย่างทันท่วงที ในตลาดเองมีผลิตภัณฑ์ SIEM หลายตัว ที่มีชื่อเสียงอย่างเช่น LogRythm, Splunk, ArcSight หรือ RSA NetWitness

Tags:
Node Thumbnail

ไต้หวันประกาศจัดงานซ้อมรบไซเบอร์ครั้งแรกในเดือนพฤศจิกายนนี้ โดยรูปแบบการซ้อมถอดมาจากการซ้อม Cyber Storm ของสหรัฐฯ และการซ้อมครั้งนี้จะมี 15 ชาติจาก อาเซียน, ยุโรป, และสหรัฐฯ เข้าร่วม

การซ้อมแบ่งออกเป็นความระมัดระวัง phishing ของเจ้าหน้าที่ไต้หวันเอง อีกส่วนเป็นการจำลองการโจมตีจากเกาหลีเหนือ ที่จะโจมตีโครงสร้างพื้นฐานและสถาบันการเงิน

ในการซ้อมรบครั้งนี้ ทางไต้หวันจะทำหน้าที่ป้องกัน (blue team) และชาติอื่นๆ ที่เข้าร่วมจะทำหน้าที่โจมตี (red team)

ที่มา - Taipei Times

Tags:
Node Thumbnail

HP Inc. ประกาศซื้อกิจการบริษัทความปลอดภัย Bromium โดยไม่เปิดเผยมูลค่า

Bromium เป็นบริษัทด้านความปลอดภัยที่เน้นเรื่องอุปกรณ์ปลายทาง (endpoint) โดยใช้เทคนิคการสร้าง virtual machine ขนาดเล็กขึ้นมาครอบงานย่อยๆ เช่น การดาวน์โหลดไฟล์ หรือการคลิกลิงก์ เพื่อแยกส่วน (isolate) ภัยคุกคามที่อาจเกิดขึ้น และปิด VM นั้นไปเมื่องานนั้นเสร็จเรียบร้อย

ที่ผ่านมา HP ซื้อไลเซนส์ซอฟต์แวร์ของ Bromium ไปใช้งานในฟีเจอร์ Sure Click ในโน้ตบุ๊กของตัวเอง (อ่านวิธีการใช้งานใน รีวิว HP EliteBook x360 830 G6) จึงไม่แปลกใจนักที่ HP จะซื้อทั้งบริษัทเพื่อนำเทคโนโลยีมาใช้งานในอุปกรณ์อื่นๆ ด้วย

Tags:
Node Thumbnail

ธนาคารแห่งประเทศไทยประกาศตั้งเป้าเปลี่ยนบัตรเอทีเอ็มและบัตรเดบิตที่ยังเป็นบัตรแม่เหล็ก ให้เป็นบัตรชิป โดยธนาคารในประเทศไทยได้หยุดออกบัตรแม่เหล็กมาตั้งแต่ปี 2016 ตอนนี้ทางก็มีกำหนดออกมาว่าบัตรแม่เหล็กทั้งหมดจะใช้งานได้ถึงวันที่ 15 มกราคม 2020 เท่านั้น

ประกาศเดิมของธนาคารแห่งประเทศไทยระบุให้บัตรแม่เหล็กใช้งานได้ถึงวันที่ 31 ธันวาคม 2019 ประกาศล่าสุดนี้จึงเป็นการเลื่อนออกไปแล้วเล็กน้อย

ตอนนี้บัตรแม่เหล็กยังคงเหลืออยู่ในระบบอีก 20 ล้านใบทั่วประเทศแม้จะหยุดออกบัตรใหม่มานานแล้ว ขณะที่บัตรชิปมีจำนวน 47 ล้านใบ

Tags:
Node Thumbnail

Tavis Ormandy นักวิจัยจาก Project Zero รายงานช่องโหว่ของ LastPass เปิดทางให้แฮกเกอร์สามารถดึงรหัสผ่านล่าสุดที่ใช้ล็อกอินในเบราว์เซอร์แท็บเดียวกันออกมาได้ แม้จะเป็นคนละเว็บกัน

