lew | Blognone

lew

Member for : Thu, 11/08/2005 - 11:15

[ทางโครงการปฎิเสธข่าวแล้ว] ช่องโหว่ VLC เปิดทางไฟล์ mkv มุ่งร้ายรันโค้ดในเครื่องเหยื่อ ยังไม่มีแพตช์

By lew

on 24 July 2019 - 11:32 Tag: VLC, Security

VLC

update: ทางโครงการออกมาปฎิเสธข่าวแล้ว

เมื่อเดือนที่แล้วมีรายงานถึงบั๊กของโครงการ VLC ที่ไฟล์ mkv ที่ออกแบบมาเฉพาะสามารถทำให้ VLC แครช และแสดงให้เห็นว่ามีบั๊ก buffer overflow นำไปสู่การรันโค้ดในเครื่องของเหยื่อในที่สุด

ผู้ใช้ที่ใช้ชื่อว่า topsec รายงานช่องโหว่นี้ทางช่องทางแจ้งบั๊กปกติ โดยไม่ได้ใช้ช่องทางรายงานช่องโหว่ความปลอดภัย ทำให้ข้อมูลช่องโหว่นี้อยู่บนเว็บ Trac ของโครงการ VLC เพิ่มความเสี่ยงเพราะข้อมูลช่องโหว่ออกสู่สาธารณะก่อนที่จะมีแพตช์

Docker แนะนำ 11 เทคนิคการเขียน Dockerfile

By lew

on 23 July 2019 - 20:28 Tag: Docker

Docker

Tibor Vass จาก Docker Inc ผู้พัฒนาโครงการ Docker เขียนบล็อคแนะนำถึง 10 เทคนิคในการเขียน Dockerfile ให้มีคุณภาพ

Dockerfile เป็นหัวใจสำคัญของการพัฒนาแบบคอนเทนเนอร์ มันเป็นสคริปต์สำหรับการสร้างอิมเมจคอนเทนเนอร์ที่เหมือนกับการติดตั้งซอฟต์แวร์ลงเซิร์ฟเวอร์ โดยการรันอิมเมจแต่ละครั้งจะคาดเดาได้ว่าสภาพแวดล้อมเป๋นอย่างไร

ไมโครซอฟท์จ่ายค่าปรับข้อหาพาเจ้าหน้าที่รัฐบาลและเอกชนในไทยและซาอุดิอาระเบียไปเที่ยว

By lew

on 23 July 2019 - 15:09 Tag: Microsoft, Government, SEC, Thai SEC

Microsoft

update: คำชี้แจงเพิ่มเติมจากไมโครซอฟท์ประเทศไทย ระบุกรณีของไทยไม่เกี่ยวกับเจ้าหน้าที่รัฐ

กรรมการกำกับหลักทรัพย์สหรัฐฯ (SEC) ประกาศปรับไมโครซอฟท์รวมกว่า 25 ล้านดอลลาร์สหรัฐฯ จากการทำผิดกฎหมายต่อต้านการคอรัปชั่นในต่างประเทศ (Foreign Corrupt Practices Act - FCPA) โดยมีระบุถึงการพาเที่ยวอย่างไม่เหมาะสมและการให้ของขวัญ แก่เจ้าหน้าที่รัฐและลูกค้าเอกชนในไทยด้วย

คดีแบ่งออกเป็นสามส่วนได้แก่

กูเกิลเปิดตัว Spinnaker for GCP รองรับ CI/CD ง่ายขึ้น

By lew

on 23 July 2019 - 08:13 Tag: Google Cloud, CI/CD

Google Cloud

Spinnaker เป็นแพลตฟอร์ม CI/CD สำหรับการดีพลอยซอฟต์แวร์ที่กูเกิลร่วมกันพัฒนากับเน็ตฟลิกซ์ ตอนนี้ Google Cloud Platform ก็รองรับ Spinnaker เต็มตัว ทำให้กระบวนการติดตั้งง่าย

