ทีม Project Zero ของกูเกิลเข้าตรวจสอบ AVG Web TuneUp ที่เป็นส่วนขยายสำหรับโครมที่ติดตั้งมาพร้อมกับ AVG AntiVirus พบว่ามีช่องโหว่ใน API จำนวนมาก

Tavis Ormandy ส่งอีเมลไป "ด่า" ทีมงาน AVG ว่าแทบทุก API ที่เขาตรวจสอบดูมีปัญหาสามารถแฮกได้โดยง่าย และช่องโหว่เหล่านี้กระทบผู้ใช้กว่า 9 ล้านคน ตัวอย่างย่อหน้าหนึ่งจากอีเมล เช่น

Apologies for my harsh tone, but I'm really not thrilled about this trash being installed for Chrome users. The extension is so badly broken that I'm not sure whether I should be reporting it to you as a vulnerability, or asking the extension abuse team to investigate if it's a PuP.

เราเห็นแนวโน้มชัดเจนว่าเทคโนโลยีกำลังวิ่งไล่เปลี่ยนแปลงอุตสาหกรรมดั้งเดิมโดยไม่มีข้อยกเว้น ตัวอย่างที่เราพูดถึงกันบ่อยๆ คือ Airbnb ที่เปลี่ยนแปลงวงการโรงแรม และ Uber ที่เปลี่ยนวงการคมนาคม แต่เราก็ยังมีอุตสาหกรรมอื่นๆ อีกมากที่กำลังปรับตัวเพราะเทคโนโลยี รวมถึงวงการที่หลายคนอาจนึกไม่ถึงอย่าง "บริษัทรักษาความปลอดภัย" (รปภ.) ที่นำไอทีมาใช้เยอะกว่าที่คิด

ผมมีโอกาสฟังคุณ Terence Yap ซีอีโอของบริษัทรักษาความปลอดภัย Guardforce จากฮ่องกง ไปพูดที่งาน Rise Conference 2015 ในหัวข้อการนำเทคโนโลยีมาใช้งาน พอได้คุยหลังเวที ทราบว่า Guardforce มีธุรกิจที่เมืองไทยด้วย เลยนัดสัมภาษณ์กันอีกรอบที่เมืองไทยเพื่อรายละเอียดที่ดียิ่งขึ้น

ช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันในเซิร์ฟเวอร์ของ Joomla! รอบล่าสุดร้ายแรงเป็นพิเศษเพราะแฮกเกอร์โจมตีก่อนจะมีแพตช์หลายวัน ตอนนี้ช่องโหว่เปิดเผยต่อสาธารณะมาหลายวันแล้วทาง Symantec ก็ออกมารายงานว่าปริมาณการโจมตียังคงสูง

ปริมาณการโจมตีที่ Symantec ตรวจพบแต่ละวันเฉลี่ยสูงกว่า 16,000 ครั้ง

รายงานนี้ตรงกับ รายงานแรกของ Securi ที่เตือนตั้งแต่ครั้งแรกว่าเซิร์ฟเวอร์ล่อทั้งหมดถูกโจมตี แสดงว่าการโจมตีเป็นวงกว้างไปแล้ว

ที่มา - Symantec

Livestream ผู้ให้บริการถ่ายทอดสดออนไลน์ซึ่งได้รับความนิยมตัวหนึ่ง แจ้งผู้ใช้ผ่านอีเมลว่าผู้ไม่ประสงค์ดีสามารถเข้าถึงฐานข้อมูลบริษัทบางส่วน เช่นชื่อ อีเมล วันเกิด เบอร์โทรศัพท์ และรหัสผ่านที่ถูกเข้ารหัสไว้ (แต่ไม่ได้บอกวิธีการเข้ารหัส)

ผู้ใช้ที่ไม่แน่ใจว่าตัวเองเคยสมัคร Livestream ควรตรวจสอบว่าได้อีเมลแจ้งเตือนหรือไม่ และปฏิบัติตามคำแนะนำในอีเมลโดยด่วนที่สุดหากได้รับแจ้ง

