Amazon ประกาศนโยบายการซัพพอร์ตของอุปกรณ์ตระกูล Fire TV ว่าจะออกแพตช์ความปลอดภัยให้นานอย่างน้อย 4 ปี หลังสินค้าหยุดขาย (after the device is last available for purchase)

ส่วนอุปกรณ์ Fire TV ที่วางขายไปก่อนหน้านี้ทั้งหมด จะการันตีอัพเดตแพตช์ความปลอดภัยอย่างน้อยถึงปี 2025 ประกาศนี้ทำให้อุปกรณ์บางตัวมีระยะซัพพอร์ตยาวนานมาก เช่น Fire TV Stick Gen 2 ที่ออกในปี 2016 จะอยู่ได้นานถึงปี 2025 (ซัพพอร์ต 9 ปี)

ประกาศนี้ของ Amazon ครอบคลุม Fire TV ทุกรุ่น รวมถึงทีวีที่ผลิตโดยบริษัทอื่น (เช่น Toshiba, Pioneer) ยกเว้น Fire TV รุ่นแรกสุดที่ออกในปี 2014-2015 เท่านั้น

ไมโครซอฟท์ออก Patch Tuesday ประจำรอบเดือนตุลาคม 2021 (หมายเลขแพตช์ KB5006670) ความพิเศษของรอบนี้คือ Windows 11 จะได้อัพเดตแพตช์เป็นครั้งแรกด้วย (ออก 5 ตุลาคม ได้แพตช์รอบ 12 ตุลาคมพอดี)

นอกจากการอัพเดตความปลอดภัย (ที่ได้ทั้ง Windows 10 และ Windows 11) สิ่งที่ปรับปรุงในแพตช์ของ Windows 11 คือแก้บั๊กซอฟต์แวร์เครือข่าย Intel Killer และ SmartByte ส่วนการแก้บั๊กประสิทธิภาพของซีพียู AMD ยังไม่มาในแพตช์รอบนี้

ที่มา - OnMSFT

ไมโครซอฟท์ออก Patch Tuesday แพตช์ความปลอดภัยประจำรอบเดือนสิงหาคม 2021 อุดช่องโหว่ทั้งหมด 44 ตัว ครอบคลุมผลิตภัณฑ์หลายตัว

ช่องโหว่สำคัญที่พบการโจมตีแล้วคือ CVE-2021-36948 ที่เกี่ยวข้องกับเซอร์วิส Windows Update Medic (ใช้ซ่อม Windows Update เวลามีปัญหาอัพเดตไม่ได้)

ไมโครซอฟท์รายงานช่องโหว่ความปลอดภัยใหม่ CVE-2021-34481 ของบริการ Windows Print Spooler หรือ PrintNightmare ซึ่งเป็นการรายงานถึงช่องโหว่นี้ครั้งที่ 3 ในรอบ 5 สัปดาห์ โดยผู้โจมตีสามารถเข้าถึงไฟล์ที่สำคัญของ Windows และฝังโค้ดให้รันที่ระดับ SYSTEM เมื่อมีการรีบูทเครื่องได้

ในการรายงานช่องโหว่รอบนี้ ไมโครซอฟท์ยังไม่มีรายละเอียดของแพตช์และกำหนดเวลาออกมา แต่ให้แนวทางแก้ไขปัญหาเบื้องต้น (workaround) นั่นคือหยุดและปิดการทำงาน Print Spooler ไปก่อน

สัปดาห์ที่ผ่านมา มีประเด็นช่องโหว่ความปลอดภัย CVE-2021-34527 ของบริการ Windows Print Spooler หรือที่เรียกกันว่า "PrintNightmare" หลังจากเถียงกันมาหลายวัน ไมโครซอฟท์ก็ยอมออกแพตช์ฉุกเฉิน (out-of-band หรือ OOB) ให้แล้ว แถมยังเป็นกรณีพิเศษคือย้อนไปออกถึง Windows 7 และ Windows Server 2008 ที่หมดระยะซัพพอร์ตไปแล้วด้วย

