Okta รายงานช่องโหว่ซอฟต์แวร์ Okta AD/LDAP DelAuth ที่เชื่อม Okta เข้ากับซอฟต์แวร์ Active Directory หรือ LDAP ที่ใช้ล็อกอินภายในองค์กร โดยผู้ใช้ที่ username ยาวเกิน 52 ตัว

ปัญหาที่เกิดขึ้นเพราะระบบแคชของ DelAuth ที่ใช้ฟังก์ชั่น bcrypt ที่รองรับอินพุตสำหรับการแฮชได้เพียง 72 ตัวอักษรเท่านั้น การสร้างแคชคีย์ของ DelAuth นั้นเรียก bcrypt(userID+username+password) เมื่อชื่อผู้ใช้ยาวเกินไปทำให้มีเพียง userID และ username ที่ถูกแฮช ทาง Okta แก้ช่องโหว่นี้ด้วยการเปลี่ยนไปใช้ PBKDF2 ที่ไม่มีข้อจำกัดความยาวอินพุต เพราะข้อมูลถูกแฮชก่อนเสมอ

แอปเปิลปล่อย Private Cloud Compute (PCC) ระบบเซิร์ฟเวอร์ให้บริการแบบตรวจสอบได้และไม่เก็บตัวตนผู้ใช้ โดยตัวซอฟต์แวร์ใส่มากับ macOS Sequoia 15.1 Developer Preview ทุกเครื่องอยู่แล้ว แต่ต้องไปเปิดใช้งานเอง เพื่อจะได้คำสั่ง pccvre ขึ้นมารัน

อิมเมจที่ปล่อยมาเป็นอิมเมจสำหรับทดสอบความปลอดภัย แต่ก็มีปัญญาประดิษฐ์ LLM รุ่นสาธิตมาให้ด้วย ทำให้สามารถรัน LLM ได้เองจริงๆ แต่เป้าหมายที่แท้จริงของการแจกโปรแกรมคือการเปิดให้นักวิจัยตรวจสอบ virtualized environment ว่ามีความปลอดภัยตามที่แอปเปิลโฆษณาไว้

โครงการ OSS-Fuzz รายงานถึงช่องโหว่ CVE-2024-9143 ของ OpenSSL ที่พบจากโครงการย่อย OSS-Fuzz-Gen โดยมีความเป็นไปได้ที่จะเป็นช่องโหว่ remote code execution แม้น่าจะโจมตีได้ยากก็ตาม ความพิเศษของช่องโหว่นี้คือมันเป็น CVE แรกที่ OSS-Fuzz-Gen ได้

ตอนนี้ OSS-Fuzz-Gen พบบั๊กแล้วจำนวน 26 รายการตั้งแต่ปลายปีที่แล้ว และยังมีบั๊กจำนวนหนึ่งยังไม่เปิดเผย แต่บั๊กก่อนหน้านี้ไม่ได้ให้เลข CVE เอาไว้

ช่องโหว่นี้เกิดจากการตั้งค่า encoding X9.62 ที่กรณีปกติแล้วไม่มีการใช้งานกันมากนัก แม้จะเป็นช่องโหว่ remote code execution จริงก็ความเสี่ยงไม่สูงนัก แต่แอปพลิเคชั่นที่ได้รับผลกระทบต้องมีการใช้งานที่พิเศษ

กูเกิลประกาศเพิ่มฟีเจอร์ให้กับแอพส่งข้อความ Google Messages ให้ป้องกันข้อความหลอกลวง (scam) ดีขึ้นกว่าเดิม

ไมโครซอฟท์รายงานถึงปัญหาใน log collector ภายใน แต่ระหว่างการแก้ไขเกิดปัญหาต่อเนื่องจนกระทบกับการเก็บล็อกของลูกค้าในบางบริการ ปัญหาที่กระทบผู้ใช้มากสักหน่อยคือ Microsoft Entra ที่เป็นบริการล็อกอินของไมโครซอฟท์ทำให้ล็อกบางส่วนหายไป ผลกระทบต่อเนื่องไปจนถึงบริการ Microsoft Sentinel ที่อาจจะแจ้งเตือนไม่ครบ

ช่วงเวลาที่ล็อกไม่ครบนี้เกิดในช่วงวันที่ 5 กันยายนจนถึง 3 ตุลาคมที่ผ่านมา หลังจากนั้นก็แก้ปัญหาได้ทั้งหมด