มาตรการความปลอดภัยที่สำคัญประการหนึ่งคือการไม่ใช้รหัสผ่านซ้ำกันในแต่ละบริการ ซึ่งช่วยลดความเสี่ยงเมื่อบริการใดบริการหนึ่งถูกเจาะได้

ที่มา: อีเมลประชาสัมพันธ์ท้ายข่าว

บริษัท Hyatt Hotels Corporation กลุ่มผู้ดำเนินการกิจการโรงแรมในเครือ Hyatt ออกมาเปิดเผยว่าระบบคอมพิวเตอร์ที่รันระบบประมวลการจ่ายเงินถูกโจมตีด้วยมัลแวร์ แต่ทาง Hyatt ไม่ได้เปิดเผยว่าข้อมูลมีการรั่วไหล หรือได้รับผลกระทบอย่างใดบ้าง

ทางโรงแรมระบุแต่เพียงว่า ได้เข้าแก้ไขระบบ รวมถึงว่าจ้างผู้เชี่ยวชาญด้าน cyber security เข้ามาสืบสวน และยกระดับมาตรการความปลอดภัยของระบบทันทีที่รู้ว่าถูกโจมตี อย่างไรก็ตาม Hyatt ได้แนะนำให้ลูกค้าตรวจสอบบันทึกทางการเงิน และรายงานความผิดปกติต่างๆ ให้กับธนาคารในทันที

Hyatt เป็นกลุ่มผู้ดำเนินธุรกิจโรงแรมอีกราย ที่ถูกโจมตีทางไซเบอร์ ถัดจากโรงแรมในเครือ Hilton และ Starwood ที่โดนเจาะไปเมื่อเดือนที่แล้ว

ช่วงหลังๆ เราเห็นพฤติกรรมของซอฟต์แวร์จำพวก adware เริ่มซับซ้อนมากขึ้น ตัวอย่างที่ชัดเจนคือกรณี Superfish ที่เกิดกับคอมพิวเตอร์ Lenovo ที่ใช้เทคนิคฝังตัวเองลงในเครื่อง แล้วทำตัวเป็นคนกลาง (man-in-the-middle) แทรกโฆษณาเข้ามาในการติดต่อระหว่างผู้ใช้กับเซิร์ฟเวอร์ปลายทาง

ไมโครซอฟท์ในฐานะเจ้าของระบบปฏิบัติการ จึงเริ่มปรับนโยบายการนิยามคำว่า adware ใหม่ให้ครอบคลุมกรณีแบบนี้ด้วย โดยระบุว่า adware บนเบราว์เซอร์จะต้องใช้ช่องทางการติดตั้งส่วนขยายตามปกติของเบราว์เซอร์เท่านั้น เพื่อยืนยันว่าผู้ใช้ต้องการใช้งานโฆษณารูปแบบนี้จริงๆ และผู้ใช้สามารถลบทิ้งได้เองโดยง่าย

หลังเหตุการณ์โค้ดไม่ทราบที่มาเข้าไปอยู่ใน ScreenOS ของ Juniper ตอนนี้ทางซิสโก้ก็ออกมาประกาศการตรวจสอบโค้ดซ้ำเพื่อยืนยันว่าไม่มีโค้ดที่ไม่ได้รับอนุญาตอยู่ในระบบ และไม่มีช่องโหว่ที่ยังไม่เคยพบ

ซิสโก้ระบุว่ากระบวนการปกติของบริษัทก็น่าจะแน่นหนาพอสำหรับความปลอดภัยและความน่าเชื่อถือ แต่บริษัทก็สมัครใจเริ่มโครงการตรวจสอบโค้ดนี้เอง โดยจะอาศัยวิศวกรที่เข้าใจเครือข่ายและวิทยาการเข้ารหัสลับเป็นอย่างดี หากพบประเด็นใดๆ ในการตรวจสอบก็จะเปิดเผยออกมาภายหลัง