อย่างไรก็ตาม มีรายงานในหมู่นักวิจัยความปลอดภัยว่าแพตช์เหล่านี้ไม่ช่วยแก้ปัญหาได้ 100% ซึ่งล่าสุดไมโครซอฟท์ออกมาเถียงว่า แพตช์ใช้งานได้จริงๆ แต่ปัญหาที่รายงานในข่าว เกิดจากการที่ผู้ใช้ไปแก้ registry กันเองต่างหาก

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยรอบเดือนมิถุนายน โดยรอบนี้มีช่องโหว่ที่ถูกโจมตีก่อนแพตช์ออกทั้งหมด 6 รายการ ในจำนวนนี้มีช่องโหว่ระดับ remote code execution หนึ่งรายการเป็นช่องโหว่ตัวอ่าน MSHTML แต่ความร้ายแรงไม่สูงนักเนื่องจากกระบวนการซับซ้อน และต้องอาศัยผู้ใช้ด้วยบางส่วน (user interaction)

มือถือตระกูล Samsung Galaxy S21 ในเกาหลีใต้ เริ่มได้รับแพตช์ความปลอดภัยเดือนมิถุนายนแล้ว แม้ยังไม่สิ้นเดือนพฤษภาคมก็ตาม โดยเป็นหมายเลขเฟิร์มแวร์เวอร์ชั่น G991NKSU3AUE8, G996NKSU3AUE8, และ G998NKSU3AUE8 สำหรับ Galaxy S21, S21+ และ S21 Ultra ตามลำดับ คาดว่าจะทยอยอัพเดตให้ประเทศอื่นในอีกไม่ช้า

ที่ผ่านมามือถือ Samsung รุ่นเรือธงปี 2020 นั้นได้อัพเดตแพตช์ความปลอดภัยไวพอๆ กับมือถือตระกูล Pixel ของ Google และดูเหมือนว่าเรือธงของปีนี้อย่าง Galaxy S21 ก็ได้อัพเดตไวเช่นเดียวกัน

Qualys Research Team ทีมวิจัยของ Qualys รายงานถึงช่องโหว่ใน Exim ที่เป็น mail transfer agent ยอดนิยม ช่องโหว่บางรายงานเปิดทางให้แฮกเกอร์รันโคดจากระยะไกลโดยไม่ต้องยืนยันตัวตัว (unauthenticated remote code execution)

Exim มีเซิร์ฟเวอร์รันอยู่กว่า 4 ล้านไอพีจากรายงานของ Shodan หากไม่ได้แพตช์หรือป้องกันช่องทางอื่นๆ แฮกเกอร์อาจบุกยึดเซิร์ฟเวอร์เหล่านี้ได้ โดยรายงานของ Qualys ไม่ได้ให้โค้ดโจมตีตัวอย่าง (proof of concept) มาด้วย แต่กลับรายงานอย่างละเอียดถึงโค้ดส่วนที่มีปัญหา ทำให้แฮกเกอร์สามารถสร้างเครื่องมือโจมตีได้ไม่ยากนัก

ข่าวสำคัญของผู้ใช้ Dell เพราะ Dell ออกอัพเดตเฟิร์มแวร์ อุดช่องโหว่สำคัญที่ส่งผลกระทบต่อพีซี Dell จำนวนมาก เนื่องจากเป็นช่องโหว่ BIOS ที่อยู่มานาน 12 ปีแล้ว

ถ้าไม่นับประเด็นเรื่องความแพร่หลาย ตัวช่องโหว่นี้ไม่ได้มีความร้ายแรงเป็นพิเศษ เป็นเรื่องสิทธิการเข้าถึง (access control) บนระบบปฏิบัติการวินโดวส์ดังที่พบได้ทั่วไป (ลินุกซ์ไม่โดน) การโจมตีจำเป็นต้องเข้าถึงบัญชี local ของเครื่องเท่านั้น และ Dell บอกว่ายังไม่พบการใช้งานช่องโหว่นี้จากกลุ่มแฮ็กเกอร์

