บริษัท Intevydis เป็นบริษัทวิจัยช่องโหว่ของซอฟต์แวร์จากรัสเซีย ระบุว่าบริษัทกำลังเตรียมเผยแพร่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข้จำนวนมากภายในเดือนนี้เนื่องจากหมดความอดทนที่จะทำงานร่วมกับผู้ผลิตแล้ว
โดยปรกติแล้วหลักจริยธรรมของนักวิจัยด้านความปลอดภัยทั่วโลกจะให้โอกาสผู้ผลิตในการแก้ไขช่องโหว่ก่อนที่เปิดเผยข้อมูลเหล่านั้นสู่สาธารณะ ทำให้ช่องโหว่ที่ถูกโจมตีมักเป็นเพราะลูกค้าไม่ได้อัพเดตซอฟต์แวร์อย่างถูกต้อง
Evgeny Legerov ผู้ก่อตั้งบริษัท Intevydis ระบุว่าการรอผู้ผลิตแก้ไขนั้นเสียเวลามาก และผู้ผลิตไม่ได้ใส่ใจที่จะแก้ไขบั๊กที่ไม่ได้รับการเปิดเผยเหล่านี้ เช่น บั๊กของ RealPlayer ตัวหนึ่งที่บริษัทค้นพบตั้งแต่สองปีก่อน ยังไม่ได้รับการแก้ไขแม้จะมีการติดต่อแจ้งไปแล้ว
ซอฟต์แวร์ที่อยู่ในรายชื่อของ Intevydis มีดังนี้
- เว็บเซิร์ฟเวอร์: Zeus Web Server, Sun Web Server
- ฐานข้อมูล: MySQL, IBM DB2,Lotus Domino, Informix
- ไดเรกทอรี: Novell eDirectory, Sun Directory, Tivoli Directory
เราๆ ท่านๆ อาจจะรออ่านด้วยใจจดจ่อ แต่งานนี้ผู้ดูแลระบบตามบริษัทอาจจะเครียดกันหนักทีเดียว
ที่มา - Krebs on Security
Get latest news from Blognone
Follow @twitterapi
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
Sun โดนทุกดอกเลยแฮะ
+1
แอบสะใจ
แปลกแฮะ เพราะความจริงของฟรี นี่มักจะสุดยอด แท้ๆ
ของฟรี นี่มักจะสุดยอด <- แต่ทำไมของขายถึงยังขายได้ล่ะถ้าเป็นแบบนั้น
Zero Day โผล่เพียบละซิงานนี้
บริษัทไหน Security ไม่รัดกุมเพียงพอ เจาะยาวได้ไปถึง root ปุ๊ป เป็นเรื่อง..
งานเข้า ๆ ๆ
RealPlayer ยังมีคนใช้อยู่อีกหรือนี้ .... นึกว่าไป Youtube กันหมดแล้ว
บางคนลง Real ไว้แค่เพื่อโหลด video จาก youtube - -
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
หง่ะมี MySQL ด้วย ตัวหากินโผมมม
I will change the world, to the better day.
เฮือก... ทั้ง MySQL ทั้ง DB2 เลยวุ้ย =[]=
เอ่อ ถ้าดูจากในลิสต์นี่ งานเข้ากันเยอะนะครับ ทั้ง IBM, Oracle, Sun, Novell
http://intevydis.com/vd-list.shtml
แต่อ่าน blog เค้าก็เขียนประชดนะ คือบริษัทใหญ่ๆบางรายเมล์มาขอรายละเอียด+code ตัวอย่างในการ exploit เค้าก็ให้ความเห็นว่า เราเป็นบริษัทเล็กๆ ทำบริการด้านนี้ คุณบริษัทใหญ่ๆขายของมีบั๊กเป็นล้านทั่วโลก จะมาขอข้อมูลที่เราลงแรงขุดขึ้นมาฟรีๆง่ายๆได้อย่างไร
ถูกก :)
เห็นด้วย ข้อมูลพวกนี้จริงๆ ควรซื้อเอา เพราะไม่ใช่งานง่ายๆ ขนาดตัวคนเขียนเองยังไม่รู้หลังบ้านตัวเองเลย ว่ามีอะไรบ้าง
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
แสดงว่ากะจะใช้เป็นหนทางทำกินสินะครับเนี่ย
เหมือน Black Mail นิดหน่อยแฮะ ขู่ว่า ถ้าไม่รีบแก้บั๊กที่เราค้นพบ (ซึ่งเราไม่ให้ข้อมูลนะ ไปหาเอาเอง) เราจะปล่อยรายชื่อบั๊กออกมา (แล้วเราอาจจะปล่อยข้อมูลแนบออกไปด้วย หรือเปล่านะ ~) ถ้าคุณโดนเจาะเราก็ไม่รับรู้ ~
ใช่ครับ เค้าทำ software สำหรับทดสอบ/เจาะระบบ โดยเฉพาะขายครับ
ผมคิดว่า เค้าคงคิดว่าจะทำอย่างไรให้คนรู้ว่าผลิตภัณฑ์ตัวเองมันเวิร์ก เลยเอาซอฟท์แวร์ชื่อดังในตลาดมาลองว่าเฮ้ย ทูลกระผมมันเจ๋งนะ เจอรูโหว่แบบเจ้าของมันยังไม่รู้ตัวเลย อะไรอย่างงี้อ่ะ
พูดง่ายๆ ขู่กรรโชก เพราะเบ่งกินฟรี ไม่ยอมแก้ไขบั๊ก แล้วยังไม่ยอมจ่ายเงินซื้อข้อมูลว่างั้น
+1 เหมือนอย่างกับจับตัวประกันไว้ ถ้าไม่จ่ายเงินมาจะยิงทิ้งให้หมด
@mamuang
นั่นสิ อ่านคอมเมนต์หลังๆ รู้สึกเหมือนอารมณ์นี้เลย แต่มันก็ว่าไม่ได้นะ บางอันบอกมานานแล้วจริงๆ = =
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
อืม… แอบมีปาดเหงื่อบ้างแฮะ
หวังว่าเว็บเล็กๆ นอกสายตา จะอยู่รอดปลอดภัยนะ เพี้ยง ^^'a
~ HudchewMan's Station & @HudchewMan~
"การตรวจหาช่องโหว่" ก็คือการทดลองเจาะระบบ ไม่ใช่หรือครับ ถ้าเจาะได้ก็แสดงว่าโหว่อยู่
ถ้าเป็นเช่นนั้นแล้ว บริษัทนี้ที่ออกมาทำเช่นนี้ ก็เหมือนกับทิ้งบท "นักวิจัยช่องโหว่" มารับบท "แฮกเกอร์" แทนไม่ใช่หรือครับ ? มีการขู่ด้วยอะไรด้วย
แต่ผมเห็นด้วยนะ ฮา ๆ
twitter.com/exfictz