ช่องโหว่ของไฟร์วอลล์ Juniper ที่ทางบริษัทรายงานออกมาเองมีสองช่องโหว่สำคัญ ช่องโหว่รหัสผ่านลับนั้นนักวิจัยสามารถวิเคราะห์หารหัสผ่านลับออกมาได้แล้ว อีกช่องโหว่หนึ่งคือช่องโหว่ VPN ที่ผู้ที่ดักฟังการเชื่อมต่อได้จะสามารถถอดรหัสออกมาได้

กระบวนการเข้ารหัส VPN ของ ScreenOS นั้นอาศัยการสร้างเลขสุ่มเทียมสองชั้น คือ Dual_EC ซึ่งถูกตั้งข้อสงสัยมาตั้งแต่สมัยที่ Snowden เปิดเผยข้อมูล ว่า NSA อาจจะจงใจออกแบบให้มีช่องโหว่ โดยเฉพาะแนวทางการเลือกค่าคงที่ที่ไม่เปิดเผยว่าได้มาอย่างไร นักวิจัยของไมโครซอฟท์เคยเสนอไว้ว่าหากค่าคงที่ถูกออกแบบไว้เฉพาะ หากใครสังเกตเห็นค่าสุ่ม 30 ไบต์ก็สามารถคำนวณหาค่ากุญแจเริ่มต้นสำหรับการสร้างเลขสุ่มเทียมได้โดยง่าย

เว็บกลุ่มแฟนคลับ Hello Kitty เช่น sanriotown.com, hellokitty.com, hellokitty.com.my, hellokitty.com.sg, hellokitty.in.th, และ mymelody.com ทำข้อมูลผู้ใช้รั่วออกมา 3.3 ล้านรายการ

ข้อมูลที่หลุดออกมาได้แก่ ชื่อ-นามสกุล, เพศ, วันเกิด, ประเทศ, อีเมล, รหัสผ่านที่แฮชด้วย SHA-1, คำถามรีเซ็ตรหัสผ่าน

รายงานระบุว่าข้อมูลหลุดออกมาเพราะการคอนฟิก MongoDB ผิดพลาด ทาง Sanrio ระบุว่ากำลังสอบสวนเรื่องนี้อยู่

ที่มา - CSO Online

คณะกรรมการการค้าสหรัฐฯ (FTC) ตกลงยอมความกับออราเคิลในคดีความปลอดภัยของจาวา เนื่องจากการเตือนความปลอดภัยขณะอัพเดตไม่เพียงพอ

FTC ระบุว่าตัวติดตั้งจาวาไม่เตือนผู้ใช้อย่างเพียงพอว่ามีจาวาเวอร์ชั่นเก่าอยู่ในเครื่องและยังเป็นช่องโหว่ความปลอดภัย แต่ถอนการติดตั้งเพียงเวอร์ชั่นล่าสุดเท่านั้น

ข้อเสนอของ FTC จะบังคับให้ออราเคิลต้องปรับกระบวนการอัพเดตโดยเตือนผู้ใช้อย่างชัดเจนถึงอันตรายของการติดตั้งเวอร์ชั่นเก่า และมีทางเลือกให้ผู้ใช้ถอนการติดตั้งได้โดยง่าย นอกจากนี้ยังบังคับให้ออราเคิลประกาศผลการตกลงนี้ทางช่องทางเครือข่ายสังคมออนไลน์ของบริษัท

