มือถือตระกูล Samsung Galaxy S21 ในเกาหลีใต้ เริ่มได้รับแพตช์ความปลอดภัยเดือนมิถุนายนแล้ว แม้ยังไม่สิ้นเดือนพฤษภาคมก็ตาม โดยเป็นหมายเลขเฟิร์มแวร์เวอร์ชั่น G991NKSU3AUE8, G996NKSU3AUE8, และ G998NKSU3AUE8 สำหรับ Galaxy S21, S21+ และ S21 Ultra ตามลำดับ คาดว่าจะทยอยอัพเดตให้ประเทศอื่นในอีกไม่ช้า

ที่ผ่านมามือถือ Samsung รุ่นเรือธงปี 2020 นั้นได้อัพเดตแพตช์ความปลอดภัยไวพอๆ กับมือถือตระกูล Pixel ของ Google และดูเหมือนว่าเรือธงของปีนี้อย่าง Galaxy S21 ก็ได้อัพเดตไวเช่นเดียวกัน

Qualys Research Team ทีมวิจัยของ Qualys รายงานถึงช่องโหว่ใน Exim ที่เป็น mail transfer agent ยอดนิยม ช่องโหว่บางรายงานเปิดทางให้แฮกเกอร์รันโคดจากระยะไกลโดยไม่ต้องยืนยันตัวตัว (unauthenticated remote code execution)

Exim มีเซิร์ฟเวอร์รันอยู่กว่า 4 ล้านไอพีจากรายงานของ Shodan หากไม่ได้แพตช์หรือป้องกันช่องทางอื่นๆ แฮกเกอร์อาจบุกยึดเซิร์ฟเวอร์เหล่านี้ได้ โดยรายงานของ Qualys ไม่ได้ให้โค้ดโจมตีตัวอย่าง (proof of concept) มาด้วย แต่กลับรายงานอย่างละเอียดถึงโค้ดส่วนที่มีปัญหา ทำให้แฮกเกอร์สามารถสร้างเครื่องมือโจมตีได้ไม่ยากนัก

ข่าวสำคัญของผู้ใช้ Dell เพราะ Dell ออกอัพเดตเฟิร์มแวร์ อุดช่องโหว่สำคัญที่ส่งผลกระทบต่อพีซี Dell จำนวนมาก เนื่องจากเป็นช่องโหว่ BIOS ที่อยู่มานาน 12 ปีแล้ว

ถ้าไม่นับประเด็นเรื่องความแพร่หลาย ตัวช่องโหว่นี้ไม่ได้มีความร้ายแรงเป็นพิเศษ เป็นเรื่องสิทธิการเข้าถึง (access control) บนระบบปฏิบัติการวินโดวส์ดังที่พบได้ทั่วไป (ลินุกซ์ไม่โดน) การโจมตีจำเป็นต้องเข้าถึงบัญชี local ของเครื่องเท่านั้น และ Dell บอกว่ายังไม่พบการใช้งานช่องโหว่นี้จากกลุ่มแฮ็กเกอร์

หลัง OnePlus 7, 7 Pro, 7T และ 7T Pro ได้อัพเดต OxygenOS 11 ไปช่วงปลายเดือนมีนาคมที่ผ่านมา แต่แพตช์ความปลอดภัยยังเป็นของเดือนกุมภาพันธ์อยู่

ล่าสุด OnePlus อัพเดตแพทตช์ความปลอดภัยเดือนมีนาคมให้ตระกูล OnePlus 7 และ 7T ทั้งหมดใน Oxygen OS 11 Hotfix เวอร์ชั่น 11.0.0.2 แล้ว โดย changelog ของ Hotfix 11.0.0.2 เหมือนกับตอนอัพเดต Oxygen 11 แต่เพิ่มเรื่องแพตช์ความปลอดภัยเป็นเดือนมีนาคมเข้ามาเท่านั้น สามารถดู changelog แบบเต็มได้ ที่นี่