App Defense Alliance เป็นกลุ่มที่กูเกิลกับบริษัทแอนตี้ไวรัสหลายรายก่อตั้งในปี 2019 เพื่อแก้ปัญหามัลแวร์บน Google Play Store (ในยุคนั้น) ภายหลังกูเกิลยกให้ Linux Foundation เมื่อปี 2023 และได้บริษัทยักษ์ใหญ่อย่าง Meta, Microsoft เข้าร่วมเป็นสมาชิกด้วย

ล่าสุด App Defense Alliance ออกสเปก Application Security Assessment (ASA) 1.0 เป็นมาตรฐานความปลอดภัยของแอพพลิเคชัน แยกเป็น 3 ระดับคือ แอพมือถือ เว็บ และบนคลาวด์

Amazon เปิดเผยสถิติว่า หลังจากรองรับการล็อกอินด้วย Passkey เมื่อ 1 ปีที่แล้ว ตอนนี้มีผู้ใช้งานแล้ว 175 ล้านคน รองรับการล็อกอินบนหน้าเว็บ และแอพ Amazon Shopping บน iOS/Android

ในช่วง 1 ปีที่ผ่านมา Amazon ยังเปิดใช้งาน Passkey กับบริการย่อยๆ ในเครือ เช่น Audible เพื่ออำนวยความสะดวกให้ผู้ใช้ล็อกอินได้รวดเร็วขึ้นด้วย

Clint Wilson วิศวกรผู้ดูแลโครงการ Root Certification Authority ของแอปเปิล ส่งข้อเสนอเปลี่ยนแปลงกฎเกณฑ์ใน CA/Browser Forum ขอให้ลดอายุการใช้งานใบรับรองเข้ารหัส จากที่ตอนนี้สามารถออกได้นานที่สุด 397 วัน ให้เหลือเพียง 45 วันเท่านั้น นับเป็นการบีบจนจำเป็นต้องเปลี่ยนใบรับรองแบบอัตโนมัติเท่านั้น

หากข้อเสนอนี้ผ่าน อายุใบรับรองจะค่อยๆ ลดลงเรื่อยๆ โดยเริ่มจาก 15 กันยายน 2025 จะลดลงเหลือ 200 วัน, 15 กันยายน 2026 ลดลงเหลือ 100 วัน ก่อนจะหยุดที่ 15 เมษายน 2027 เหลือ 45 วัน

OpenAI ประกาศแต่งตั้ง Dane Stuckey เป็น CISO หรือหัวหน้าฝ่ายด้านความปลอดภัยข้อมูลสารสนเทศของบริษัท โดยทำงานร่วมกับหัวหน้าฝ่ายความปลอดภัย (Security) Matt Knight

ก่อนร่วมงานกับ OpenAI นั้น Stuckey เป็น CISO ตำแหน่งเดียวกันที่ Palantir โดยรับผิดชอบงานด้านความปลอดภัยข้อมูลให้ลูกค้าหลายอุตสาหกรรม

Mishaal Rahman บล็อกเกอร์สาย Android ชื่อดัง ให้ข้อมูลว่ากูเกิลเริ่มปล่อยอัพเดตฟีเจอร์ป้องกันขโมยของ Android ที่ประกาศไว้ในเดือนพฤษภาคม ให้กับผู้ใช้บางส่วนแล้ว

ฟีเจอร์กลุ่มนี้เรียกว่า Android Theft Protection ประกอบด้วยฟีเจอร์ย่อย 3 อย่าง ได้แก่

อัพเดตจากกรณี ผู้ใช้ Kaspersky ในสหรัฐงง จู่ๆ แอพเปลี่ยนเป็น UltraAV โดยไม่บอกกล่าว ลบออกไม่ได้

เว็บไซต์ TechCrunch สอบถามไปยังโฆษกของ Kaspersky ได้รับคำยืนยันว่า ได้แจ้งเตือนผู้ใช้ในสหรัฐถึงการเปลี่ยนผ่านไปสู่ UltraAV ทางอีเมลแล้ว แต่อาจมีผู้ใช้บางส่วนไม่เคยให้อีเมลไว้กับ Kaspersky จึงสามารถแจ้งเตือนเฉพาะทาง in-app message เท่านั้น