หลัง OnePlus 7, 7 Pro, 7T และ 7T Pro ได้อัพเดต OxygenOS 11 ไปช่วงปลายเดือนมีนาคมที่ผ่านมา แต่แพตช์ความปลอดภัยยังเป็นของเดือนกุมภาพันธ์อยู่

ล่าสุด OnePlus อัพเดตแพทตช์ความปลอดภัยเดือนมีนาคมให้ตระกูล OnePlus 7 และ 7T ทั้งหมดใน Oxygen OS 11 Hotfix เวอร์ชั่น 11.0.0.2 แล้ว โดย changelog ของ Hotfix 11.0.0.2 เหมือนกับตอนอัพเดต Oxygen 11 แต่เพิ่มเรื่องแพตช์ความปลอดภัยเป็นเดือนมีนาคมเข้ามาเท่านั้น สามารถดู changelog แบบเต็มได้ ที่นี่

Project Zero โครงการหาช่องโหว่ความปลอดภัยของกูเกิล ประกาศนโยบายการเผยแพร่ข้อมูลช่องโหว่ของปี 2021 ที่เปลี่ยนจากของเดิม โดย Project Zero ใจดีกว่าเดิม เพิ่มเวลาให้อีก 30 วันก่อนเผยแพร่ข้อมูลช่องโหว่ต่อสาธารณะ

ที่ผ่านมา นโยบายของ Project Zero คือให้เวลาผู้พัฒนาซอฟต์แวร์พัฒนาแพตช์ภายใน 90 วัน (ถ้าช่องโหว่ถูกใช้โจมตีแล้ว จะให้เวลา 7 วันแทน) ก่อนเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ เพื่อบีบให้ผู้พัฒนาซอฟต์แวร์ต้องรีบออกแพตช์ภายในระยะเวลาที่กำหนด มิฉะนั้น แฮ็กเกอร์จะได้ข้อมูลช่องโหว่ไปใช้โจมตี

นโยบายใหม่ของ Project Zero จะขยับเลขเป็น 90+30 และ 7+30 ด้วยเหตุผลว่าเพิ่มเวลาอีก 30 วัน เพื่อให้ผู้ใช้ทยอยติดตั้งแพตช์เป็นจำนวนมากๆ ก่อนเปิดเผยข้อมูลแพตช์

เว็บไซต์ไอทีหลายแห่งพบว่า Pixel 5 มีประสิทธิภาพกราฟฟิกดีขึ้นมาก หลังอัพ แพตช์ความปลอดภัยรอบเดือนเมษายน 2021 ที่ระบุถึงการ “ปรับปรุงประสิทธิภาพสำหรับแอพและเกมที่ใช้งานกราฟฟิกหนักบางแอพ” บน Google Pixel 5 และ Pixel 4a 5G

Andreas Proschofsky จากเว็บไซต์ Der Standard ประเทศเยอรมนี ทวิตว่าคะแนน 3DMark ของ Pixel 5 ที่ใช้ Snapdragon 765G (จีพียู Adreno 620) เพิ่มขึ้นถึงราว 30-50% หลังอัพแพตช์ดังกล่าว

แอปเปิลออกอัพเดต iOS 14.4.2 และ iPadOS 14.4.2 ในวันนี้ โดยเป็นการแก้ไขช่องโหว่ของ WebKit ที่อาจทำให้ถูกโจมตีแบบ Cross-Site ได้ ผู้ใช้งานจึงควรอัพเดตเพื่อความปลอดภัย

การอัพเดตทำได้โดยไปที่ Settings > General > Software Update

แอปเปิลยังออกอัพเดตเพื่อแก้ไขช่องโหว่นี้สำหรับ watchOS ระบบปฏิบัติการบน Apple Watch และ iOS ของอุปกรณ์รุ่นเก่าที่อัพเดตเป็น iOS 14 ไม่ได้ รายละเอียดดังนี้