Project Zero โครงการหาช่องโหว่ความปลอดภัยของกูเกิล ประกาศนโยบายการเผยแพร่ข้อมูลช่องโหว่ของปี 2021 ที่เปลี่ยนจากของเดิม โดย Project Zero ใจดีกว่าเดิม เพิ่มเวลาให้อีก 30 วันก่อนเผยแพร่ข้อมูลช่องโหว่ต่อสาธารณะ

ที่ผ่านมา นโยบายของ Project Zero คือให้เวลาผู้พัฒนาซอฟต์แวร์พัฒนาแพตช์ภายใน 90 วัน (ถ้าช่องโหว่ถูกใช้โจมตีแล้ว จะให้เวลา 7 วันแทน) ก่อนเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ เพื่อบีบให้ผู้พัฒนาซอฟต์แวร์ต้องรีบออกแพตช์ภายในระยะเวลาที่กำหนด มิฉะนั้น แฮ็กเกอร์จะได้ข้อมูลช่องโหว่ไปใช้โจมตี

นโยบายใหม่ของ Project Zero จะขยับเลขเป็น 90+30 และ 7+30 ด้วยเหตุผลว่าเพิ่มเวลาอีก 30 วัน เพื่อให้ผู้ใช้ทยอยติดตั้งแพตช์เป็นจำนวนมากๆ ก่อนเปิดเผยข้อมูลแพตช์

เว็บไซต์ไอทีหลายแห่งพบว่า Pixel 5 มีประสิทธิภาพกราฟฟิกดีขึ้นมาก หลังอัพ แพตช์ความปลอดภัยรอบเดือนเมษายน 2021 ที่ระบุถึงการ “ปรับปรุงประสิทธิภาพสำหรับแอพและเกมที่ใช้งานกราฟฟิกหนักบางแอพ” บน Google Pixel 5 และ Pixel 4a 5G

Andreas Proschofsky จากเว็บไซต์ Der Standard ประเทศเยอรมนี ทวิตว่าคะแนน 3DMark ของ Pixel 5 ที่ใช้ Snapdragon 765G (จีพียู Adreno 620) เพิ่มขึ้นถึงราว 30-50% หลังอัพแพตช์ดังกล่าว

แอปเปิลออกอัพเดต iOS 14.4.2 และ iPadOS 14.4.2 ในวันนี้ โดยเป็นการแก้ไขช่องโหว่ของ WebKit ที่อาจทำให้ถูกโจมตีแบบ Cross-Site ได้ ผู้ใช้งานจึงควรอัพเดตเพื่อความปลอดภัย

การอัพเดตทำได้โดยไปที่ Settings > General > Software Update

แอปเปิลยังออกอัพเดตเพื่อแก้ไขช่องโหว่นี้สำหรับ watchOS ระบบปฏิบัติการบน Apple Watch และ iOS ของอุปกรณ์รุ่นเก่าที่อัพเดตเป็น iOS 14 ไม่ได้ รายละเอียดดังนี้

OpenSSL ออกแพตช์เวอร์ชั่น 1.1.1k แก้ไขช่องโหว่ร้ายแรงสูงสองรายการที่เปิดทางให้แฮกเกอร์ออกใบรับรองปลอม และอาจทำเซิร์ฟเวอร์แครช

ช่องโหว่ CVE-2021-3450 เป็นช่องโหว่ที่เปิดทางให้แฮกเกอร์ใช้ใบรับรองทั่วไปทำตัวเป็น certification authority (CA) แล้วนำไปรับรองใบรับรองอื่นๆ ได้ เปิดทางให้แฮกเกอร์สร้างใบรับรองสำหรับโดเมนอื่นๆ ที่ไม่ได้เป็นเจ้าของเอง แม้ช่องโหว่นี้จะร้ายแรง แต่ไคลเอนต์ที่จะได้รับผลกระทบต้องเปิดฟีเจอร์ X509_V_FLAG_X509_STRICT ซึ่งค่าเริ่มต้นไม่ได้เปิดเอาไว้