ไมโครซอฟท์ออกมาอธิบายถึงแนวทางป้องกันข้อมูลส่วนตัวของ ฟีเจอร์ Recall ใน Windows 11 ที่บันทึกหน้าจอของพีซีเป็นระยะๆ เพื่อให้ค้นหาข้อมูลย้อนหลังได้ ฟีเจอร์นี้เปิดตัวในเดือนพฤษภาคม แต่ถูกวิจารณ์เรื่องความปลอดภัย ความเป็นส่วนตัว จนสุดท้ายไมโครซอฟท์ยอมเลื่อนฟีเจอร์นี้ออกไปก่อน นำไปแก้ไขปรับปรุงและเตรียมกลับมาทดสอบกับกลุ่ม Insider ในเดือนตุลาคม

กูเกิลเผยสถิติจากการใช้ภาษา Rust ในระบบปฏิบัติการ Android มาตั้งแต่ปี 2019 เป็นเวลาราว 6 ปี ว่าช่วยลดช่องโหว่ที่เกี่ยวข้องกับหน่วยความจำลงได้มาก จากฟีเจอร์ด้านหน่วยความจำที่ระดับตัวภาษา ถือเป็นมาตรการความปลอดภัยระดับสูงที่ทรงพลังมาก

แนวทางของกูเกิลคือเขียนโค้ดใหม่ของ Android ด้วยภาษา Rust ที่เป็น memory safe language ส่วนโค้ดเก่าพยายามคงจำนวนไว้ไม่ให้เพิ่มขึ้นมาก ผลคือสัดส่วนโค้ดที่เป็น memory safe ค่อยๆ เยอะขึ้นเรื่อยๆ (ตอนนี้ประมาณ 2:1 ระหว่างโค้ดเก่า vs โค้ดใหม่) แต่ผลที่ได้คือช่องโหว่ความปลอดภัยที่เกี่ยวกับ memory safety ลดลงอย่างมาก

Adam Meyers รองประธานอาวุโสของ CrowdStrike เตรียมเข้าให้ถ้อยแถลงต่ออนุกรรมาธิการความปลอดภัยไซเบอร์ และการป้องกันโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Protection) เพื่อกล่าวคำขออภัยต่อความผิดพลาดที่เกิดขึ้น

ตอนนี้เอกสารให้ถ้อยคำอัพโหลดขึ้นเว็บอนุกรรมาธิการแล้ว โดยขึ้นต้นด้วยการขออภัยอย่างสูง แต่ก็ยืนยันถึงความจำเป็นถึงการป้องกันการโจมตีที่พัฒนาการอย่างรวดเร็ว พร้อมกับชี้แจงถึงแนวทางการพัฒนาที่มีการปรับปรุงจนน่าเชื่อได้ว่าจะไม่มีความผิดพลาดแบบเดียวกันอีก

จากที่วันนี้มีแฮ็กเกอร์ที่ใช้นามแฝง killer011 ประกาศในฟอรั่มใต้ดิน ว่าได้เจาะระบบและเข้าถึงข้อมูลลูกค้าของ True และ dtac จำนวนเกือบ 40 ล้านรายการ

Blognone ได้ตรวจสอบกับฝ่ายประชาสัมพันธ์ของบริษัททรู คอร์ปอเรชั่น จำกัด (ซึ่งปัจจุบันเป็นนิติบุคคลที่ให้บริการทั้งแบรนด์ True และ dtac) ได้ข้อมูลดังนี้

มีรายงานจากผู้ใช้งาน Mac ที่อัปเดตระบบปฏิบัติการเป็นเวอร์ชันล่าสุด macOS 15 Sequoia ที่เพิ่งออกอัปเดตทั่วไปเมื่อต้นสัปดาห์ พบปัญหาการทำงานร่วมกับซอฟต์แวร์ความปลอดภัย เช่นของ CrowdStrike, SentinelOne หรือ Microsoft ซึ่งมักมีการติดตั้งสำหรับคอมพิวเตอร์ขององค์กร

ในบางกรณีผู้ใช้งานอาจพบปัญหาไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้หลังอัปเกรดเป็น Sequoia เพราะปัญหาไฟร์วอลของ Sequoia บล็อกการทำงานของซอฟต์แวร์ความปลอดภัยเหล่านี้

กูเกิลขยายฟีเจอร์จัดการ Passkey ให้สามารถซิงก์ Passkey ข้ามอุปกรณ์ได้ด้วย

ของเดิมนั้น การใช้ Passkey ผ่าน Google Password Manager บน Android เก็บตัว Passkey ไว้บนอุปกรณ์ตัวนั้นตัวเดียว หากต้องการนำไปใช้บนอุปกรณ์อื่นต้องใช้วิธีสแกน QR ระหว่างกัน