OpenSSL ออกแพตช์เวอร์ชั่น 1.1.1k แก้ไขช่องโหว่ร้ายแรงสูงสองรายการที่เปิดทางให้แฮกเกอร์ออกใบรับรองปลอม และอาจทำเซิร์ฟเวอร์แครช

ช่องโหว่ CVE-2021-3450 เป็นช่องโหว่ที่เปิดทางให้แฮกเกอร์ใช้ใบรับรองทั่วไปทำตัวเป็น certification authority (CA) แล้วนำไปรับรองใบรับรองอื่นๆ ได้ เปิดทางให้แฮกเกอร์สร้างใบรับรองสำหรับโดเมนอื่นๆ ที่ไม่ได้เป็นเจ้าของเอง แม้ช่องโหว่นี้จะร้ายแรง แต่ไคลเอนต์ที่จะได้รับผลกระทบต้องเปิดฟีเจอร์ X509_V_FLAG_X509_STRICT ซึ่งค่าเริ่มต้นไม่ได้เปิดเอาไว้

ไมโครซอฟท์แจ้งเตือนผู้ใช้ Exchange Server ว่าบริษัทเริ่มตรวจพบกลุ่มแฮกเกอร์ใช้ช่องโหว่ล่าสุดเพื่อเผยแพร่มัลแวร์เข้ารหัสเรียกค่าไถ่ (ransomware) โดยมัลแวร์ที่พบคือ Doejo.Crypt.A และ DearCry

แม้ไมโครซอฟท์จะออกแพตช์มาตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา แต่เนื่องจากช่องโหว่นี้มีผลกระทบเป็นวงกว้างทำให้บริษัทตัดสินใจออกแพตช์ย้อนให้กับ Exchange 2019 รุ่นเก่าที่ติดตั้งแพตช์ Cumulative Updates (CU) ตั้งแต่ตัวแรก CU1 จนถึง CU22 เพื่อให้ลูกค้าสามารถอัพเดตแพตช์นี้ได้ง่ายขึ้น

ที่มา - @MsftSecIntel

Android Police ทำบทความให้คะแนนการอัพเดตแพทช์ความปลอดภัยของมือถือแอนดรอยด์รุ่นเรือธง 18 รุ่น โดยดูจากดีเลย์หลังจากที่แพทช์ออก และเดือนที่มือถือรุ่นนั้นข้ามอัพเดตไป มือถือที่ไม่ข้ามอัพเดต และมีดีเลย์น้อยที่สุดได้ 10 คะแนนเต็ม หลังจากนั้นคะแนนลดหลั่นจาก 10 ถึง 0 ซึ่ง Pixel 5/4/4a 5G ได้คะแนนเต็ม 10 เป็นลำดับแรกตามความคาดหมาย

โครงการ CentOS มีกำหนดยุติการซัพพอร์ต CentOS 6 ตั้งแต่วันที่ 30 พฤศจิกายนนี้เป็นต้นไป ทำให้เซิร์ฟเวอร์ที่ยังใช้งานต่อไม่ได้รับแพตช์ความปลอดภัยใดๆ อีกต่อไป โดย CentOS 6 นั้นเริ่มออกตัวจริงตั้งแต่ปี 2011 รวมเวลานานกว่า 9 ปีแล้ว

ผู้ดูแลระบบลินุกซ์น่าจะพบ CentOS กันอยู่เรื่อยๆ เนื่องจาก CentOS ใช้ซอร์สโค้ดจาก RHEL ของ Red Hat มาคอมไพล์ใหม่แล้วแจกจ่ายฟรี ทำให้ซอฟต์แวร์ต่างๆ และการคอนฟิกนั้นเหมือนกันแทบทั้งหมด หลายองค์กรอาจจะใช้ CentOS เป็นระบบทดสอบหรือแม้แต่ระบบจริง และตัวโครงการเองก็มีแนวทางซัพพอร์ตแต่ละเวอร์ชั่นยาวนาน ปัจจุบัน CentOS 8 นั้นเพิ่งออกมาเมื่อปี 2019 และจะหมดซัพพอร์ตปี 2029

