lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

แพตช์ PHPMailer ไม่สมบูรณ์ แฮกเกอร์โจมตีช่องโหว่ได้อีกครั้ง อัพเกรดเป็นรุ่น 5.2.20 ด่วน

By lew

on 28 December 2016 - 23:25 Tag: Security, PHP

Security

ช่องโหว่ระดับวิกฤติของ PHPMailer เพิ่งแพตช์ไปเมื่อวันก่อน ตอนนี้มีแฮกเกอร์พบว่าแพตช์ในรุ่น 5.2.17 ที่ผ่านมายังไม่สมบูรณ์ ทำให้แฮกเกอร์สามารถโจมตีช่องโหว่เดิมได้อีกครั้ง หมายเลขประจำช่องโหว่ใหม่เป็น CVE-2016-10045

ทาง PHPMailer ออกเวอร์ชั่นล่าสุด 5.2.20 เมื่อสามชั่วโมงที่ผ่านมา (มีเวอร์ชั่น 5.2.21 ที่แก้ไขไฟล์ข้อมูลเล็กน้อย ไม่เกี่ยวกับช่องโหว่) ผู้ดูแลที่ซอฟต์แวร์ที่ใช้ PHPMailer ควรอัพเดตโดยเร็ว

พัฒนาการแห่งการดักฟัง mitmproxy ออกรุ่น 1.0.0 แล้ว

By lew

on 27 December 2016 - 10:59 Tag: Open Source, Development

Open Source

mitmproxy ซอฟต์แวร์สำหรับคั่นกลางการเชื่อมต่อเพื่อตรวจสอบปัญหาซอฟต์แวร์ และรองรับการดักฟังการเชื่อมต่อเข้ารหัส (วิธีใช้) ออกรุ่น 1.0.0 แล้ว หลังจากพัฒนามา 6 ปี

ในเวอร์ชั่นนี้ฟีเจอร์สำคัญที่สุดคือ mitmweb หน้าจอแสดงข้อมูลการเชื่อมต่อผ่านเว็บทำให้ดูข้อมูลได้ง่ายขึ้น ส่วนการปรับปรุงอื่นๆ เช่น การรองรับ Python 3 เต็มรูปแบบ, ทำงานร่วมกับวินโดวส์ได้ดีขึ้น, เปลี่ยนคอนฟิกเป็นไฟล์ YAML, และรองรับโปรโตคอลใหม่ๆ อย่าง HTTP/2 และ WebSocket

PHPMailer มีช่องโหว่ระดับวิกฤติ มีการโจมตีแล้ว อัพเดตเป็นเวอร์ชั่น 5.2.18 ขึ้นไปโดยด่วน

By lew

on 27 December 2016 - 08:54 Tag: Security, PHP

Security

PHPMailer ไลบรารีสร้างและส่งอีเมล มีช่องโหว่ระดับวิกฤติที่เปิดทางให้แฮกเกอร์สามารถรันโค้ดใดๆ บนเซิร์ฟเวอร์ได้ ตัวไลบรารีถูกใช้งานบนเว็บไซต์มากกว่า 9 ล้านเว็บทั่วโลก ทำให้ตอนนี้เว็บจำนวนมากตกอยู่ในความเสี่ยง

ช่องโหว่ CVE-2016-10033 รายงานโดย Dawid Golunski เมื่อสองวันก่อน ตัวช่องโหว่ถูกจัดความเสี่ยงโดยทีมความปลอดภัยซอฟต์แวร์ของ Drupal ไว้ที่ระดับ 23/25 จากการโจมตีที่เข้าถึงได้ง่าย และมีการโจมตีในโลกความเป็นจริงแล้ว

NIST เปิดรับอัลกอริทึมเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม

By lew

on 24 December 2016 - 11:13 Tag: NIST, Quantum Computer, Quantum Cryptography

NIST

NIST ประกาศตั้งแต่เดือนสิงหาคมที่ผ่านมาว่าจะเริ่มกระบวนการสรรหาอัลกอริทึมเข้ารหัสสำหรับหลังยุคคอมพิวเตอร์ควอนตัม ตอนนี้กติกาการแข่งขันก็เสร็จสิ้นแล้ว ถึงเวลาเปิดรับอัลกอริทึมจากนักวิจัยกันต่อไป

อัลกอริทึมที่เข้าแข่งขันต้องเข้ามาตรฐาน FIPS 186-4 ที่เป็นอัลกอริทึมสำหรับการสร้างลายเซ็นดิจิตอล และมาตรฐาน SP-800-56A และ SP-800-56B อัลกอริทึมเข้ารหัสลับแบบกุญแจลับ-กุญแจสาธารณะ