กระบวนการติดตั้ง Spinnaker for GCP จะติดตั้งลงบน Google Kubernetes Engine และใช้ Cloud Memorystore for Redis กับ Cloud Load Balancing โดยกูเกิลระบุว่ากระบวนการติดตั้งจะลดลงเหลือไม่กี่คลิก แต่ได้ฟีเจอร์ระดับโปรดักชั่น เช่น ควบคุมการเข้าถึงผ่าน Cloud IAP, สำรองข้อมูลอัตโนมัติเป็นค่าเริ่มต้น, คอนฟิก Stackdriver ไว้แล้ว

เดือนนี้ยังล่มกันต่อเนื่อง GitHub ล่มครึ่งชั่วโมงแล้ว

By lew

on 22 July 2019 - 23:19 Tag: GitHub, Availability

GitHub

หลังจากเดือนนี้มีบริการใหญ่ๆ ล่มต่อเนื่องกันมาเรื่อยๆ ล่าสุด GitHub ก็ล่มไปแทบทั้งหมดแล้ว เมื่อครึ่งชั่วโมงที่ผ่านมา เหลือเฉพาะบริการ GitHub Pages และบริการ Notifications ที่ยังใช้งานได้ ส่วนบริการ Git ที่เป็นหัวใจหลักนั้น ล่มทั้งหมดบางช่วงเวลา และบางช่วงก็อยู่ในระดับ degraded ที่ไม่ตอบสนองบางส่วน

GitHub ล่มครั้งใหญ่เมื่อเดือนตุลาคมปีที่แล้วเป็นเวลาหลายชั่วโมง จากเหตุ MySQL แยกคลัสเตอร์ออกเป็นสองส่วนทำให้ข้อมูลไม่ตรงกัน แต่รอบนี้ยังอยู่ระหว่างการสอบสวน

ที่มา - GitHub Status

กูเกิลสร้างปัญญาประดิษฐ์ค้นหาภาพเนื้อเยื่อมะเร็ง ทำงานได้แม้ไม่ใช่ภาพทางการแพทย์ฝึก

By lew

on 22 July 2019 - 13:22 Tag: Artificial Intelligence, Google, Medical

Artificial Intelligence

กูเกิลรายงานการสร้างปัญญาประดิษฐ์ SMILY ที่เป็นโมเดล deep learning สำหรับการค้นหาภาพเนื้อเยื่อจากฐานข้อมูลมะเร็ง The Cancer Genome Atlas โดยความพิเศษคือ SMILY นั้นไม่ได้ฝึกด้วยภาพเนื้อเยื่อมะเร็งหรือภาพทางการแพทย์แต่อย่างใด

SMILY เป็นโมเดล deep learning ที่สร้างจากภาพทั่วไป เช่น ต้นไม้, สุนัข ฯลฯ จำนวนมากถึง 5,000 ล้านภาพ โดยโมเดลมีเอาท์พุตเป็นข้อมูลสรุปย่อของภาพ หรือ embedding

[ไม่ยืนยัน] Equifax เตรียมตั้งกองทุน 21,000 ล้านบาท ชดใช้เหยื่อข้อมูลหลุด 150 ล้านราย

By lew

on 22 July 2019 - 12:57 Tag: Equifax, Data Breach

Equifax

หนังสือพิมพ์ Wall Street Journal อ้างแหล่งข่าวไม่เปิดเผยตัว ระบุว่ากรรมการการค้าสหรัฐฯ ทำข้อตกลงกับบริษัท Equifax ให้ชดใช้ค่าเสียหายแก่เหยื่อจากเหตุข้อมูลหลุดเมื่อปี 2017 รวมเป็นเงินประมาณ 700 ล้านดอลลาร์สหรัฐฯ หรือ 21,000 ล้านบาท

