By: lew 
on 6 March 2018 - 00:56
Tags:
Topics:
แม้ว่าเครือข่ายกระจายตัว (distributed network) อย่าง Bitcoin หรือ Ethereum จะยากต่อการปลอมแปลง แต่ในทางทฤษฎี หากเรามีเครื่องที่แจกจ่ายข้อมูลปลอมๆ มากพอ ก็อาจจะหลอกให้ผู้ใช้สักคนเชื่อมต่อกับโหนดปลอมทั้งหมดจนเข้าใจสถานะเครือข่ายผิด ทำให้ถูกหลอกทำสัญญาบน smart contract หรือสั่งโอนเงินไปโดยเข้าใจผิด ไปจนถึงเข้าใจว่าได้รับเงินแล้วจึงให้สินค้าหรือบริการไป
ทีมวิจัยจากมหาวิทยาลัยบอสตันพบว่า geth ไคลเอนต์ของ Ethereum ที่ได้รับความนิยมสูง มีช่องโหว่ทำให้คนร้ายสามารถสร้างเครือข่ายปลอมด้วยเซิร์ฟเวอร์เพียงสองตัว และจะสามารถปลอมเครือข่ายได้เมื่อ geth รีสตาร์ตใหม่ เรียกว่าการโจมตี Eclipse (บังเครือข่ายจริงออกจากไคลเอนต์)
By: lew on 1 March 2018 - 13:39
Tags:
Topics:
อินเทลปล่อยแพตช์ป้องกันการโจมตี Spectre แบบที่ 2 (variant 2) ให้สำหรับซีพียู Broadwell Xeon E3, Broadwell U/Y, Haswell H,S และ Haswell Xeon E3 ให้กับผู้ผลิตแล้ว
อินเทลออกแพตช์ชุดแรกให้กับ Skylake และ Karby Lake แต่ก็ต้องถอนแพตช์กลับและออกแพตช์เวอร์ชั่นใหม่ หลังจากแพตช์ตัวแรกทำให้เครื่องไม่เสถียร
แพตช์สำหรับซีพียูจำนวนมากยังอยู่ในระดับเบต้ารอการทดสอบ เช่น Broadwell Server EX, Haswell Server EX, Ivy Bridge, Sandy Bridge เป็นต้น
ที่มา - ThreatPost
By: lew on 22 February 2018 - 14:13
Tags:
Topics:
Drupal ประกาศแพตช์ความปลอดภัยอันตรายสูงทั้งเวอร์ชั่น 7 และ 8 แต่เป็นคนละช่องโหว่ที่ไม่เกี่ยวข้องกัน
ช่องโหว่ของ Drupal 8 เป็นช่องโหว่การเข้าดูเนื้อหาที่ไม่มีสิทธิ์และสามารถคอมเมนต์ในเนื้อหานั้นๆ ได้ โดยผู้ใช้ที่ได้สิทธิ์คอมเมนต์ ขณะที่ Drupal 7 เป็นช่องโหว่ของฟังก์ชั่น Drupal.checkPlain() ที่ทำงานไม่สมบูรณ์ ทำให้แฮกเกอร์สามารถทำ cross-site scripting ได้
สามารถสั่งอัพเดตได้แล้วตอนนี้
ที่มา - Drupal
By: lew on 30 January 2018 - 11:03
Tags:
Topics:
Lenovo ออกอัพเดตโปรแกรม Fingerprint Manager Pro ที่แถมไปกับคอมพิวเตอร์ในตระกูล ThinkPad ตระกูลตั้งแต่ สี่ปีก่อน เช่น T440, X240 ไปจนถึงรุ่นก่อนหน้านี้ เช่น T560 และ X260 และกระทบ Windows 7, 8, และ 8.1
ซอฟต์แวร์ Fingerprint Manager Pro เก็บรหัสผ่านเว็บและล็อกอินเว็บอัตโนมัติเมื่อผู้ใช้แตะนิ้วมือ ช่องโหว่นี้ทำให้ local admin ที่เข้าถึงไฟล์ข้อมูลได้สามารถอ่านข้อมูลกลับออกมาได้ทั้งหมดเพราะไฟล์เข้ารหัสไว้อ่อนแอและมีรหัสผ่านแบบฮาร์ดโค้ดเอาไว้
ทาง Lenovo ออกอัพเดตมาแล้วใครใช้งานซอฟต์แวร์ตัวนี้อยู่ก็ควรรีบอัพเดตครับ