ไมโครซอฟท์แจ้งเตือนผู้ใช้ Exchange Server ว่าบริษัทเริ่มตรวจพบกลุ่มแฮกเกอร์ใช้ช่องโหว่ล่าสุดเพื่อเผยแพร่มัลแวร์เข้ารหัสเรียกค่าไถ่ (ransomware) โดยมัลแวร์ที่พบคือ Doejo.Crypt.A และ DearCry

แม้ไมโครซอฟท์จะออกแพตช์มาตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา แต่เนื่องจากช่องโหว่นี้มีผลกระทบเป็นวงกว้างทำให้บริษัทตัดสินใจออกแพตช์ย้อนให้กับ Exchange 2019 รุ่นเก่าที่ติดตั้งแพตช์ Cumulative Updates (CU) ตั้งแต่ตัวแรก CU1 จนถึง CU22 เพื่อให้ลูกค้าสามารถอัพเดตแพตช์นี้ได้ง่ายขึ้น

ที่มา - @MsftSecIntel

Android Police ทำบทความให้คะแนนการอัพเดตแพทช์ความปลอดภัยของมือถือแอนดรอยด์รุ่นเรือธง 18 รุ่น โดยดูจากดีเลย์หลังจากที่แพทช์ออก และเดือนที่มือถือรุ่นนั้นข้ามอัพเดตไป มือถือที่ไม่ข้ามอัพเดต และมีดีเลย์น้อยที่สุดได้ 10 คะแนนเต็ม หลังจากนั้นคะแนนลดหลั่นจาก 10 ถึง 0 ซึ่ง Pixel 5/4/4a 5G ได้คะแนนเต็ม 10 เป็นลำดับแรกตามความคาดหมาย

โครงการ CentOS มีกำหนดยุติการซัพพอร์ต CentOS 6 ตั้งแต่วันที่ 30 พฤศจิกายนนี้เป็นต้นไป ทำให้เซิร์ฟเวอร์ที่ยังใช้งานต่อไม่ได้รับแพตช์ความปลอดภัยใดๆ อีกต่อไป โดย CentOS 6 นั้นเริ่มออกตัวจริงตั้งแต่ปี 2011 รวมเวลานานกว่า 9 ปีแล้ว

ผู้ดูแลระบบลินุกซ์น่าจะพบ CentOS กันอยู่เรื่อยๆ เนื่องจาก CentOS ใช้ซอร์สโค้ดจาก RHEL ของ Red Hat มาคอมไพล์ใหม่แล้วแจกจ่ายฟรี ทำให้ซอฟต์แวร์ต่างๆ และการคอนฟิกนั้นเหมือนกันแทบทั้งหมด หลายองค์กรอาจจะใช้ CentOS เป็นระบบทดสอบหรือแม้แต่ระบบจริง และตัวโครงการเองก็มีแนวทางซัพพอร์ตแต่ละเวอร์ชั่นยาวนาน ปัจจุบัน CentOS 8 นั้นเพิ่งออกมาเมื่อปี 2019 และจะหมดซัพพอร์ตปี 2029

แอปเปิลปล่อยแพตช์แมคในตระกูล Big Sur 11.0, High Sierra 10.13, และ Mojave 10.14 หลังมีรายงานการโจมตีช่องโหว่เคอร์เนลและ FontParser

ช่องโหว่ใน FontParser เปิดทางให้แฮกเกอร์สามารถสร้างฟอนต์เพื่อรันโค้ดในเครื่องของเหยื่อได้ ขณะที่ช่องโหว่ในเคอร์เนลเปิดทางให้แฮกเกอร์ยกระดับสิทธิไปรันในสิทธิ์ระดับเคอร์เนล โดยรวมทำให้แฮกเกอร์ยึดเครื่องเหยื่อได้

ช่องโหว่ที่ถูกใช้งานแล้วแจ้งมายังแอปเปิลโดย Project Zero ของกูเกิล ยังไม่มีข้อมูลว่ากูเกิลไปพบการโจมตีได้อย่างไร โดยแพตช์ที่แก้ไขช่องโหว่เหล่านี้จะเป็น Big Sur 11.0.1, High Sierra 10.13.6, และ Mojave 10.14.6