ผู้ใช้จะมีความเสี่ยงต่อเมื่อใช้ส่วนขยาย LastPass สำหรับ Chrome โดยตอนนี้เป็นส่วนขยายที่มีคนใช้งานอยู่ถึง 10 ล้านคน

ทาง LastPass แก้ไขในเวอร์ชั่น 4.33.0 เรียบร้อย โดยใช้เวลาสองสัปดาห์หลัง Project Zero แจ้งไป จึงเปิดเผยข้อมูลออกมา

ที่มา - Project Zero

Tags:
Node Thumbnail

AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ Simjacker ที่เป็นช่องโหว่ของซอฟต์แวร์ในซิมการ์ด เปิดทางให้คนร้ายสร้าง SMS มุ่งร้ายเข้าไปสั่งงานในซิม เช่น การสั่งให้ส่ง SMS โดยเหยื่อไม่รู้ตัว

ช่องโหว่นี่เป็นของซอฟต์แวร์ S@T Browser ที่ไม่ตรวจสอบที่มาของคำสั่งอย่างถูกต้อง ทำให้เมื่อได้รับคำสั่งจาก SMS ที่ออกแบบมาเฉพาะ S@T Browser จะรันคำสั่งไปตามนั้น

คนร้ายสามารถสั่งให้ส่ง SMS ไปยังหมายเลขที่ต้องการ หรือสั่งเก็บข้อมูลเครือข่าย เช่น ตำแหน่งเสาสัญญาณโทรศัพท์ หรือหมายเลข IMEI เครื่อง

Tags:
Node Thumbnail

แอพกลุ่ม Authenticator สำหรับทำ Two factor authentication (TFA หรือ 2FA) จากสมาร์ทโฟน มีให้เลือกใช้งานกันมากมาย และแอพบางตัวมีฟีเจอร์การซิงก์ข้อมูล credential เก็บขึ้นคลาวด์ให้ด้วย ช่วยป้องกันปัญหากรณีมือถือหายแล้วไม่สามารถล็อกอินบัญชีต่างๆ ได้

ล่าสุดไมโครซอฟท์ประกาศว่า Microsoft Authenticator บน Android ก็รองรับฟีเจอร์นี้เช่นกัน โดยข้อมูล credential จะถูกเก็บลงบัญชี Microsoft Account ของเรา (นั่นแปลว่ามีความเสี่ยงเช่นกันที่บัญชี Microsoft Account ของเราถูกเข้าถึงได้ และได้ข้อมูล credential ตรงนี้ไป)

Tags:
Node Thumbnail

กูเกิลประกาศ "ทดลอง" การใช้งาน DNS-over-HTTPS (DoH) บนเบราว์เซอร์ Chrome เช่นเดียวกับ Firefox ที่ประกาศไปก่อนหน้านี้ แต่แนวทางการทดลองนั้นต่างออกไป โดย Chrome จะยึดค่าเซิร์ฟเวอร์ DNS ตามเดิมที่ตั้งไว้ แต่หากพบว่าเซิร์ฟเวอร์นั้นรองรับ DoH ก็จะอัพเกรดไปใช้เอง

แนวทางนี้ทำให้ผู้ใช้น่าจะไม่ประสบปัญหาอื่น เช่น บางคนความเร็วอินเทอร์เน็ตตกเพราะคิวรี DNS ได้ค่าเปลี่ยนไปจากปกติ หรือปัญหากับโปรแกรมควบคุมเนื้อหาสำหรับผู้ปกครอง เนื่องจากตัวเบราว์เซอร์ยังเคารพการตั้งค่าของระบบอยู่

Tags:
Node Thumbnail

ZERODIUM บริษัทนายหน้าซื้อขายช่องโหว่ซอฟต์แวร์ประกาศปรับราคารับซื้อ รอบใหม่ โดยเพิ่มหมวดการโจมตีแอนดรอยด์แบบผู้ใช้ไม่ต้องคลิกใดๆ ราคาแพงที่สุด 2.5 ล้านดอลลาร์ แซงหน้าช่องโหว่แบบเดียวกันของ iOS ที่รับซื้อราคาเดิม 2 ล้านดอลลาร์

