อินเทลออกเฟิร์มแวร์ซีพียูเพื่อแก้ไขการโจมตี Meltdown/Spectre แต่ตอนนี้ปรากฎว่ามีลูกค้าจำนวนหนึ่งติดตั้งเฟิร์มแวร์แล้วเครื่องรีบูต

อินเทลไม่ได้ให้รายละเอียดว่าอาการเครื่องรีบูตนี้เป็นอาการ bootloop หรือบูตผิดปกติอย่างไร แต่บอกเพียงปัญหานี้กระทบซีพียู Broadwell และ Haswell และหากมีการออกเฟิร์มแวร์ใหม่จะแจ้งต่อไป

อินเทลสัญญาว่าภายในวันจันทร์นี้จะออกเฟิร์มแวร์ให้ครอบคลุมซีพียูอย่างน้อย 90% ของซีพียูที่ "เปิดตัว" ในช่วงห้าปีที่ผ่านมา และจะออกเฟิร์มแวร์ให้กับอีก 10% ภายในสิ้นเดือนนี้

ที่มา - Intel

Melvin Mughal วิศวกรชาวเนเธอร์แลนด์รัน Geekbench 4.2.1 บน iPhone 6 เพื่อทดสอบประสิทธิภาพเครื่องหลังจากติดตั้ง iOS 11.2.2 ที่แก้ไขการโจมตี Spectre พบว่าประสิทธิภาพโดยรวมตกลงถึงเฉลี่ย 40% บทความของเขาถูกแชร์เป็นวงกว้างจนเว็บล่มหลายครั้ง แต่ตอนนี้ผู้ใช้คนอื่นๆ ไม่สามารถทดสอบจนได้ผลแบบเดียวกัน

รายงานของ Mughal แสดงให้เห็นว่าประสิทธิภาพบางหมวดหมู่ได้รับผลกระทบไม่มากนัก เช่น หน่วยความจำได้รับผลกระทบ 8% แต่ประสิทธิภาพการคำนวณด้านอื่นๆ กระทบ 40-50% เป็นส่วนใหญ่ คะแนนรวมแบบ multi-core จาก 2665 คะแนนลดลงเหลือเพียง 1616 คะแนน หรือลดลง 39%

ช่วงเดือนธันวาคมที่ผ่านมานักพัฒนาเคอร์เนลลินุกซ์กำลังเร่งพัฒนาแพตช์ชุดใหญ่ kernel page-table isolation (KPTI) ที่แก้ปัญหาช่องโหว่ของซีพียูอินเทล ที่เปิดให้แฮกเกอร์ที่รันโค้ดในระดับ user สามารถรู้ตำแหน่งของฟังก์ชั่นต่างๆ ในเคอร์เนลได้ จากเดิมที่ควรปกป้องไว้ด้วยระบบสุ่มตำแหน่งหน่วยความจำเคอร์เนล (KASLR)

แพตช์ KPTI แยก page global directory (PGD) ตารางแสดงตำแหน่งหน่วยความจำชั้นบนสุดที่เคยใช้งานร่วมกันระหว่างเคอร์เนลและโปรเซสอื่นๆ ในระดับ user เพื่อป้องกันโปรเซสระดับ user ไม่ให้รับรู้ว่าเคอร์เนลที่ map ไว้ที่ตำแหน่งใด กระบวนการนี้ปกติตัวซีพียูจะจัดการให้อยู่แล้ว แต่ด้วยบั๊กของซีพียูที่ยังไม่เปิดเผย ทำให้กระบวนการไม่สมบูรณ์

ไมโครซอฟต์ออกแพตช์แก้ช่องโหว่ CVE-2017-11940 กระทบซอฟต์แวร์รักษาความปลอดภัยหลายตัว นับแต่ Windows Defender ที่ใช้ในวินโดวส์ส่วนใหญ่ ไปจนถึง Exchange Server

แฮกเกอร์ที่รู้ช่องโหว่นี้สามารถสร้างไฟล์เฉพาะ แล้วส่งเข้ามายังเครื่องของเหยื่อด้วยวิธีการต่างๆ เมื่อไฟล์ถูกสแกนโดยซอฟต์แวร์ที่มีช่องโหว่จะกลายเป็นการรันโค้ดที่แฮกเกอร์วางไว้ ทำให้แฮกเกอร์สามารถเข้ายึดเครื่องได้

อัพเดตปล่อยออกมาแล้วและไม่ต้องสั่งติดตั้งอัพเดตเป็นพิเศษแต่อย่างใด เพราะ Microsoft Protection Engine (MPE) จะอัพเดตตัวเองอยู่เรื่อยๆ อยู่แล้ว ทุกเครื่องควรได้รับอัพเดตภายใน 48 ชั่วโมง หากต้องการยืนยันสามารถตรวจสอบเวอร์ชั่นของ MPE ให้เป็น 1.1.14405.2 หรือสูงกว่า