เงินจำนวนนี้จะรวมถึงค่าใช้จ่ายที่ Equifax ต้องจ่ายเพื่อสร้างเว็บไซต์, ดำเนินการคอลเซ็นเตอร์ตอบคำถามผู้เสียหาย โดยจำนวนเงินที่จ่ายจริงจะขึ้นกับจำนวนผู้เสียหายที่เข้ามายื่นเรื่องของเงินชดเชย จากจำนวนผู้เสียหายทั้งหมดประมาณ 150 ล้านราย

Python 3.8 เพิ่มการใส่ค่าตัวแปรใน expression เตรียมออกเดือนตุลาคมนี้

By lew

on 22 July 2019 - 12:25 Tag: Python, Programming

Python

Python 3.8 มีกำหนดออกเดือนตุลาคมนี้ โดยตอนนี้อยู่ที่สถานะ beta 2 มีความเปลี่ยนแปลงฟีเจอร์หลายอย่าง แต่ที่สำคัญที่สุดคือการเพิ่มฟีเจอร์การตั้งค่าตัวแปรใน expression (Assignment Expressions หรือ PEP572 ทำให้สามารถตั้งค่าตัวแปรใน if statement ได้เลย

Rust มาแรง? ผลทดสอบประสิทธิภาพ Rustls พบเร็วกว่า OpenSSL 5-40% ไมโครซอฟท์ระบุน่าสนใจสำหรับงานต้องการความปลอดภัย

By lew

on 22 July 2019 - 00:12 Tag: Rust, Programming, Security

Rust

ภาษา Rust เป็นภาษาโปรแกรมที่เพิ่งสร้างขึ้นมาเมื่อปี 2010 โดยมอซิลล่า ผู้สร้างเบราว์เซอร์ไฟร์ฟอกซ์ ตอนนี้ได้รับความสนใจขึ้นมาอีกครั้ง เมื่อ Joseph Birr-Pixton ทีมงาน Rustls ทดสอบการส่งข้อมูลเข้ารหัส เทียบกับ OpenSSL ไลบรารีเข้ารหัสที่แทบจะเป็นมาตรฐานกลางสำหรับการเข้ารหัสในซอฟต์แวร์โอเพนซอร์ส แล้วพบว่าสามารถเอาชนะได้แทบทุกการทดสอบ ตั้งแต่ประสิทธิภาพไปจนถึงการใช้หน่วยความจำ

ผลทดสอบ TLS 1.3 TLS_AES_256_GCM_SHA384 นั้น ประสิทธิภาพการส่งข้อมูล Rustls เร็วกว่า OpenSSL อยู่ 13% ขณะที่ฝั่งรับเร็วกว่า 5.8% ขณะที่การใช้หน่วยความจำน้อยกว่า 54%

คาซัคสถานเตรียมดักฟังอินเทอร์เน็ตทั้งประเทศ เชื่อมต่ออินเทอร์เน็ตต้องติดตั้ง root CA รัฐบาล อ้างความปลอดภัยผู้ใช้

By lew

on 19 July 2019 - 16:11 Tag: Internet, Security, Kazakhstan

Internet

ผู้ให้บริการอินเทอร์เน็ตในคาซัคสถานเริ่มแจ้งเตือนผู้ใช้ให้ติดตั้งใบรับรอง root CA ของทางรัฐบาล โดยระบุเหตุผลว่าเพื่อความปลอดภัยของผู้ใช้งานธนาคารในประเทศ และการส่งข้อมูลจากแฮกเกอร์

ผู้ใช้ได้รับคำแนะนำให้ติดตั้งใบรับรอง root CA ของรัฐบาลบนเว็บ qca.kz โดยเว็บเป็น HTTP ไม่เข้ารหัส

โปรแกรมเมอร์ไมโครซอฟท์ถูกจับจากข้อหาใช้ซอฟต์แวร์จำลองเป็นลูกค้าซื้อบัตรของขวัญจากระบบไปขาย รวมมูลค่า 10 ล้านดอลลาร์