ตอนนี้ข้อเสนอผ่านมติ FTC เรียบร้อยแล้ว และกำลังจะเปิดรับฟังความคิดเห็นต่อไป

สืบเนื่องจากการวิเคราะห์เฟิร์มแวร์ที่มีการฝังช่องทางลับไว้ซึ่งนำไปสู่การค้นพบและเป็นช่องโหว่ด้านความปลอดภัย และยังนำไปสู่การค้นพบรหัสผ่านสำหรับการเข้าถึงช่องทางลับดังกล่าว ผลจากการสแกนด้วยเครื่องมือต่าง ๆ อาทิ SHODAN และ Censys พบว่ามีอุปกรณ์ที่มีการใช้งาน Juniper ScreenOS กว่า 200 รายการในไทยที่อาจถูกโจมตีได้ผ่านทางการใช้รหัสผ่านและช่องโหว่ดังกล่าว ซึ่งส่วนมากเป็นอุปกรณ์ของผู้ให้บริการอินเตอร์เน็ตและเครือข่าย รวมไปถึงไอพีของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารก็อาจตกเป็นเป้าหมายด้วย

ช่องโหว่ Juniper ScreenOS ที่ถูกฝังอยู่ในไฟร์วอลล์มานาน ก่อนหน้านี้ทาง Fox IT ออกมาระบุว่าใช้เวลาเพียง 6 ชั่วโมงในการหารหัสผ่านลับ ตอนนี้ทาง Rapid 7 ก็ออกมาเปิดเผยรหัสผ่านนี้สู่สาธารณะ

รหัสผ่าน "<<< %s(un='%s') = %u" ถูกฝังไว้ในโค้ด คาดว่าตัวรหัสผ่านถูกออกแบบให้เหมือนฟอร์แมตสตริงล็อกอื่นๆ เพื่อหลีกเลี่ยงความสงสัย การทดสอบรหัสผ่านนี้สามารถทำได้โดยพยายามล็อกอิน SSH หรือ Telnet ด้วยชื่อผู้ใช้ในระบบบัญชีใดก็ได้ และเมื่อล็อกอินสำเร็จจะได้ shell ที่เข้าถึงสิทธิ์ระดับสูงสุดทันที

ถึงตอนนี้ใครยังชะล่าใจไม่อัพเดตก็มีเหตุให้คิดใหม่กันอีกทีครับ

กำหนดการยกเลิกรองรับ SHA-1 ถูกวางไว้ตั้งแต่ปีที่แล้ว ตอนนี้ทาง Chrome เริ่มแจ้งเตือนว่าการบังคับตามกำหนดเวลาเดิมจะเริ่มใน Chrome 48 ที่จะขึ้นหน้าแจ้งเตือนทุกเว็บที่ใบรับรองใช้ SHA-1 และใบรับรองออกในปี 2016

ขั้นต่อไปของการยกเลิกใบรับรอง SHA-1 คือการบล็อคอย่างสมบูรณ์ในปี 2017 หรืออาจจะเลื่อนขึ้นมาเดือนกรกฎาคม 2016 โดยจะเปลี่ยนจากหน้าจอเตือนความไม่ปลอดภัย กลายเป็นการบล็อคและระบุเหตุผลว่าการเชื่อมต่อมีปัญหา

นอกจากใบรับรอง SHA-1 แล้ว Chrome 48 จะยกเลิกการเข้ารหัสแบบ RC4 ทั้งหมด พร้อมกับแนะนำให้เปลี่ยนไปใช้การเข้ารหัส AES-128 GCM แทน

ที่มา - Google Online Security

PCI SSC หน่วยงานผู้ออกมาตรฐานความปลอดภัย PCI DSS ประกาศเลื่อนการบังคับให้หน่วยงานที่ได้รับรองเลิกใช้ SSL ทุกรุ่น และ TLS 1.0 แล้วหันไปใช้ TLS 1.1 ไปอีกสองปี จากเดิมกำหนดเส้นตายไว้เดือนมิถุนายน 2016 เป็นเดือนมิถุนายน 2018

ทาง PCI SSC ระบุว่าได้รับเสียงแสดงความเห็นจากอุตสาหกรรม ระบุว่าระยะเวลาเปลี่ยนเทคโนโลยีน้อยเกินไปเพราะบริการบางรายเชื่อมต่อกับลูกค้านับพันราย และยังมีประเด็นการปรับเปลี่ยนใบรับรองให้เลิกใช้ใบรับรอง SHA-1 ภาระของผู้ให้บริการรับจ่ายเงินจึงมากอยู่แล้ว