อินเทลออกประกาศแจ้งเตือนช่องโหว่ของ Intel ME มาเมื่อวานนี้ ตอนนี้ผู้ผลิตเครื่องก็ต้องออกแพตช์ตามประกาศนี้ออกมาเป็นรอบๆ

เดลล์เปิดรายชื่อเครื่องที่ได้รับผลกระทบจากบั๊กนี้ กระทบเครื่องแทบทุกตระกูล ตั้งแต่ Vostro, Latitude, Precison, Optiplex ตอนนี้ยังไม่มีแพตช์แต่ให้รอประกาศจากบริษัทอีกครั้งว่ารุ่นไหนจะได้แพตช์เมื่อใด

หลังจากนักวิจัยรายงานถึงการเข้าถึงหน่วยความจำของ Intel ME ที่เป็นระบบปฎิบัติการ MINIX ได้สำเร็จเมื่อต้นเดือนที่ผ่านมา เมื่อวานนี้อินเทลก็ออกประกาศเตือนว่ามีรายงานการนำโค้ดเข้าไปรันบน Intel ME ได้สำเร็จแล้ว และผู้ใช้ควรเร่งอัพเดตเฟิร์มแวร์ซีพียู

หากแฮกเกอร์เจาะ Intel ME ได้สำเร็จจะสามารถเข้าถึงความสามารถระดับต่ำสุดของเครื่อง โค้ดที่รันอยู่จะมองไม่เห็นโดยระบบปฎิบัติการที่ผู้ใช้ติดตั้ง หรือแม้จะนำโค้ดเข้าไปรันไม่สำเร็จก็สามารถทำให้เครื่องแครชได้

ช่องโหว่นี้กระทบ Intel ME และซอฟต์แวร์จัดการอื่น เช่น Server Platform Service (SPS) และ Trusted Execution Engin (TXE) ซีพียูกระทบตั้งแต่ Xeon รุ่นใหม่ๆ ไปจนถึง Atom และ Celeron

ปัญหาความปลอดภัยที่เกิดจากไลบรารีต้นน้ำเป็นปัญหาใหญ่ในวงการโอเพนซอร์สโดยเฉพาะโครงการเล็กๆ ที่มีคนดูแลไม่มากนัก เช่นเมื่อต้นปีที่ผ่านมา Apache Struts 2 ที่มีใช้งานในโครงการจำนวนมากมีช่องโหว่ ก็กระทบโครงการอื่นๆ เป็นลูกโซ่จำนวนมาก ตอนนี้ทาง GitHub ก็ออกมาเปิดฟีเจอร์แจ้งเตือนช่องโหว่ของไลบรารีให้ทุกโครงการฟรี

สำหรับโครงการที่เปิดต่อสาธารณะจะเปิดใช้งานได้ทันที ขณะที่ลูกค้าแบบจ่ายเงินจะต้องเปิดสิทธิ์ให้ GitHub เข้าถึง dependency graph ได้ จากนั้นผู้ดูแลโครงการจะได้รับอีเมลแจ้งเตือนเสมอ หากต้องการให้ผู้ใช้อื่นได้รับอีเมลด้วยก็แจ้งได้

ที่มา - GitHub

ไมโครซอฟท์ออกแพตช์ความปลอดภัยรอบเดือนพฤศจิกายน โดยรอบนี้มีรายการช่องโหว่ทั้งสิ้น 53 รายการเป็นช่องโหว่ระดับวิกฤติ 20 รายการ แต่ยังไม่พบว่ามีการใช้ช่องโหว่ใดโจมตีจริงแล้ว

รายละเอีดยของช่องโหว่ 4 รายการมีการรายงานออกมาต่อสาธารณะแล้วแต่ก็ไม่มีการใช้โจมตีแต่อย่างใด อย่างไรก็ดีช่องโหว่จำนวนหนึ่งเป็นช่องโหว่รันโค้ดบน Edge, IE11, และ ChakraCore ก็อาจจะพิจารณาเร่งอัพเดตก่อนอันอื่นๆ หากไม่ต้องการอัพเดตทั้งหมด ขณะที่ช่องโหว่ CVE-2017-11882 สำหรับ MS Office 2007-2016 แม้จะอยู่ในระดับสำคัญ (ไม่ถึงวิกฤติ) แต่ก็มีตัวอย่างโค้ดออกมาแล้ว ดังนั้นจึงควรเร่งอัพเดตเช่นกัน