การเสนออัลกอริทึมในชั้นแรกจะสิ้นสุดกำหนดในเดือนพฤศจิกายน 2017 นี้

Python 3.6 ออกแล้ว เพิ่มรูปแบบการฟอร์แมตสตริง, ตัวเลขใส่ขีดล่างได้, รองรับการทำงาน asynchronous เพิ่ม

By lew

on 24 December 2016 - 01:53 Tag: Python, Programming, Open Source

Python

Python ออกเวอร์ชั่น 3.6 หลังออกเวอร์ชั่น 3.5 มาตั้งแต่กันยายนปีที่แล้ว ในเวอร์ชั่นนี้มีฟีเจอร์สำคัญๆ เพิ่มเข้ามาหลายอย่าง

ฟีเจอร์ที่คนทั่วไปจะเห็นชัดที่สุดคือการฟอร์แมตสตริงแบบใหม่ โดยสั่งเรียกตัวแปรจากในสตริงได้เลย ซึ่งใน bash หรือ ruby มีใช้กันอยู่แล้ว แต่สำหรับ Python ผู้ที่ต้องการใช้งานจะต้องประกาศสตริงเป็นแบบ f คล้าย unicode หรือ raw ที่ต้องประกาศคล้ายๆ กัน ฟีเจอร์ต่อมาคือการใช้ขีดล่าง (_) เพื่อแยกกลุ่มตัวเลขออกจากกัน เพิ่มความสะดวกในการเขียนตัวเลขขนาดใหญ่ๆ เช่น 100_000

Soniktech E-paper หน้าจอแบบไม่กินไฟราคา 25 ดอลลาร์

By lew

on 23 December 2016 - 21:17 Tag: E-paper, Internet of Things

E-paper

การพัฒนาอุปกรณ์ IoT มีที่มีข้อจำกัดเรื่องพลังงานมากๆ จะพบกับความลำบากในการแสดงผลที่ส่วนมากต้องการพลังงานตลอดเวลา หน้าจอ E-paper ของ Soniktech อาจจะเป็นตัวเลือกสำหรับนักพัฒนา

หน้าจอขนาด 48 มิลลิเมตร * 26 มิลลิเมตร ความละเอียด 208*112 พิกเซล ใช้ไฟฟ้า 3.3V และรับคำสั่งจากซีพียูด้วยสัญญาณ SPI

ทาง Soniktech ระบุว่ากระบวนการผลิตสำเร็จไปแล้วล็อตแรก และระหว่างที่ระดมทุนนี้ก็กำลังเตรียมการเปิดสายการผลิตโดย MacroFab

บอร์ดมีสามรุ่น รุ่นไม่ได้บัดกรีขาราคา 25 ดอลลาร์ ไปจนถึงรุ่นมาพร้อมกับบอร์ด Teensy-LC ราคา 50 ดอลลาร์ ค่าส่งทั่วโลก 5 ดอลลาร์

อดีตหัวหน้าฝ่ายวิศวกรรมกูเกิลอธิบายเหตุผลที่กูเกิลไม่ใช้ Agile

By lew

on 23 December 2016 - 12:37 Tag: Google, Agile, Development

Google

กระบวนการพัฒนาแบบ Agile ที่เน้นความรวดเร็วและตอบสนองต่อผู้ใช้ ได้รับความสนใจอย่างสูงในหลายโครงการ แต่บริษัทขนาดใหญ่อย่างกูเกิลกลับไม่สนใจแนวทางการพัฒนานี้ เมื่อสัปดาห์ก่อน David Jeske อดีตหัวหน้าฝ่ายวิศวกรรม (Google Engineer Director) ก็ออกมาตอบคำถามบน Quora ว่าทำไมกูเกิลไม่ใช้แนวทางพัฒนานี้

กสทช. ร่วมมือธนาคารแห่งประเทศไทย เปิดทางแจ้งข้อมูลผู้ใช้หมายเลขโทรศัพท์ให้สถาบันการเงิน เตรียมรับ PromptPay

By lew

on 21 December 2016 - 14:58 Tag: Bank of Thailand, NBTC, Thailand, Banking

Bank of Thailand

กสทช. ประกาศความร่วมมือกับธนาคารแห่งประเทศไทย (ธปท.) ทำความร่วมมือเปิดช่องทางส่งข้อมูลผู้ใช้โทรศัพท์มือถือให้กับสถาบันทางการเงิน__โดยได้รับความยินยอมจากผู้ใช้__