ที่มา - Apple,

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำรอบเดือนแก้ไขช่องโหว่ 87 รายการแต่ช่วงสุดสัปดาห์ไมโครซอฟท์ก็ตัดสินใจปล่อยแพตช์ความปลอดภัยนอกรอบปกติให้กับช่องโหว่อีก 2 จุด สำหรับ Windows 10 และ Visual Studio Code

ช่องโหว่แรก CVE-2020-17022 เป็นช่องโหว่รันโค้ดระยะไกลโดยคนร้ายสามารถส่งภาพเพื่อให้เหยื่อเปิดแล้วกลายเป็นการรันโค้ด ช่องโหว่นี้กระทบ Windows 10 ทุกรุ่นที่ติดตั้งซอฟต์แวร์ถอดรหัสภาพ HEVC from Device Manufacturer เท่านั้น

กูเกิลปล่อยแพตช์ความปลอดภัย Android ประจำรอบเดือนตุลาคม 2020 อุดช่องโหว่ความปลอดภัยจำนวนมาก โดยมีช่องโหว่ระดับ critical จำนวน 6 ตัว ทั้งหมดเป็นแพตช์ของ Qualcomm

มือถือกลุ่ม Pixel ทั้งหมดตั้งแต่ Pixel 2 ขึ้นไปได้อัพเดตกันตามปกติ แต่ที่ไม่ธรรมดาคือ ซัมซุงที่ช่วงหลังออกแพตช์เร็วขึ้นมากๆ ก็ออกแพตช์ในวันแรกเช่นกัน โดยมือถือระดับเรือธง S10/S20/Note 10/Note 20 เริ่มทยอยได้แพตช์กันแล้วในบางประเทศ และมือถือระดับกลางอย่าง Galaxy A50 ก็ได้แพตช์รอบเดือนตุลาคมเรียบร้อยแล้วเช่นกัน

ที่มา - Android Security, XDA

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยตามรอบเดือนกันยายน โดยรอบนี้มีแพตช์ช่องโหว่ระดับวิกฤติ 23 รายการ, ระดับสำคัญ 105 รายการ, และระดับปานกลาง 1 รายการ ไม่มีช่องโหว่ใดมีการโจมตีก่อนปล่อยแพตช์

แต่ช่องโหว่หนึ่งที่น่าสนใจเป็นพิเศษคือ CVE-2020-16875 ที่เป็นช่องโหว่รันโค้ดระยะไกลของ Exchange Server โดยตอนแรกไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกโจมตีผ่านอีเมลจากภายนอกได้ ทำให้ความร้ายแรงสูงมาก แต่ภายหลังไมโครซอฟท์เปลี่ยนคำอธิบายช่องโหว่ระบุว่าต้องโจมตีโดยผู้ใช้ที่ล็อกอินแล้วเท่านั้น ทำให้ความร้ายแรงลดลงไปมาก

OpenSSL รายงานถึงช่องโหว่ CVE-2020-1968 หรือ Racoon Attack ที่เป็นช่องโหว่ของตัวมาตรฐานการเข้ารหัส TLS เอง ทำให้ไลบรารีที่ใช้กระบวนการแลกเปลี่ยนกุญแจแบบ Diffie-Hellman โดยใช้ค่าความลับแบบคงที่ (pre-master secret) ถูกดักฟังการสื่อสารที่เข้ารหัสไว้ได้ หากคนร้ายเก็บข้อมูลจากการเชื่อมต่อได้หลายๆ ครั้งและใช้ค่าความลับเดียวกันทั้งหมด

ช่องโหว่นี้ไม่กระทบ OpenSSL เวอร์ชั่น 1.1.1 ขึ้นไปเพราะได้ถอดกระบวนการเข้ารหัสที่เข้าข่ายไปทั้งหมดแล้ว ที่น่ากังวลคือ OpenSSL 1.0.2 ที่หมดซัพพอร์ตไปแล้วแต่ยังรองรับกระบวนการเข้ารหัสที่มีช่องโหว่เหล่านี้ พร้อมกับตั้งค่าเริ่มต้นไว้จนได้รับผลกระทบทั้งหมด และทาง OpenSSL จะปล่อยอัพเดต OpenSSL 1.0.2w ให้กับลูกค้าที่ซื้อซัพพอร์ตเท่านั้น