นอกจากการเพิ่มช่องโหว่แอนดรอยด์แล้ว ZERODIUM ยังปรับลดราคาการโจมตีแบบคลิกเดียวสำหรับ iOS เหลือ 1 ล้านดอลลาร์จาก 1.5 ล้านดอลลาร์

Chaouki Bekrar ผู้ก่อตั้ง ZERODIUM ระบุกับ WIRED ว่าช่องโหว่ iOS เริ่มมีขายมากขึ้นในตลาดทำให้ราคาเริ่มปรับลด ขณะที่แอนดรอยด์มีการปรับปรุงต่อเนื่องทำให้การพัฒนาการโจมตีแบบผู้ใช้ไม่ต้องคลิกเลยนั้นทำได้ยากขึ้นมาก

Tags:
Node Thumbnail

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) แจ้งเตือนว่า Python 2 จะหมดอายุซัพพอร์ตวันที่ 1 มกราคม 2020 นี้ ทำให้ไม่มีแพตช์อีกต่อไป แต่แอปพลิเคชั่นจำนวนมากยังคงทำงานบน Python 2

การแก้ไขที่ดีที่สุดคือการย้ายไปใช้ Python 3 ซึ่งมีหลายช่องทางนับแต่การใช้โปรแกรม 2to3 ของโครงการเอง หรือไลบรารี six ที่ช่วยรักษาความเข้ากันได้ระหว่างเวอร์ชั่น

Tags:
Node Thumbnail

แอปเปิลออกแถลงการณ์ชี้แจง หลังนักวิจัยของกูเกิลใน Project Zero เผยแพร่รายงานการโจมตี iOS ก่อนมีแพตช์ออกมาเมื่อเดือนกุมภาพันธ์ โดยบอกว่าช่องโหว่ในรายงานฉบับนี้มีผลกระทบที่จำกัด ไม่ได้มีผลเป็นวงกว้างอย่างที่รายงานพยายามทำให้ผู้ใช้ iOS กลัว เว็บไซต์ที่มีการฝังมัลแวร์ผ่านช่องโหว่ก็มีเพียงไม่ถึง 10 เว็บไซต์ และมีเนื้อหาเฉพาะเจาะจงมาก

Tags:
Node Thumbnail

ZDNet อ้างแหล่งข่าวที่เกี่ยวข้องกับการโจมตี ระบุว่ากลุ่มแฮกเกอร์ APT5 หรือ Mananese เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure เพื่อโจมตีเป็นวงกว้าง โดยช่องโหว่ทั้งสองรายการนั้นมีแพตช์ออกมาหลายเดือนแล้ว

ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ที่เปิดให้แฮกเกอร์สามารถอ่านไฟล์บนเซิร์ฟเวอร์ VPN ได้โดยไม่ต้องยืนยันตัวตน เปิดทางให้แฮกเกอร์ดาวน์โหลดไฟล์ของระบบออกมาได้ โดยทาง Fotinet ออกแพตช์มาตั้งแต่เดือนพฤษภาคม และรายละเอียดช่องโหว่มีการนำเสนอในงาน BlackHat 2019 ที่ผ่านมา

Tags:
Node Thumbnail

หลังแอคเคาท์ของ Jack Dorsey ซีอีโอ Twitter ถูกแฮ็กผ่านผ่านทางเบอร์โทรศัพท์ ล่าสุด Twitter ประกาศปิดฟีเจอร์ทวีตผ่าน SMS

Twitter บอกด้วยว่าจะปรับปรุงระบบยืนยันตัวตน 2 ขั้นผ่านทาง SMS ขณะเดียวกันก็ระบุว่าจะกลับมาเปิดฟีเจอร์นี้อีกครั้ง ในประเทศที่ใช้ SMS เป็นช่องทางการสื่อสารหลัก