กระบวนการแลกเปลี่ยนข้อมูล ผู้ให้บริการโทรศัพท์จะขอคำยินยอมจากเจ้าหมายเลขในการส่งความเปลี่ยนแปลงข้อมูลไปยังสถาบันการเงิน โดยกลไกการแลกเปลี่ยนข้อมูลจะพร้อมในไตรมาสแรกของปีหน้า

ความร่วมมือนอกจากนี้คือการขอคืนเงินค่าบริการหลังเลิกใช้บริการ หลังจากนี้จะเปิดทางคืนเงินเป็น e-wallet หรือโอนทาง PromptPay อีกสองทาง

Trinity เซ็ง OpenSSH ประกาศวันเลิกรองรับ SSHv1 เดือนสิงหาคม 2017

By lew

on 20 December 2016 - 12:33 Tag: OpenSSH, Cryptography, Security

OpenSSH

OpenSSH เซิร์ฟเวอร์สำหรับการเข้าจัดการเครื่องจากระยะไกลที่ได้รับความนิยมสูง ปรับปรุงโปรโตคอลเป็น SSHv2 มานานและคอนฟิกเริ่มต้นก็มักจะรองรับ SSHv2 อย่างเดียว แต่ตัวซอฟต์แวร์ก็ยังรองรับ SSHv1 เรื่อยมา แม้ว่าจะลินุกซ์หลายรายจะปิดฟีเจอร์นี้ตั้งแต่การคอมไพล์ก็ตาม

ตอนนี้ OpenSSH ออกเวอร์ชั่น 7.4 พร้อมกับประกาศยกเลิกการซัพพอร์ต SSHv1 ออกทั้งหมดภายในเดือนสิงหาคม 2017 ทำให้หลังจากกำหนดนี้ จะไม่มีตัวเลือกใดๆ ให้ใช้งาน SSHv1 อีก

ช่องโหว่ของ SSHv1 CRC32 เป็นช่องโหว่ที่ Trinity ใช้เจาะเข้าเครือข่ายของโรงงานไฟฟ้าในภาพยนตร์เรื่อง The Matrix

ช่องโหว่ Joomla! ทำให้ผู้ใช้เข้ายึดเว็บได้ เว็บที่เปิดรับสมาชิกควรเร่งอัพเดต

By lew

on 20 December 2016 - 12:23 Tag: Joomla!, Security

Joomla!

Joomla! ออกอัพเดตเวอร์ชั่น 3.6.5 แก้ไขช่องโหว่ความปลอดภัยหลังจากออกเวอร์ชั่น 3.6.4 ไปเมื่อสองเดือนก่อน รอบนี้ช่องโหว่ระดับสูงทำให้สมาชิกในระบบสามารถแก้ไขสิทธิ์ของตัวเองเพื่อยึดเว็บได้

ช่องโหว่นี้กระทบ Joomla! ตั้งแต่เวอร์ชั่น 1.6.0 เป็นต้นมา เว็บจำนวนมากน่าจะได้รับผลกระทบอยู่ เว็บที่เปิดให้คนทั่วไปเป็นสมาชิกได้ควรเร่งอัพเดตโดยเร็ว

นอกจากช่องโหว่ระดับสูงนี้แล้ว การอัพเดตครั้งนี้ยังแก้ช่องโหว่ระดับต่ำอีกสองช่อง ที่เปิดทางให้มีผู้ใช้อัพโหลดไฟล์ PHP ได้ และเปิดทางให้ผู้ใช้ที่ไม่มีสิทธิ์เข้าดูเนื้อหาบางหน้าสามารถเข้าดูได้

Citi ประกาศลงทุนใน Cobalt DL บริษัทประมวลผลการซื้อขายเงินตราด้วย Blockchain

By lew

on 19 December 2016 - 14:19 Tag: Citi, Blockchain

Citi

Citi ประกาศลงทุนในบริษัท Cobalt CL ผู้พัฒนาระบบประมวลผลหลังการซื้อขายเงินตรา (post-trade processing) หลังจากทาง Cobalt ทดสอบเครือข่าย distributed ledger ของตัวเองไปแล้ว และตอนนี้มีสถาบันทางการเงิน 15 แห่งประกาศเตรียมใช้งาน

เครือข่าย Cobalt CL มีกำหนดการเปิดใช้งานจริงปี 2017 ในแง่ของการเชื่อมต่อ ทางบริษัทระบุว่าระบบประมวลผล Cobalt สามารถเชื่อมต่อกับระบบซื้อขายได้ทั้งหมด และการที่องค์กรที่อยู่ในเครือข่ายเห็นข้อมูลซื้อขายตรงกันจะทำให้สามารถทำบัญชีกระทบยอด (reconcile) ตามเวลาจริงได้ง่ายขึ้น