แอปเปิลปล่อยแพตช์แมคในตระกูล Big Sur 11.0, High Sierra 10.13, และ Mojave 10.14 หลังมีรายงานการโจมตีช่องโหว่เคอร์เนลและ FontParser

ช่องโหว่ใน FontParser เปิดทางให้แฮกเกอร์สามารถสร้างฟอนต์เพื่อรันโค้ดในเครื่องของเหยื่อได้ ขณะที่ช่องโหว่ในเคอร์เนลเปิดทางให้แฮกเกอร์ยกระดับสิทธิไปรันในสิทธิ์ระดับเคอร์เนล โดยรวมทำให้แฮกเกอร์ยึดเครื่องเหยื่อได้

ช่องโหว่ที่ถูกใช้งานแล้วแจ้งมายังแอปเปิลโดย Project Zero ของกูเกิล ยังไม่มีข้อมูลว่ากูเกิลไปพบการโจมตีได้อย่างไร โดยแพตช์ที่แก้ไขช่องโหว่เหล่านี้จะเป็น Big Sur 11.0.1, High Sierra 10.13.6, และ Mojave 10.14.6

ที่มา - Apple,

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำรอบเดือนแก้ไขช่องโหว่ 87 รายการแต่ช่วงสุดสัปดาห์ไมโครซอฟท์ก็ตัดสินใจปล่อยแพตช์ความปลอดภัยนอกรอบปกติให้กับช่องโหว่อีก 2 จุด สำหรับ Windows 10 และ Visual Studio Code

ช่องโหว่แรก CVE-2020-17022 เป็นช่องโหว่รันโค้ดระยะไกลโดยคนร้ายสามารถส่งภาพเพื่อให้เหยื่อเปิดแล้วกลายเป็นการรันโค้ด ช่องโหว่นี้กระทบ Windows 10 ทุกรุ่นที่ติดตั้งซอฟต์แวร์ถอดรหัสภาพ HEVC from Device Manufacturer เท่านั้น

กูเกิลปล่อยแพตช์ความปลอดภัย Android ประจำรอบเดือนตุลาคม 2020 อุดช่องโหว่ความปลอดภัยจำนวนมาก โดยมีช่องโหว่ระดับ critical จำนวน 6 ตัว ทั้งหมดเป็นแพตช์ของ Qualcomm

มือถือกลุ่ม Pixel ทั้งหมดตั้งแต่ Pixel 2 ขึ้นไปได้อัพเดตกันตามปกติ แต่ที่ไม่ธรรมดาคือ ซัมซุงที่ช่วงหลังออกแพตช์เร็วขึ้นมากๆ ก็ออกแพตช์ในวันแรกเช่นกัน โดยมือถือระดับเรือธง S10/S20/Note 10/Note 20 เริ่มทยอยได้แพตช์กันแล้วในบางประเทศ และมือถือระดับกลางอย่าง Galaxy A50 ก็ได้แพตช์รอบเดือนตุลาคมเรียบร้อยแล้วเช่นกัน

ที่มา - Android Security, XDA

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยตามรอบเดือนกันยายน โดยรอบนี้มีแพตช์ช่องโหว่ระดับวิกฤติ 23 รายการ, ระดับสำคัญ 105 รายการ, และระดับปานกลาง 1 รายการ ไม่มีช่องโหว่ใดมีการโจมตีก่อนปล่อยแพตช์

แต่ช่องโหว่หนึ่งที่น่าสนใจเป็นพิเศษคือ CVE-2020-16875 ที่เป็นช่องโหว่รันโค้ดระยะไกลของ Exchange Server โดยตอนแรกไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกโจมตีผ่านอีเมลจากภายนอกได้ ทำให้ความร้ายแรงสูงมาก แต่ภายหลังไมโครซอฟท์เปลี่ยนคำอธิบายช่องโหว่ระบุว่าต้องโจมตีโดยผู้ใช้ที่ล็อกอินแล้วเท่านั้น ทำให้ความร้ายแรงลดลงไปมาก