By lew

on 19 July 2019 - 14:12 Tag: Microsoft, Security

Microsoft

กระทรวงยุติธรรมสหรัฐฯ ออกจดหมายข่าวแถลงการจับกุม Volodymyr Kvashuk อดีตโปรแกรมเมอร์ชาวยูเครนที่ทำงานกับไมโครซอฟท์ในสหรัฐฯ โดยระบุว่าเขาใช้บัญชีจำลองลูกค้า สั่งซื้อบัตรของขวัญมูลค่ารวม 10 ล้านดอลลาร์

บัญชีจำลองใช้สำหรับทดสอบระบบ แม้จะสั่งสินค้าได้จริง แต่เมื่อสั่งสำเร็จแล้วสินค้าจะไม่ถูกส่งจริง แต่ระบบกลับไม่ได้ป้องกันการสั่งบัตรของขวัญ ทำให้ผู้ที่เข้าถึงบัญชีจำลองสามารถสั่งซื้อบัตรออกไปขายภายนอกได้

ระบบดาวเทียมนำทาง Galileo กลับมาแล้ว หลังล่มไปหนึ่งสัปดาห์ ยังสอบสวนหาสาเหตุอยู่

By lew

on 19 July 2019 - 12:52 Tag: Europe, Space, Satellite, EU

Europe

องค์การระบบดาวเทียมนำทางยุโรป (European GNSS Agency - GSA) ประกาศว่าระบบดาวเทียมนำทาง Galileo กลับมาใช้งานได้แล้ว หลังจากระบบล่มไปตั้งแต่สัปดาห์ที่แล้ว อย่างไรก็ดี ทาง GSA เตือนว่าผู้ใช้อาจจะพบเหตุการณ์ระบบผิดปกติบ้าง

แถลงล่าสุดทาง GSA ระบุว่าสาเหตุเกิดจากอุปกรณ์ในสถานีภาคพื้นดินขัดข้อง ทำให้ไม่สามารถคำนวณเวลาและทำนายวงโคจรของดาวเทียมในระบบได้แม่นยำ โดยหลังจากนี้จะตั้งกรรมการอิสระเข้ามาสอบสวนสาเหตุที่แท้จริงต่อไป

Chrome ประกาศปิดช่องทางตรวจจับ Incognito Mode เริ่มต้นสิ้นเดือนนี้

By lew

on 19 July 2019 - 12:02 Tag: Chrome, Privacy, Browser

Chrome

กูเกิลประกาศแก้ฟีเจอร์ใน Chrome เพื่อต่อต้านการตรวจจับการเข้าเว็บด้วยโหมด Incognito ที่หลายเว็บอาจขึ้นแจ้งเตือนได้ว่าผู้ใช้กำลังใช้โหมดนี้อยู่ โดยเริ่มต้นที่ Chrome 76 ที่มีกำหนดปล่อยสิ้นเดือนกรกฎาคมนี้

ที่ผ่านมาเว็บมักอาศัยการตรวจจับ FileSystem API ที่ในโหมด Incognito จะไม่สามารถเรียกใช้ได้ ทำให้เว็บรู้ว่าผู้ใช้กำลังเข้าเว็บด้วยโหมดนี้ แต่การปรับพฤติกรรม API ใหม่จะทำให้เว็บไม่สามารถตรวจจับได้อีกต่อไป

ไม่ใช่สำหรับโทรศัพท์? ผู้ก่อตั้งหัวเว่ยระบุ Hongmeng OS เหมาะกับอุปกรณ์ IoT

By lew

on 18 July 2019 - 19:32 Tag: Huawei, Operating System, Hongmeng

Huawei

มร.เหริน เจิ้งเฟย ผู้ก่อตั้งและประธานเจ้าหน้าที่บริหารหัวเว่ยให้ข้อมูลเพิ่มกับนิตยสาร Le Point ของฝรั่งเศสระบุว่ส Hongmeng OS (หงเหมิง) เป็นระบบปฎิบัติการเพื่ออุปกรณ์ IoT ที่ทนความหน่วงไม่ได้