ของใหม่คือ Passkey ของเราจะถูกซิงก์อัตโนมัติในจักรวาล Google Password Manager ข้ามแพลตฟอร์มทั้ง Windows, macOS, Linux, Android, ChromeOS โดยมีระบบรักษาความปลอดภัยคือต้องตั้งรหัส PIN 6 หลัก เพื่อไม่ให้คนอื่นเข้าถึง Passkey ของเราได้ (แม้เข้าถึงตัวฮาร์ดแวร์ได้เชิงกายภาพ)

บริษัทความปลอดภัย Doctor Web รายงานการแพร่กระจายมัลแวร์ Android.Vo1d ในกล่องทีวีแอนดรอยด์ กลุ่มที่ใช้โค้ดจาก Android Open Source Project (AOSP) จำนวนประมาณ 1.3 ล้านเครื่อง โดยกล่องเหล่านี้ไม่ได้เป็นผลิตภัณฑ์ที่ใช้แบรนด์ Android TV หรือ Google TV จากกูเกิล

กล่องทีวีแอนดรอยด์ที่พบการแพร่ของมัลแวร์ เป็นกล่องไม่มีแบรนด์ 3 รุ่น ใช้ระบบปฏิบัติการ Android 7.1, Android 10.1, Android 12.1 โดยมีเครื่องกระจายอยู่ในประเทศกำลังพัฒนาหลายประเทศ เช่น บราซิล (28% ของกล่องทั้งหมดที่พบมัลแวร์), โมร็อกโก (7.0%), ปากีสถาน (5.1%) ส่วนละแวกเอเชียตะวันออกเฉียงใต้ มีมาเลเซีย (3%) และอินโดนีเซีย (2%) กรณีของประเทศไทยมีน้อยกว่านั้น แต่ไม่มีข้อมูลตัวเลข

David Weston รองประธานฝ่ายความปลอดภัยระบบปฏิบัติการของไมโครซอฟท์ เปิดเผยรายละเอียดงานประชุม Windows Endpoint Security Ecosystem ที่เชิญบริษัทความปลอดภัยหลายรายเข้าร่วม เพื่อป้องกันปัญหากรณี CrowdStrike ไม่ให้เกิดขึ้นอีก

บริษัทความปลอดภัยที่เข้าร่วมและเปิดเผยชื่อ ได้แก่ Broadcom (เจ้าของปัจจุบันของ Symantec Enterprise), CrowdStrike, ESET, SentinelOne, Sophos, Trellix (ชื่อใหม่ของ McAfee Enterprise + FireEye), Trend Micro โดยบริษัทกลุ่มนี้เป็นสมาชิกของโครงการ Microsoft Virus Initiative (MVI) อยู่ก่อนแล้ว

ในงาน Google I/O 2024 กูเกิลเปิดตัว Play Integrity API เป็นชุด API ด้านความปลอดภัยของ Google Play ให้นักพัฒนาแอพสามารถตรวจสอบว่าผู้ใช้งาน เข้าถึงบริการของเราผ่าน "แอพที่ไม่ถูกแก้ไขดัดแปลง" (unmodified app binary) และติดตั้งผ่าน Google Play บนอุปกรณ์ Android จริงๆ ไม่ใช่อุปกรณ์ที่ถูก root หรือดัดแปลงมา

ฟีเจอร์หนึ่งของ Play Integrity API คือการตรวจสอบว่าแอพที่ใช้งานติดตั้งผ่าน Google Play หรือผ่านวิธี sideloading ซึ่งหากเป็นการ sideloading จะสามารถบล็อคการใช้งาน และขึ้นข้อความแจ้งเตือนให้ผู้ใช้ดาวน์โหลดแอพตัวเดียวกันผ่าน Google Play ได้

ทีมวิจัยความปลอดภัยจาก WatchTower รายงานถึงความผิดพลาดของผู้ให้บริการออกใบรับรองการเข้ารหัส จากการที่ผู้รับจดทะเบียนโดเมน .MOBI ย้ายเซิร์ฟเวอร์ WHOIS จากเดิม จนนำไปสู่ช่องโหว่ให้ทีมวิจัยสามารถออกใบรับรองของโดเมนใดๆ ภายใต้ TLD .MOBI ได้ทั้งหมด

WHOIS เป็นโปรโตคอลในการขอข้อมูลโดเมน, ไอพี, และหมายเลข Autonomous Systems (AS) ว่าผู้จดทะเบียนเป็นใคร หมดอายุเพื่อใด ตลอดจนต้องติดต่อใครบ้างหากมีปัญหา