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยรอบเดือนสิงหาคม โดยรอบนี้มีช่องโหว่รวม 120 รายการ แต่จุดร้ายแรงเป็นพิเศษคือช่องโหว่ CVE-2020-1380 ของสคริปต์เอนจินของ Internet Explorer ที่มีช่องโหว่จนคนร้ายสามารถรันโค้ดใดๆ ในเครื่องของเหยื่อได้ เพียงแค่เหยื่อเปิดเว็บดู หรือส่งไฟล์ไปให้เปิดในเครื่องที่อาจจะเป็นไฟล์ HTML หรือ Office

เมื่อวานนี้หลังทางบริษัท Eclypsium ได้เปิดเผยช่องโหว่ของ GRUB2 ออกมาผู้ผลิตระบบปฎิบัติการก็ออกแพตช์กันตามนัดหมาาย แต่ปรากฎว่าผู้ใช้ RHEL 8.2 จำนวนหนึ่งกลับพบว่าแพตช์ทำให้เครื่องบูตไม่ขึ้น

ผู้ใช้จำนวนหนึ่งระบุว่าทางออกคือปิด Secure Boot ไปก่อน สำหรับผู้ใช้บางส่วนระบุว่าต้อง downgrade แพ็กเกจ shim-x64 และ grub2

ระหว่างนี้ใครใช้ RHEL 8.2 ควรระวังการแพตช์แพ็กเกจที่เกี่ยวข้อง หากติดตั้งไปแล้วและพบปัญหาให้ติดต่อซัพพอร์ตของทาง Red Hat

ที่มา - Red Hat

ไมโครซอฟท์ออกแพตช์ประจำเดือนกรกฎาคมโดยแยกประกาศพิเศษให้กับช่องโหว่ CVE-2020-1350 กระทบตั้งแต่ Windows Server 2003 มาจนถึง Windows Server 2019 เปิดทางให้แฮกเกอร์ยิงคิวรี DNS ที่สร้างเฉพาะขึ้นมารันโค้ดบนเซิร์ฟเวอร์เหยื่อได้ โดยระบุว่าแฮกเกอร์อาจโจมตีได้ง่าย คะแนนความร้ายแรงตาม CVSSv3 เป็น 10.0

ไมโครซอฟท์ออกแพตช์ความปลอดภัยพิเศษ นอกรอบ Patch Tuesday ตามปกติ อุดช่องโหว่ระดับวิกฤต (critical) และระดับสำคัญ (important) อย่างละหนึ่งตัวของ Windows 10 (ย้อนไปตั้งแต่ v1709) และ Windows Server 2019

ช่องโหว่ทั้งสองตัวอยู่ในส่วน Windows Codecs Library ซึ่งเกี่ยวข้องกับหน่วยความจำ หากผู้ใช้รันไฟล์มีเดียที่มีช่องโหว่ และแอพพลิเคชันที่เปิดไฟล์เรียกใช้ Windows Codecs Library ก็อาจได้รับผลกระทบได้

หมายเลขของช่องโหว่รอบนี้คือ CVE-2020-1425 และ CVE-2020-1457 สามารถอัพเดตกันได้ผ่าน Windows Update ตามปกติ

ซัมซงออกอัพเดตเฟิร์มแวร์รอบเดือนกรกฎาคม 2020 ให้กับ Galaxy S20, S20+, 20 Ultra โดยรวมแพตช์ความปลอดภัย Android ประจำเดือนกรกฎาคมมาให้เรียบร้อยแล้ว รวมถึงการปรับปรุงซอฟต์แวร์กล้อง และเพิ่มฟีเจอร์ให้แอพ Voice Recorder รองรับไมโครโฟนแบบ Bluetooth