ก่อนหน้านี้มีการพูดถึงชื่อหงเหมิงขึ้นมา เมื่อหัวเว่ยถูกตัดความสัมพันธ์จากกูเกิล ทำให้อนาคตของโทรศัพท์รุ่นต่อๆ ไปของหัวเว่ยเริ่มไม่ชัดเจน แม้ทางหัวเว่ยจะยืนยันว่าโทรศัพท์จะได้รับแพตช์ความปลอดภัยต่อไป และมีการประกาศอัพเดต Android Q ออกมาภายหลัง แต่การเปิดเผยข้อมูลครั้งนี้แสดงว่าหงเหมิงอาจจะเป็น realtime OS สำหรับงานเฉพาะด้านมากกว่า

กูเกิลแนะนำอีโมจิใหม่ใน Android Q: คนมีคู่ 71 แบบมีให้เลือกทั้งเพศและสีผิว, ภาพอาชีพต่างๆ เป็นกลางทางเพศมากขึ้น

By lew

on 18 July 2019 - 00:25 Tag: Emoji, Android 10

Emoji

กูเกิลฉลองวันอีโมจิโลก (World Emoji Day) ซึ่งเป็นวันที่ 17 กรกฎาคมของทุกปี โดยเปิดเผยภาพอีโมจิใหม่ๆ ที่กำลังจะเปิดใช้งานใน Android Q

ความเปลี่ยนแปลงสำคัญคือความเป็นกลางทางเพศมากขึ้น ภาพคนคู่ (couple) นั้นมีให้เลือกถึง 71 แบบ ผสมระหว่างเพศสภาพและสีผิวแบบต่างๆ รวมถึงภาพคนที่ไม่ระบุเพศสภาพ เช่นเดียวกับอาชีพหรือภาพที่คำบรรยายไม่ได้ระบุเพศ กูเกิลจะเลือกใช้ภาพที่ไม่แสดงถึงเพศของคนในภาพเช่นเดียวกัน โดยกูเกิลระบุว่าจะมีตัวเลือกให้ระบุเพศในคีย์บอร์ดอีกครั้ง

ภาพที่เพิ่มเข้ามาใหม่ เช่น ตัวสลอต, นาก, กระเทียม, วาฟเฟิล, คนคุกเข่า, สุนัขนำทาง, มีดโกน ฯลฯ

Cloudflare อธิบายเหตุล่ม Regular Expression "..=.*" พาล่มทั้งระบบ

By lew

on 17 July 2019 - 00:39 Tag: Cloudflare

Cloudflare

หลังจาก Cloudflare ล่มเมื่อต้นเดือนที่ผ่านมา โดยได้ชี้แจงเหตุไปแล้วว่าเกิดจากกฎไฟร์วอลล์ข้อเดียว ทางบริษัทก็ยังเขียนบล็อกรายงานถึงสาเหตุการล่มเพิ่มเติม โดยกฎไฟร์วอลล์ที่ว่านั้นมีกฎเต็มๆ ว่า

Arm เปิดโครงการ Flexible Access เปิดทางให้ผู้ผลิตรายเล็กเข้าถึงพิมพ์เขียวได้ทั้งหมด

By lew

on 16 July 2019 - 23:55 Tag: Arm, Semiconductor

Arm

กระบวนการผลิตชิป Arm แต่เดิมที่ค่าใช้จ่ายค่อนข้างสูง โดยต้องซื้อพิมพ์เขียวเป็นรุ่นๆ ก่อนจะนำมาผลิตแล้วจ่ายค่าใช้งานพิมพ์เขียวแต่ละรุ่นตามจำนวนผลิต ทำให้ผู้ผลิตรายเล็กที่ไม่มีกำลังจ่ายอาจจะไปใช้พิมพ์เขียวเจ้าอื่น ไปจนถึงพิมพ์เขียวโอเพนซอร์สอย่าง RISC-V ตอนนี้ทาง Arm ก็เปิดโครงการ Flexible Access เพื่อให้ผู้ผลิตรายเล็กเข้าถึงพิมพ์เขียวง่ายขึ้น