โค้ดลับในไฟร์วอลล์ของ Juniper Networks ถูกฝังโค้ดลับเอาไว้ทำให้แฮกเกอร์สามารถล็อกอินด้วยสิทธิ์ผู้ดูแลระบบได้หากรู้รหัสผ่านลับ วันนี้ทาง CNN ก็รายงานว่า FBI กำลังเข้าตรวจสอบโค้ดนี้ เพราะอาจจะถูกฝังมาเพื่อเจาะเครือข่ายของรัฐบาลได้

ตอนนี้ยังไม่แน่ชัดว่ามีหน่วยงานรัฐบาลใดบ้าง ทางกระทรวงความมั่นคง (Department of Homeland Security) ระบุว่ากำลังค้นหาอยู่ว่ามีหน่วยงานใดใช้ ScreenOS อยู่บ้าง

Ronald Prins จากบริษัทความปลอดภัย Fox IT ระบุว่าบริษัทใช้เวลาเพียง 6 ชั่วโมงในการหารหัสผ่านลับนี้ ทำให้ตอนนี้เราคาดเดาได้ว่าจะมีคนรู้รหัสผ่านนี้จำนวนมากแล้ว ผู้ดูแลระบบควรเร่งแพตช์ช่องโหว่นี้โดยเร็ว

ฟีเจอร์ Security Panel จะเป็นฟีเจอร์ใหม่ที่กำลังจะถูกเพิ่มใน Chrome รุ่น 48 ซึ่งจะช่วยในการแสดงรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS และปัญหาที่อาจส่งผลต่อความน่าเชื่อถือของเว็บไซต์ให้สามารถเข้าใจได้ง่ายมากขึ้น

ในการตรวจสอบรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS นั้น มีปัญหาในเรื่องของความไม่ชัดเจนในบางกรณี เช่น การเรียกวัตถุทรัพยากรใดๆ ผ่านโปรโตคอล HTTP ซึ่งไม่ได้มีการระบุอย่างชัดเจนถึงวัตถุหรือทรัพยากรนั้นว่าคืออะไร หรือในเรื่องของการให้ข้อมูลซึ่งยากต่อการทำความเข้าใจต่อผู้ใช้งานทั่วไป

ไมโครซอฟท์มีฟีเจอร์ SmartScreen ช่วยให้ผู้ใช้ IE, Edge และ Windows ปลอดภัยจากมัลแวร์และเว็บไซต์หลอกลวง (phishing) มาได้สักระยะแล้ว (ฟีเจอร์นี้เหมือนกับ Google Safe Browsing ของฝั่งกูเกิล)

ล่าสุดไมโครซอฟท์ขยายความสามารถของ SmartScreen ให้เตือนภัยเว็บไซต์ที่พยายามเจาะเครื่องผู้ใช้งานผ่านช่องโหว่ 0-days ของซอฟต์แวร์บนเครื่อง (เช่น Flash/Java) ด้วย โดยไมโครซอฟท์ใช้วิธีเทียบ URL ของเว็บไซต์ที่เราเข้าชมกับฐานข้อมูลความปลอดภัยของไมโครซอฟท์เอง ถ้าหากพบว่าเป็นเว็บอันตราย หน้าเว็บจะไม่ถูกโหลดและเรนเดอร์ (เพราะเรนเดอร์ปุ๊บ โดนเจาะทันที) แต่จะแสดงหน้าจอเตือนภัยสีแดงแทน