ช่วงหลัง ซัมซุงปรับปรุงเรื่องการอัพเดตซอฟต์แวร์ประจำเดือนที่ทำได้เร็วขึ้นมาก (แถมซัพพอร์ตยาวนานขึ้นด้วย) และมีบางเดือนที่สามารถออกแพตช์ความปลอดภัย Android ได้ก่อน Google Pixel ด้วยซ้ำ

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนมิถุนายนตามรอบ Patch Tuesday โดยรอบนี้มีความพิเศษสักหน่อยคือช่องโหว่รันโค้ดระยะไกล (remote code execution - RCE) ที่เป็นช่องโหว่ร้ายแรงระดับวิกฤตินั้นมากถึง 11 รายการ กระทบตัววินโดวส์เอง อย่าง File Explorer, เซิร์ฟเวอร์ SharePoint, เบราว์เซอร์ Edge ในส่วนของ ChakraCore, และ Internet Explorer ส่วน VBScript

แม้จะมีช่องโหว่ร้ายแรงสูงจำนวนมาก แต่ช่องโหว่ในกลุ่มนี้ก็ยังไม่มีรายละเอียดออกมาสู่สาธารณะและไม่มีรายงานการโจมตีจริง โดยมีช่องโหว่ระดับสำคัญรองลงมามีรายงานออกมาจาก ZDI ก่อนหน้านี้เพราะเกินกำหนดการปิดบังช่องโหว่

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนพฤษภาคม 2020 อัพเดตแพตช์ชุดใหญ่ให้ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET, Power BI รวมอุดช่องโหว่ทั้งหมด 111 ตัว

แพตช์สำคัญในเดือนนี้คืออุดช่องโหว่ไดรเวอร์ของเคอร์เนล (Win32k), Windows Graphics Component, Microsoft Color Management, Windows Media Foundation จึงส่งผลต่อ Windows แทบทุกรุ่น อย่างไรก็ตาม ช่องโหว่ประจำเดือนนี้ยังไม่มีรายงานว่าถูกใช้โจมตีโดยแฮ็กเกอร์ เหมือนที่เกิดขึ้นในเดือนที่แล้ว

SaltStack เฟรมเวิร์คจัดการโครงสร้างพื้นฐานไอที แจ้งเตือนช่องโหว่ CVE-2020-11651 และ CVE-2020-11652 ที่ฟังก์ชั่นตรวจสอบอินพุตไม่ครบถ้วน ทำให้แฮกเกอร์ยิงโค้ดจากระยะไกลเข้าไปรันบนเซิร์ฟเวอร์ได้ โดยช่องโหว่ CVE-2020-11651 นั้นไม่จำเป็นต้องเป็นผู้ใช้ที่ล็อกอินล่วงหน้า ทำให้เซิร์ฟเวอร์จำนวนมากตกอยู่ในความเสี่ยงทันที ตอนนี้มีหน่วยงานหลายหน่วยงานรายงานว่าถูกโจมตีแล้ว ได้แก่ DigiCert หน่วยงานออกใบรับรองเข้ารหัส, Ghost แอปเขียนบล็อก, และ LineageOS ผู้พัฒนาระบบปฎิบัติการแอนดรอยด์อิสระ

ภาระการอัพเดตแพตช์ความปลอดภัยของ OS เป็นเรื่องน่าปวดหัวของแอดมินทุกสมัย แม้ย้ายขึ้นมาบนคลาวด์แล้วก็ตาม ล่าสุด Google Cloud เปิดตัวบริการอัพเดตแพตช์ของ OS ใน VM ให้อัตโนมัติ ใช้ได้ทั้ง VM ที่เป็นวินโดวส์และลินุกซ์

ฟีเจอร์นี้มีชื่อเรียกว่า OS patch management service ตอนนี้ใช้ได้กับ Google Compute Engine โดยแอดมินจะเห็นหน้าแดชบอร์ดรายงานสถานะแพตช์ความปลอดภัยของ VM ทั้งหมด และสามารถตั้งค่าการอัพเดตแตช์อัตโนมัติได้ กำหนดเวลาล่วงหน้าได้ด้วย

กูเกิลเปิดให้ใช้ฟีเจอร์นี้ฟรีจนถึงสิ้นปี 2020

ที่มา - Google