ออราเคิลออกแพตช์แก้ไขช่องโหว่บัญชีของ Oracle Identity Manager (OIM) ที่มีรหัสผ่านเป็นช่องว่างช่องเดียว เปิดทางให้แฮกเกอร์สามารถล็อกอินเข้าระบบได้ กระทบ OIM เวอร์ชั่น 11.1 เป็นต้นมา

ผู้ใช้ OIMINTERNAL เป็นผู้ใช้ที่สร้างขึ้นเป็นมาตรฐานตามเอกสารคู่มือของ OIM เอง และรหัสผ่านที่เป็นช่องว่างเพียงช่องเดียวควรทำให้ผู้ใช้นี้ล็อกอินไม่ได้ แต่จากการแพตช์รอบนี้ก็แสดงว่ามีบางช่องทางที่สามารถล็อกอินได้

ช่องโหว่ CVE-2017-10151 นี้ได้คะแนน CVSSv3 อยู่ที่ 10.0 ผู้ใช้ทุกคนควรแพตช์ทันที

WordPress ออกเวอร์ชัน 4.8.3 แก้ช่องโหว่ความปลอดภัยเกี่ยวกับ SQL injection ที่พบในเวอร์ชัน 4.8.2 ซึ่งทาง WordPress แนะนำให้อัพเดตทันที

ช่องโหว่นี้ไม่กระทบกับตัวโปรแกรมหลักของ WordPress เอง แต่อาจเปิดโอกาสให้ปลั๊กอินหรือธีมบางตัวที่เขียนมาไม่ดีพอ กลายเป็นช่องโหว่ให้ระบบทั้งหมดถูกโจมตีได้

Anthony Ferrara ผู้ค้นพบช่องโหว่นี้ บอกว่า WordPress 4.8.2 ออกแพตช์อุดช่องโหว่ชุดนี้แล้วแต่เขียนแพตช์มาไม่ดีพอ เขาจึงรายงานชองโหว่เข้าไปใหม่ในวันเดียวกับที่เวอร์ชัน 4.8.2 ออก (20 กันยายน) แต่ทางทีมงาน WordPress ไม่เหลียวแล จนกระทั่งเขาระบุว่าจะประกาศช่องโหว่นี้ต่อสาธารณะ ทางทีม WordPress ถึงค่อยยอมมาสนใจปัญหานี้ ซึ่งใช้เวลาเกือบหนึ่งเดือน

Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง

ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ

แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ

ที่มา - Drupal Security

ออราเคิลปล่อยแพตช์ประจำไตรมาสที่สามของปี มีการแก้ไขช่องโหว่ความปลอดภัยทั้งหมด 253 จุดในซอฟต์แวร์ 76 รายการ ในจำนวนนี้มีแพตช์ช่องโหว่ร้ายแรง (คะแนน CVSS เกิน 9.0) ทั้งหมด 15 รายการ

สำหรับแพตช์ที่กระทบคนทั่วไปมากที่สุดคงเป็น Java SE ที่มีแพตช์ทั้งหมด 7 รายการ เป็นช่องโหว่ร้ายแรง 3 รายการ ส่วนซอฟต์แวร์อื่นที่มีช่องโหว่ร้ายแรงได้แก่ Oracle Database Server (OJVM), Oracle Big Data Discovery, Oracle Web Services, Oracle WebLogic Server, Oracle Advanced Supply Chain Planning, Oracle Commerce Platform, Oracle Retail Customer Insights, Oracle Retail Merchandising Insights, Secure Global Desktop, Oracle VM VirtualBox

ไมโครซอฟท์แพตช์ความปลอดภัยรอบเดือนพฤศจิกายน จำนวน 12 ชุด เป็นช่องโหว่ร้ายแรง 4 รายการ ได้แก่

เป็นประจำสำหรับ Patch Tuesday ซึ่งจะเป็นการอัพเดตแพตซ์ด้านความปลอดภัยของค่ายไมโครซอฟท์ครับ สำหรับวันอังคารนี้ค่อนข้างพิเศษเพราะมีแพตซ์จากอโดบี และจากกูเกิลด้วย ผู้ใช้ควรจะรีบอัพเดตทันทีเพื่อความปลอดภัยนะครับ

สัปดาห์หน้าไมโครซอฟท์จะออก patch เพื่ออัพเดต security จำนวน 11 ตัว โดยในจำนวน patch ทั้งหมดดังกล่าว มี critical 4 ตัว เพื่อแก้ปัญหา Active Directory, IE, Excel และ HIS โดยเฉพาะ, patch แบบ important 6 ตัวสำหรับแก้ปัญหาวินโดวส์ใน​เวอร์ชันก่อนหน้า และอีกตัวเป็น moderate ซึ่งเป็น patch เพื่อออฟฟิศ XP Service pack 3

โดย patch ที่เป็น critical มีรายละเอียดดังต่อไปนี้