Juniper Networks ประกาศอัพเดตนอกรอบ เนื่องจากตรวจสอบโค้ดของ ScreenOS รุ่น 6.2.0r15 ถึง 6.2.0r18 และ 6.3.0r12 ถึง 6.3.0r20 พบว่ามีโค้ดที่ไม่ได้รับอนุญาตโผล่เข้ามา โค้ดนี้จะเปิดช่องทางให้คนที่รู้ช่องโหว่สามารถล็อกอินด้วยผู้ใช้ "system" เข้ามาในระบบได้ ขณะที่อีกช่องโหว่หนึ่งเปิดช่องให้แฮกเกอร์สามารถถอดรหัสการเชื่อมต่อ VPN ได้

ช่องโหว่นี้ถูกจัดระดับความร้ายแรง CVSS อยู่ที่ 9.8 คะแนนเป็นระดับวิกฤติ ผู้ดูแลระบบควรอัพเดตไปใช้ ScreenOS รุ่นล่าสุดโดยเร็ว

ยังไม่มีความชัดเจนว่าโค้ดเหล่านี้ถูกใส่เข้าไปใน ScreenOS ได้อย่างไร แต่ทาง Juniper ระบุว่าไม่พบช่องโหว่แบบเดียวกันในอุปกรณ์ที่ใช้ Junos แต่อย่างใด

Dell เตรียมแยกบริษัทความปลอดภัย SecureWorks ที่ซื้อมาในปี 2011 เป็นบริษัทอิสระ และจดทะเบียนขายหุ้น IPO ในตลาดหลักทรัพย์ NASDAQ ของสหรัฐปีหน้า (ใช้ตัวย่อว่า SCWX)

SecureWorks มีผลิตภัณฑ์ด้านความปลอดภัยหลากหลาย ทั้งระบบตรวจสอบมัลแวร์ และบริการที่ปรึกษารวมถึงทดสอบ-ประเมินความเสี่ยง (testing and assessments)

เหตุผลสำคัญที่ Dell เตรียมขายหุ้น SecureWorks ออกไปก็เพื่อระดมทุนเข้ามาใช้ซื้อกิจการ EMC ซึ่งต้องใช้เงินจำนวนมาก และคาดว่าเราอาจเห็น Dell ทยอยขายกิจการบริษัทอื่นๆ ในเครือเพิ่มเติมด้วย (บริษัทที่มีชื่อปรากฏว่าอาจโดนขายคือ Perot Systems ที่รับงานเอาต์ซอร์สระบบไอที)

กูเกิลประกาศปรับวิธีการทำดัชนีการค้นหา โดยจะพยายามมองหา URL ที่เป็น HTTPS แทน HTTP ก่อนเสมอ และถ้าพบว่า URL นั้นมีเนื้อหาเหมือนกัน (ต่างกันแค่ S) ก็จะแสดงผลการค้นหาที่เป็น HTTPS เป็นค่าดีฟอลต์

มีบางกรณียกเว้นที่กูเกิลจะไม่แสดงลิงก์ HTTPS ของ URL นั้น เช่น ถูกบล็อคโดยไฟล์ robots.txt ของเว็บไซต์ หรือมี noindex อยู่ใน meta tag

กูเกิลแนะนำให้เจ้าของเว็บไซต์ควรรองรับ HTTPS กันได้แล้ว และควร redirect เว็บเพจที่เป็น HTTP ให้กลายเป็น HTTPS รวมถึงใส่ header HSTS ไว้ที่เว็บเซิร์ฟเวอร์ด้วย

Project Zero ของกูเกิลแจ้งเตือนว่าเซิร์ฟเวอร์ตรวจสอบข้อมูลของ FireEye มีช่องโหว่ทำให้แฮกเกอร์สามารถส่งโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ ช่องโหว่นี้มีความร้ายแรงสูงและทาง FireEye ปล่อยอัพเดตตั้งแต่ไม่กี่ชั่วโมงหลังได้รับแจ้ง หากใครไม่ได้เปิดระบบอัพเดตอัตโนมัติไว้ควรเร่งอัพเดต