ที่มา - @Twitter Support via The Verge

Tags:
Node Thumbnail

บริษัทความปลอดภัย Eclypsium ออกรายงานช่องโหว่ชิปเซ็ตจัดการเซิร์ฟเวอร์ (baseboard management controller - BMC) ที่ช่วยให้ผู้ดูแลระบบสามารถเปิดปิดเซิร์ฟเวอร์, รีบูต, และอัพเดตเฟิร์มแวร์ได้จากระยะไกล โดย BMC ของเซิร์ฟเวอร์ Supermicro หลายรุ่นมีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถยิงข้อมูลจนเหมือนมีอุปกรณ์ USB ไปเสียบอยู่หน้าเครื่องจริงๆ

ช่องโหว่นี้อาศัยฟีเจอร์ Virtual CD-ROM ของ Supermicro ที่มีแอปพลิเคชั่นจาวามาให้ผู้ดูแลระบบ สามารถเมาน์ไฟล์ ISO ไปเหมือนใส่แผ่นซีดีติดตั้งระบบปฎิบัติการอยู่หน้าเครื่อง โดยฟีเจอร์นี้ที่จริงแล้วเป็นฟีเจอร์อุปกรณ์ USB เสมือน ที่หากส่งข้อมูลถูกต้อง เครื่องปลายทางสามารถจำลองอุปกรณ์ USB อะไรก็ได้เหมือนไปเสียบอุปกรณ์ที่เครื่องจริงๆ

Tags:
Node Thumbnail

Instagram ถือเป็นบริการโซเชียลที่ได้รับความนิยมอย่างสูง และมีคนไทยใช้กันเป็นจำนวนมาก รวมถึงผู้มีชื่อเสียง ดารา นักร้อง ฯลฯ และปัญหาที่เราพบได้บ่อยๆ ตามหน้าสื่อ คือ "บัญชี Instagram โดนแฮ็ก" (ไม่ว่าจะแฮ็กจริงหรือทำให้ดูเหมือนถูกแฮ็กก็ตาม)

ในฐานะที่ Blognone สนใจประเด็นเรื่องความปลอดภัยไซเบอร์ จึงขอนำเสนอ Howto ง่ายๆ ในการป้องกันบัญชี Instagram ของเรา

Tags:
Node Thumbnail

เมื่อคืนนี้เกิดเหตุ Jack Dorsey ซีอีโอและผู้ร่วมก่อตั้ง Twitter ถูกแฮ็กบัญชี @jack และโพสต์ข้อความระบุว่าเป็นผลงานของกลุ่มแฮ็กเกอร์ Chuckling Squad

โฆษกของ Twitter รายงานว่าสาเหตุไม่ได้มาจากระบบของ Twitter ถูกแฮ็ก แต่เกิดจากการแฮ็กเบอร์โทรศัพท์ที่ผูกกับบัญชี @jack ทำให้แฮ็กเกอร์สามารถโพสต์ข้อความบนบัญชีของ @jack ได้ผ่าน SMS

ตอนนี้ยังไม่มีรายละเอียดว่าแฮ็กเกอร์เข้าถึงเบอร์โทรศัพท์ของ Dorsey ได้อย่างไร และเป็นโอเปอเรเตอร์รายใดในสหรัฐอเมริกา แต่ BuzzFeed รายงานโดยอ้างแหล่งข่าวใกล้ชิดว่า Dorsey เปลี่ยนซิมโทรศัพท์เรียบร้อยแล้ว

Tags:
Node Thumbnail

ศูนย์ไซเบอร์กองทัพบกประกาศรับสมัครตำแหน่งด้านความมั่นคงปลอดภัยไซเบอร์ระดับสูงรวม 3 ตำแหน่ง โดยทั้งสามตำแหน่งมี เงินเดือนเท่ากันคือ 68,350 บาท และระยะเวลาจ้างสิ้นสุดไม่เกินวันที่ 30 กันยายน 2563 โดยต้องการประสบการณ์ด้านเทคโนโลยีสารสนเทศและด้านความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 12 ปี หรือมีใบรับรองด้านความมั่นคงปลอดภัยไซเบอร์ เช่น CISSP, CISM, CEH แล้วแต่ตำแหน่งงาน