OpenSSL รายงานถึงช่องโหว่ CVE-2020-1968 หรือ Racoon Attack ที่เป็นช่องโหว่ของตัวมาตรฐานการเข้ารหัส TLS เอง ทำให้ไลบรารีที่ใช้กระบวนการแลกเปลี่ยนกุญแจแบบ Diffie-Hellman โดยใช้ค่าความลับแบบคงที่ (pre-master secret) ถูกดักฟังการสื่อสารที่เข้ารหัสไว้ได้ หากคนร้ายเก็บข้อมูลจากการเชื่อมต่อได้หลายๆ ครั้งและใช้ค่าความลับเดียวกันทั้งหมด

ช่องโหว่นี้ไม่กระทบ OpenSSL เวอร์ชั่น 1.1.1 ขึ้นไปเพราะได้ถอดกระบวนการเข้ารหัสที่เข้าข่ายไปทั้งหมดแล้ว ที่น่ากังวลคือ OpenSSL 1.0.2 ที่หมดซัพพอร์ตไปแล้วแต่ยังรองรับกระบวนการเข้ารหัสที่มีช่องโหว่เหล่านี้ พร้อมกับตั้งค่าเริ่มต้นไว้จนได้รับผลกระทบทั้งหมด และทาง OpenSSL จะปล่อยอัพเดต OpenSSL 1.0.2w ให้กับลูกค้าที่ซื้อซัพพอร์ตเท่านั้น

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยรอบเดือนสิงหาคม โดยรอบนี้มีช่องโหว่รวม 120 รายการ แต่จุดร้ายแรงเป็นพิเศษคือช่องโหว่ CVE-2020-1380 ของสคริปต์เอนจินของ Internet Explorer ที่มีช่องโหว่จนคนร้ายสามารถรันโค้ดใดๆ ในเครื่องของเหยื่อได้ เพียงแค่เหยื่อเปิดเว็บดู หรือส่งไฟล์ไปให้เปิดในเครื่องที่อาจจะเป็นไฟล์ HTML หรือ Office

เมื่อวานนี้หลังทางบริษัท Eclypsium ได้เปิดเผยช่องโหว่ของ GRUB2 ออกมาผู้ผลิตระบบปฎิบัติการก็ออกแพตช์กันตามนัดหมาาย แต่ปรากฎว่าผู้ใช้ RHEL 8.2 จำนวนหนึ่งกลับพบว่าแพตช์ทำให้เครื่องบูตไม่ขึ้น

ผู้ใช้จำนวนหนึ่งระบุว่าทางออกคือปิด Secure Boot ไปก่อน สำหรับผู้ใช้บางส่วนระบุว่าต้อง downgrade แพ็กเกจ shim-x64 และ grub2

ระหว่างนี้ใครใช้ RHEL 8.2 ควรระวังการแพตช์แพ็กเกจที่เกี่ยวข้อง หากติดตั้งไปแล้วและพบปัญหาให้ติดต่อซัพพอร์ตของทาง Red Hat

ที่มา - Red Hat

ไมโครซอฟท์ออกแพตช์ประจำเดือนกรกฎาคมโดยแยกประกาศพิเศษให้กับช่องโหว่ CVE-2020-1350 กระทบตั้งแต่ Windows Server 2003 มาจนถึง Windows Server 2019 เปิดทางให้แฮกเกอร์ยิงคิวรี DNS ที่สร้างเฉพาะขึ้นมารันโค้ดบนเซิร์ฟเวอร์เหยื่อได้ โดยระบุว่าแฮกเกอร์อาจโจมตีได้ง่าย คะแนนความร้ายแรงตาม CVSSv3 เป็น 10.0