ARM บุกตลาดซุปเปอร์คอมพิวเตอร์ เข้าซื้อ Allinea บริษัทซอฟต์แวร์ประมวลผลประสิทธิภาพสูง

By lew

on 19 December 2016 - 13:22 Tag: Arm, High Performance Computing, Acquisition

Arm

ARM ประกาศเข้าซื้อบริษัท Allinea ผู้ผลิตเครื่องมือสำหรับพัฒนาซอฟต์แวร์บนคอมพิวเตอร์ประสิทธิภาพสูง โดยจะรวมบริษัทเข้าเป็นส่วนหนึ่งของทีม ARM HPC Tools

จนถึงตอนนี้ ARM ยังบุกตลาดซุปเปอร์คอมพิวเตอร์และเซิร์ฟเวอร์ได้ไม่มากนัก ความสำเร็จครั้งใหญ่ล่าสุดคือ Fujitsu ประกาศใช้ซีพียู ARM ในซุปเปอร์คอมพิวเตอร์เครื่องต่อไป

ชุดเครื่องมือของ Allinea ใช้สำหรับการดีบักและการทำ profiling ประสิทธิภาพของซอฟต์แวร์ ในระบบที่มีความซับซ้อนสูง เช่น MPI, OpenMP, Xeon Phi, ไปจนถึง CUDA

พร้อมใช้งานในรถและกล้องวงจรปิด กราฟิก PowerVR ผ่านการทดสอบ OpenVX 1.1

By lew

on 19 December 2016 - 12:40 Tag: Imagination, PowerVR, Computer Vision

Imagination

ชุด API OpenVX เป็น API มาตรฐานสำหรับการประมวลผลภาพ เช่น การจับวัตถุในภาพ, การจดจำใบหน้า, และการตรวจจับการเคลื่อนไหว ตอนนี้ Imagination ก็ออกมาประกาศว่าส่วนกราฟิก PowerVR ผ่านการทดสอบ OpenVX 1.1 เป็นรายแรก

ตัว API ของ OpenVX จะคล้ายกับ OpenCV ในหลายส่วน ทั้ง data type สำหรับการเก็บภาพถ่าย การปรับขนาดภาพ และการประมวลผลภาพในระดับต่ำ API เหล่านี้เปิดให้ผู้ผลิตฮาร์ดแวร์พัฒนาฮาร์ดแวร์ให้เร่งความเร็วการประมวลผลเหล่านี้ให้ได้ประสิทธิภาพสูงสุด

หน้ามืด Shopify Scripts จ่ายรางวัลรายงานช่องโหว่วันเดียวกว่าสิบล้านบาท ประกาศลดรางวัลเหลือ 1 ใน 10

By lew

on 18 December 2016 - 23:17 Tag: Shopify, Bug Bounty, Security

Shopify

แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้

ตำรวจติดต่อเครือข่ายพลเมืองเน็ตเพราะเข้าใจว่าเป็นผู้จัดชุมนุมวันนี้

By lew

on 18 December 2016 - 13:02 Tag: Thai Netizen Network, Thailand

Thai Netizen Network

เครือข่ายพลเมืองเน็ตออกมารายงานว่าได้รับการติดต่อจากสถานีตำรวจนครบาลสำราญราษฎร์ โดยเข้าใจว่าเครือข่ายพลเมืองเน็ตเป็นผู้นัดหมายให้มีการชุมนุม แต่ทางเครือข่ายพลเมืองเน็ตระบุว่าไม่ได้เป็นผู้จัดการชุมนุมทั้งสองจุด

เครือข่ายพลเมืองเน็ตเป็นกลุ่มหลักที่จัดแคมเปญแสดงความไม่เห็นด้วยกับร่างพรบ.คอมพิวเตอร์ฯ ฉบับใหม่ และเป็นกลุ่มที่เข้ารัฐสภาเพื่อยื่นรายชื่อจาก Change.org ต่อสภานิติบัญญัติแห่งชาติ

แฮกเกอร์เปิดเผยฐานข้อมูลสำนักงานตรวจคนเข้าเมืองประท้วงพรบ.คอมพิวเตอร์

By lew

on 17 December 2016 - 23:28 Tag: Security, Thailand, Hacking

Security

ผู้ใช้ทวิตเตอร์ @blackplans เปิดเผยฐานข้อมูลโดยระบุว่ามาจากสำนักงานตรวจคนเข้าเมืองของไทย เพื่อประท้วงกรณีที่พรบ.คอมพิวเตอร์ฯ ผ่านออกมาเป็นกฎหมาย