ช่องโหว่อยู่ในส่วนการตรวจสอบไฟล์ .jar ของ FireEye ที่ดีคอมไพล์โค้ดออกมาตรวจสอบ และหากพบว่าโค้ดมีความพยายามซ่อนสตริง ตัวดีคอมไพล์จะพยายามรันโค้ดเพื่อดึงเอาสตริงออกมา แนวทางนี้กลายเป็นช่องทางให้แฮกเกอร์สามารถสร้างไฟล์ jar เพื่อกระตุ้นให้ FireEye รันโค้ดที่ต้องการ

การโจรกรรมข้อมูลผ่านการกระจายมัลแวร์บนอินเทอร์เน็ตไม่ใช่เรื่องแปลกในสมัยนี้แต่อย่างใด แต่สิ่งที่เราไม่เคยรู้คือกลุ่มคนที่เผยแพร่มัลแวร์ดังกล่าวได้ค่าตอบแทนไปมากแค่ไหนจากความพยายามเหล่านี้ ล่าสุดมีรายงานเกี่ยวกับเรื่องนี้ออกมาแล้ว

Joomla! รายงานช่องโหว่ remote code execution จากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

Securi รายงานพบการโจมตีครั้งแรกเมื่อวันที่ 12 ธันวาคมที่ผ่านมา และจนตอนนี้เกือบทุกเว็บไซต์และเว็บล่อที่บริษัทวางไว้กำลังถูกโจมตีช่องโหว่นี้ทั้งหมด ทำให้อนุมานได้ว่าตอนนี้แฮกเกอร์กำลังโจมตีเป็นวงกว้าง ถ้าใครยังใช้รุ่นที่มีช่องโหว่อยู่ก็อาจจะตกเป็นเหยื่อในไม่ช้า

ทางแก้ตอนนี้คือทุกคนควรอัพเดตไปใช้ Joomla! 3.4.6 ทันที

VeriSign CA ที่ดำเนินการโดย Symantec ประกาศยกเลิก "Class 3 Public Primary Certification Authority" สำหรับการใช้งานเว็บ ซึ่งเป็น root CA ที่ใช้งานมาตั้งแต่ปี 1996 จากเดิมที่ใบรับรองจะหมดอายุในวันที่ 8 กุมภาพันธ์ 2028 แต่คาดว่า Symantec ไม่ได้ออกใบรับรองใดๆ ด้วย CA นี้นานแล้ว จึงไม่น่ามีผลกระทบ

ใบรับรองนี้เป็นใบรับรองที่ยังใช้ RSA 1024 ซึ่งในสมัยปี 1996 ถือว่ามีความแข็งแรงเพียงพอต่อการใช้งาน แต่เมื่อเวลาผ่านไป RSA 1024 กลับเสี่ยงต่อการถูกถอดรหัสได้เร็วกว่าที่คาดไว้ในยุคนั้น ใบรับรองสมัยใหม่ถูกแนะนำให้ใช้งาน RSA 2048/4096 หรือใช้กระบวนการเข้ารหัสแบบ elliptic curve แทนที่

Valve ออกมาประกาศปรับเปลี่ยนนโยบายเพื่อความปลอดภัยสำหรับการแลกเปลี่ยนไอเทม และการ์ดของเกมในแพลตฟอร์ม Steam หลังจากสถิติการถูกโกงเพิ่มขึ้นอย่างต่อเนื่อง ด้วยการไอเทมในเกมมีมูลค่าเป็นเงินจริง บางชิ้นเรียกได้ว่าแพงเอาเรื่องอีกด้วย

จากสถิติที่ Valve ออกมาเปิดเผย ในช่วงที่ผ่านมีการโกงการแลกเปลี่ยนใน Steam เพิ่มขึ้นราว 20 เท่าตัว หรือประมาณ 77,000 บัญชีต่อเดือน ถึงกับเคลมว่าทุกบัญชี Steam ที่เคยแลกเปลี่ยนไอเทมในระบบก็มีความเสี่ยงจะถูกแฮกได้แล้ว