[แจ้งเตือน] การแก้ไขช่องโหว่ความปลอดภัยจากที่ได้รับรายงานจากนักวิจัยภายนอก

By lew

on 16 July 2019 - 13:58 Tag: Announcement, Blognone

Announcement

เมื่อวันอาทิตย์ที่ผ่านมา Blognone ได้รับรายงานจากคุณ Sarawut Hongsakul ถึงช่องโหว่ความปลอดภัยที่อาจจะกระทบกับผู้ใช้ โดยช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถสร้าง URL มุ่งร้าย เพื่อเปลี่ยนค่าใน HTTP header จากเซิร์ฟเวอร์ได้ โดยสาเหตุเกิดจากรูปแบบการคอนฟิก nginx ที่เปิดทางให้โจมตีเช่นนี้ได้

ผลกระทบจากช่องโหว่นี้ ทำให้แฮกเกอร์สามารถเปลี่ยนแปลงค่าใน HTTP header เช่น สั่งตั้งค่า cookie ใหม่โดยที่ไม่ได้มาจากตัวเว็บเอง ในบางกรณี ผู้ใช้อาจจะได้หน้าเว็บเพื่อหลอกลวงให้ใส่ข้อมูลสำคัญ โดยที่เป็นโดเมนของ Blognone เอง (phishing) แม้รูปแบบหน้าเว็บจะแปลกออกไป

เฟซบุ๊กเปิดซอร์ส Hermes เอนจินจาวาสคริปต์สำหรับรัน React Native บนแอนดรอยด์

By lew

on 15 July 2019 - 21:09 Tag: Facebook, React, Open Source, JavaScript

Facebook

เฟซบุ๊กประกาศเปิดซอร์สโครงการ Hermes JS Engine เอนจินจาวาสคริปต์สำหรับรันโค้ดบนโทรศัพท์มือถือ โดยเฉพาะแอนดรอยด์และเฟรมเวิร์ค React Native

จุดสำคัญของ Hermes คือมันไม่ได้โหลดโค้ดจาวาสคริปต์มาคอมไพล์ขณะที่รันครั้งแรกเหมือนเอนจินอื่นๆ แต่อาศัยการคอมไพล์ไว้ล่วงหน้าเป็นไบต์โค้ด เมื่อติดตั้งแอปแล้วตัวเอนจินจึงโหลดไบต์โค้ดมารัน ทำให้กระบวนการเปิดแอปเร็วขึ้น นอกจากความเร็วในการรันครั้งแรก Hermes ยังปรับการใช้หน่วยความจำให้ประหยัดหน่วยความจำขึ้น ลดเวลาการรัน garbage collection (GC) เพื่อให้แอปตอบสนองเร็ว

แบงก์ชาติอังกฤษประกาศให้ Alan Turing อยู่บนธนบัตร 50 ปอนด์ เริ่มออกธนบัตรใหม่ปลายปี 2021

By lew

on 15 July 2019 - 17:36 Tag: United Kingdom, Alan Turing

United Kingdom

แบงก์ชาติอังกฤษ (Bank of England) ประกาศว่า Alan Turing นักคณิตศาสตร์หนึ่งในผู้บุกเบิกวิชาทฤษฎีการคำนวณ (theory of computation) และผู้มีส่วนอย่างมากในการถอดรหัสเครื่องเข้ารหัส Enigma ของเยอรมัน เป็นภาพบนธนบัตร 50 ปอนด์รุ่นต่อไป

ภาพในธนบัตรรุ่นใหม่ประกอบไปด้วย