Arduino เปิดตัว MKRZero บอร์ด Cortex-M0+ ขนาดเล็กพร้อมช่อง micro SD

By lew

on 17 December 2016 - 18:16 Tag: Arduino, Hardware, Hardware

Arduino

Arduino เปิดตัวบอร์ดรุ่นใหม่ MKRZero บอร์ดที่ใช้ชิปรุ่นเดียวกับบอร์ด Arduino Zero ที่เปิดตัวตั้งแต่ปี 2014 แต่ปรับขนาดลงเหลือบอร์ดขนาดเล็กเท่าบอร์ด MKR1000

ส่วนฟีเจอร์ที่เพิ่มมาคือช่องเสียบ micro SD ต่อกับ SPI1 ไว้ให้แล้ว ทางด้านซอฟต์แวร์ ทาง Arduino เพิ่มไลบรารีใหม่สำหรับบอร์ด Zero ได้แก่ Arduino Sound Library, และ I2S สำหรับการใช้งานเสียงทั้งคู่

เฟซบุ๊กแก้ช่องโหว่แชต, เว็บมุ่งร้ายสามารถแอบอ่านแชตของทุกคนได้

By lew

on 14 December 2016 - 23:44 Tag: Facebook Messenger, Security, Facebook

Facebook Messenger

เฟซบุ๊กแก้ช่องโหว่ Facebook Messenger ถูกดักฟังแชตได้เพียงแค่ผู้ใช้ไปเข้าเว็บที่ฝังสริปต์มุ่งร้ายเอาไว้

ช่องโหว่นี้เกิดจากสถาปัตยกรรมของเฟซบุ๊กที่แยกเซิร์ฟเวอร์จาก Messenger ทำให้เซิร์ฟเวอร์แชตรองรับการเรียกข้อมูลจากโดเมน www.facebook.com ขณะที่ตัวแชตเองอาจจะใช้เซิร์ฟเวอร์ 5-edge-chat.facebook.com การเรียกข้อมูลตามปกติจะมีการล็อกโดเมนที่เข้าถึงข้อมูลได้ว่าต้องเป็นเว็บเฟซบุ๊กหลักเท่านั้น โดยทั่วไปจึงไม่มีปัญหาอะไร

Zen คือ Ryzen, AMD เปิดตัวซีพียูรุ่นต่อไป พร้อม แพลตฟอร์ม AM4 วางขายจริงไตรมาสแรก 2017

By lew

on 14 December 2016 - 06:12 Tag: AMD, CPU, Ryzen, Zen, Hardware, Processor

AMD

เอเอ็มดีเปิดตัวซีพียูรุ่นต่อไป ที่เคยใช้ชื่อสถาปัตยกรรมว่า Zen โดยเปลี่ยนมาใช้ชื่อทางการว่า Ryzen แทน สถาปัตยกรรมนี้มีประสิทธิภาพการรันคำสั่งต่อสัญญาณนาฬิกาสูงกว่าเดิม 40% ขณะที่ตัวสัญญาณนาฬิกาเองก็จะสูงขึ้นด้วย

[BEST] เชิญร่วมโหวตสมาร์ทโฟนยอดนิยม ประจำปี 2016

By lew

on 13 December 2016 - 12:05 Tag: Announcement, Blognone, BE.S.T Awards

Announcement

BE.S.T Awards การประกาศรางวัลสุดยอดมือถือ แท็บเล็ต และ แก็ดเจ็ต แห่งปี 2016 ได้เริ่มขึ้นแล้ว ซึ่งรางวัลนี้ Droidsans ได้จับมือกับ Blognone เวบข่าวสาร IT ชั้นนำ และ mxphone เวบข่าวล่าข่าวหลุดแห่งวงการมือถือ ในการคัดเลือก ให้คะแนน และตัดสินเพื่อหาที่สุดของสมาร์ทโฟนในประเภทต่างๆ นอกจากนั้นเราก็ยังมีรางวัล Popular Vote ให้เพื่อนๆ สามารถเข้าไปโหวตสมาร์ทโฟนที่ชอบและมีวางจำหน่ายในประเทศไทยด้วยอีกหนึ่งรางวัล ที่ https://www.surveymonkey.com/r/G7RRSFZ โดยเราจะปิดโหวตในวันศุกร์ที่ 16 ธันวาคมนี้เวลาเที่่ยงคืน และรางวัลทั้งหมดของ BE.S.T Awards 2016 จะถูกประกาศออกมาในวันที่ 17 ธันวาคมครับ