SangRyol Ryu นักวิจัยจาก McAfee’s Mobile Research รายงานถึงมัลแวร์ในโทรศัพท์แอนดรอยด์ที่เรียกว่ากลุ่ม SpyAgent มุ่งเป้าชาวเกาหลีใต้ และกระจายไปถึงสหราชอาณาจักร กำลังพยายามอัพโหลดภาพขึ้นไปยังเซิร์ฟเวอร์ดพื่อ่านข้อความในภาพ

ตัวแอปนั้นไม่ต่างจากมัลแวร์ปกติที่สามารถส่งข้อมูลเครื่อง, ดูด SMS กลับเซิร์ฟเวอร์, และอ่านข้อมูลติดต่อ โดยมีพฤติกรรมพิเศษคือมันพยายามอัพโหลดภาพในเครื่องกลับเซิร์ฟเวอร์ด้วย

Ryu แฮกเข้าเซิร์ฟเวอร์ควบคุมของมัลแวร์ตัวนี้ได้สำเร็จ และพบว่าหน้าจอใช้ค้นหาค่า seed ของกระเป๋าเงินคริปโตเป็นหลัก เมื่อได้ภาพมาแล้วก็พยายามทำ OCR อ่านข้อความในภาพเพื่อดึงข้อความออกมา

รัฐบาลโจ ไบเดนออกเอกสารแนวทางการพัฒนาความปลอดภัยอินเทอร์เน็ต วางแนวทางบีบให้ผู้ให้บริการอินเทอร์เน็ต้องเปิดใช้งาน RPKI ที่เป็นกระบวนการยืนยันความถูกต้องของเส้นทางอินเทอร์เน็ต

Resource Public Key Infrastructure (RPKI) เป็นกระบวนการยืนยันว่า ISP ที่ประกาศเส้นทางไปยังเน็ตเวิร์คต่างๆ นั้นมีสิทธิ์ประกาศจริง ไม่ได้ประกาศมั่วๆ ออกมาเพื่อดึงทราฟิกของเน็ตเวิร์คอื่นให้ผ่านตัวเอง ที่ผ่านมาบริการสำคัญๆ หลายตัวถูกดึงทราฟิกจากการคอนฟิก RPKI ผิดจนใช้งานไม่ได้ทั่วโลกมาแล้วหลายครั้ง

ไมโครซอฟท์ประกาศแผนปิดการทำงานของ ActiveX ใน Office 2024 เวอร์ชันซื้อขาด ที่จะออกตัวจริงในเดือนตุลาคม 2024 จากนั้นจะตามไปปิดใน Microsoft 365 ช่วงเดือนเมษายน 2025

ActiveX เป็นเทคโนโลยีการฝังวัตถุแบบ interactive ในเอกสาร Office เริ่มใช้งานครั้งแรกในปี 1996 แต่ภายหลังถูกใช้เป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์ โดยหลอกว่าเป็นเอกสาร Office แล้วหลอกให้เหยื่อคลิกเปิดเอกสาร

Thomas Roche นักวิจัยจาก NinjaLab รายงานช่องโหว่ EUCLEAK ช่องโหว่ของชิปความปลอดภัย (secure element) Infineon SLE78 ที่ใช้งานในกุญแจ YubiKey 5

ช่องโหว่อยู่ที่ กระบวนการเซ็นลายเซ็น ECDSA ที่สามารถสังเกตระยะเวลาตอบกลับเพื่อตรวจสอบถึงค่ากุญแจภายในได้ แม้ว่าจะมีมาตรการสุ่มหยุดทำงานเป็นช่วงๆ แต่ Roche ก็สามารถตรวจพบการหยุดประมวลผลอย่างจงใจได้ไม่ยาก ทำให้แฮกเกอร์ที่มีกุญแจในมือสามารถยิงขอลายเซ็นไปเรื่อยๆ นับล้านครั้ง จนกู้คืนกุญแจออกมาได้

ผลกระทบจากช่องโหว่นี้นอกจากกุญแจ YubiKey แล้ว ชิปรักษาความปลอดภัยที่ใช้ชิป SLE78 ทั้งหมดก็กระทบไปด้วย เช่น สมาร์ตการ์ดในกลุ่ม JavaCard บางรุ่น, ชิป TPM, HSM เก็บกุญแจในเซิร์ฟเวอร์ต่างๆ, หรือชิปรักษาความปลอดภัยในอุปกรณ์ IoT