ตำแหน่งงานทั้ง 3 ได้แก่

Tags:
Node Thumbnail

Project Zero รายงานย้อนหลังถึงการพบการโจมตี iOS ก่อนที่จะมีแพตช์ หรือช่องโหว่ 0-day ย้อนหลัง 5 รายการ นับแต่ปี 2016 ในสมัย iOS 10 มาจนถึง iOS 12 เมื่อต้นปีที่ผ่านมา

ตัวอย่างการวิเคราะห์ช่องโหว่ล่าสุดเมื่อต้นปีที่ผ่านมา แสดงให้เห็นว่ามีฟีเจอร์ในเคอร์เนลที่ยังอิมพลีเมนต์ไม่เสร็จ แต่โค้ดถูกรวมไปกับ iOS แล้ว และเข้าถึงจากตัว sandbox ของแอปพลิเคชั่นได้ การอิมพลีเมนต์ครึ่งๆ กลางๆ กลายเป็นช่องทางให้โค้ดมุ่งร้ายเจาะออกจาก sandbox ได้ในที่สุด

Tags:
Node Thumbnail

เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)

Tags:
Node Thumbnail

นักวิจัยจาก Kaspersky ค้นพบว่าแอปสแกนไฟล์เป็น PDF ชื่อดังอย่าง CamScanner เวอร์ชันฟรีถูกฝังมาด้วยโมดูล Trojan Dropper ที่เปิดทางให้แฮกเกอร์แอบดาวน์โหลดและติดตั้งไฟล์ได้จากทางไกลโดยที่เจ้าของเครื่องไม่รู้ Google ทราบเรื่องนี้และนำแอปออกจาก Play Store แล้ว

ปัญหานี้น่าจะไม่ได้เกิดจากตัว CamScanner โดยตรงแต่เกิดจากการที่นักพัฒนาของ CamScanner ไปใช้โมดูลโฆษณาภายนอกเจ้าหนึ่งซึ่งมาพร้อมโมดูล Trojan Dropper ตัวนี้ ซึ่งนักวิจัยจาก Kaspersky ระบุด้วยว่าเคยเจอโมดูลมัลแวร์ตัวนี้อยู่ในแอปที่ถูกติดตั้งมาในสมาร์ทโฟนราคาถูกจากจีน

แน่นอนว่าปัญหานี้เกิดจากการใช้ไลบรารีโฆษณาในเวอร์ชันฟรี ดังนั้นคนที่ใช้เวอร์ชันเสียเงินจะไม่ได้รับผลกระทบจากปัญหานี้ ส่วนคนที่ใช้ฟรีแนะนำให้ลบแอปออกไปก่อนครับ

Tags:
Node Thumbnail

สัปดาห์ก่อนประเด็นในแวดวงความปลอดภัยว่า Valve ปฏิเสธไม่รับแจ้งช่องโหว่ LPE ของ Steam Client ที่นักวิจัยแจ้งผ่านทาง HackerOne เพราะ Valve มองว่ากเป็นช่องโหว่ที่อยู่นอกสโคป ต้องวางไฟล์ในเครื่องเหยื่อก่อนจึงไม่เข้าข่ายที่จะรับรายงาน

ล่าสุด Valve แถลงการณ์ออกมายอมรับความผิดพลาดที่ปฏิเสธไม่รับแจ้งช่องโหว่ดังกล่าวแล้ว พร้อมแก้ไขกฎกติกาบน HackerOne ให้ครอบคลุมช่องโหว่ LPE และจะยอมรับการแจ้งช่องโหว่ลักษณะนี้แล้ว ขณะที่นักวิจัยที่เคยแจ้งช่องโหว่เหล่านี้มาก่อนหน้านี้ Valve ระบุว่าจะดำเนินการต่อไป

Pages