ที่มา - Lenovo
By: lew on 29 January 2018 - 13:47
Tags:
Topics:
ไมโครซอฟท์ออกแพตช์นอกรอบ KB4078130 สำหรับถอนแพตช์แก้การโจมตี Spectre ด้วยการอัพเดต microcode ในซีพียู โดยเป็นการอัพเดตหลังผู้ใช้จำนวนหนึ่งรายงานว่าอัพเดตนี้ทำให้เครื่องรีบูตเอง
เมื่อสัปดาห์ที่แล้วอินเทลเพิ่งออกแพตช์ใหม่อีกครั้งเพื่อแก้ปัญหาเครื่องรีบูตนี้
ไมโครซอฟท์เปิดทางให้ผู้ดูแลระบบเลือกเปิดแพตช์นี้เองได้ด้วยการตั้งค่าใน registry โดยระบุว่าควรเปิดกลับมาหลังอินเทลยืนยันว่าแก้ปัญหาแล้ว อย่างไรก็ดี ตอนนี้ยังไม่มีรายงานการโจมตีด้วยเทคนิคนี้แต่อย่างใด
By: lew on 18 January 2018 - 01:28
Tags:
Topics:
ออราเคิลปล่อยแพตช์ความปลอดภัยรอบไตรมาสแรกของปี 2018 รวม 237 รายการ โดยช่องโหว่ร้ายแรงที่สุดเป็นของ Sun ZFS Storage Appliance Kit (AK) ที่มีช่องโหว่ CVSS 10.0 หนึ่งรายการ ส่วนซอฟต์แวร์ที่เกี่ยวข้องกับคนวงกว้าง เช่น MySQL Server มีช่องโหว่ร้ายแรงสุด CVSS 7.5 (ตัว monitor ร้ายแรงกว่าแต่คนทั่วไปคงไม่ได้ใช้) หรือ Java SE ที่มีช่องโหว่ CVSS 8.3 เท่ากัน 3 รายการ กระทบตั้งแต่ Java 6 มาถึง 9
สำหรับการโจมตี Meltdown/Spectre ออราเคิลแจ้งลูกค้าในหน้าพอร์ทัลที่ต้องล็อกอินระบุว่าบริษัทเชื่อว่า SPARCv9 ได้รับผลกระทบจาก Spectre ด้วย แต่แพตช์จะออกต่อเมื่อทดสอบเสร็จแล้ว ระหว่างนี้แนะนำให้จำกัดผู้ใช้ที่มีสิทธิ์ระดับสูงและตรวจสอบล็อกสม่ำเสมอ ส่วนผลกระทบในแง่ประสิทธิภาพจะมีการตรวจสอบอีกครั้ง
By: lew on 13 January 2018 - 00:57
Tags:
Topics:
อินเทลออกเฟิร์มแวร์ซีพียูเพื่อแก้ไขการโจมตี Meltdown/Spectre แต่ตอนนี้ปรากฎว่ามีลูกค้าจำนวนหนึ่งติดตั้งเฟิร์มแวร์แล้วเครื่องรีบูต
อินเทลไม่ได้ให้รายละเอียดว่าอาการเครื่องรีบูตนี้เป็นอาการ bootloop หรือบูตผิดปกติอย่างไร แต่บอกเพียงปัญหานี้กระทบซีพียู Broadwell และ Haswell และหากมีการออกเฟิร์มแวร์ใหม่จะแจ้งต่อไป
อินเทลสัญญาว่าภายในวันจันทร์นี้จะออกเฟิร์มแวร์ให้ครอบคลุมซีพียูอย่างน้อย 90% ของซีพียูที่ "เปิดตัว" ในช่วงห้าปีที่ผ่านมา และจะออกเฟิร์มแวร์ให้กับอีก 10% ภายในสิ้นเดือนนี้
ที่มา - Intel
- Read more about อินเทลแจ้งเตือน เฟิร์มแวร์ใหม่อัพเดตแล้วเครื่องรีบูต
- 1 comment
- Log in or register to post comments
By: lew on 11 January 2018 - 22:46
Tags:
Topics:
Melvin Mughal วิศวกรชาวเนเธอร์แลนด์รัน Geekbench 4.2.1 บน iPhone 6 เพื่อทดสอบประสิทธิภาพเครื่องหลังจากติดตั้ง iOS 11.2.2 ที่แก้ไขการโจมตี Spectre พบว่าประสิทธิภาพโดยรวมตกลงถึงเฉลี่ย 40% บทความของเขาถูกแชร์เป็นวงกว้างจนเว็บล่มหลายครั้ง แต่ตอนนี้ผู้ใช้คนอื่นๆ ไม่สามารถทดสอบจนได้ผลแบบเดียวกัน
รายงานของ Mughal แสดงให้เห็นว่าประสิทธิภาพบางหมวดหมู่ได้รับผลกระทบไม่มากนัก เช่น หน่วยความจำได้รับผลกระทบ 8% แต่ประสิทธิภาพการคำนวณด้านอื่นๆ กระทบ 40-50% เป็นส่วนใหญ่ คะแนนรวมแบบ multi-core จาก 2665 คะแนนลดลงเหลือเพียง 1616 คะแนน หรือลดลง 39%
By: lew on 3 January 2018 - 12:22
Tags:
ช่วงเดือนธันวาคมที่ผ่านมานักพัฒนาเคอร์เนลลินุกซ์กำลังเร่งพัฒนาแพตช์ชุดใหญ่ kernel page-table isolation (KPTI) ที่แก้ปัญหาช่องโหว่ของซีพียูอินเทล ที่เปิดให้แฮกเกอร์ที่รันโค้ดในระดับ user สามารถรู้ตำแหน่งของฟังก์ชั่นต่างๆ ในเคอร์เนลได้ จากเดิมที่ควรปกป้องไว้ด้วยระบบสุ่มตำแหน่งหน่วยความจำเคอร์เนล (KASLR)
แพตช์ KPTI แยก page global directory (PGD) ตารางแสดงตำแหน่งหน่วยความจำชั้นบนสุดที่เคยใช้งานร่วมกันระหว่างเคอร์เนลและโปรเซสอื่นๆ ในระดับ user เพื่อป้องกันโปรเซสระดับ user ไม่ให้รับรู้ว่าเคอร์เนลที่ map ไว้ที่ตำแหน่งใด กระบวนการนี้ปกติตัวซีพียูจะจัดการให้อยู่แล้ว แต่ด้วยบั๊กของซีพียูที่ยังไม่เปิดเผย ทำให้กระบวนการไม่สมบูรณ์
By: lew on 8 December 2017 - 11:32
Tags:
Topics:
ไมโครซอฟต์ออกแพตช์แก้ช่องโหว่ CVE-2017-11940 กระทบซอฟต์แวร์รักษาความปลอดภัยหลายตัว นับแต่ Windows Defender ที่ใช้ในวินโดวส์ส่วนใหญ่ ไปจนถึง Exchange Server
แฮกเกอร์ที่รู้ช่องโหว่นี้สามารถสร้างไฟล์เฉพาะ แล้วส่งเข้ามายังเครื่องของเหยื่อด้วยวิธีการต่างๆ เมื่อไฟล์ถูกสแกนโดยซอฟต์แวร์ที่มีช่องโหว่จะกลายเป็นการรันโค้ดที่แฮกเกอร์วางไว้ ทำให้แฮกเกอร์สามารถเข้ายึดเครื่องได้
อัพเดตปล่อยออกมาแล้วและไม่ต้องสั่งติดตั้งอัพเดตเป็นพิเศษแต่อย่างใด เพราะ Microsoft Protection Engine (MPE) จะอัพเดตตัวเองอยู่เรื่อยๆ อยู่แล้ว ทุกเครื่องควรได้รับอัพเดตภายใน 48 ชั่วโมง หากต้องการยืนยันสามารถตรวจสอบเวอร์ชั่นของ MPE ให้เป็น 1.1.14405.2 หรือสูงกว่า
By: lew on 22 November 2017 - 15:11
Tags:
Topics:
อินเทลออกประกาศแจ้งเตือนช่องโหว่ของ Intel ME มาเมื่อวานนี้ ตอนนี้ผู้ผลิตเครื่องก็ต้องออกแพตช์ตามประกาศนี้ออกมาเป็นรอบๆ
เดลล์เปิดรายชื่อเครื่องที่ได้รับผลกระทบจากบั๊กนี้ กระทบเครื่องแทบทุกตระกูล ตั้งแต่ Vostro, Latitude, Precison, Optiplex ตอนนี้ยังไม่มีแพตช์แต่ให้รอประกาศจากบริษัทอีกครั้งว่ารุ่นไหนจะได้แพตช์เมื่อใด
By: lew on 22 November 2017 - 10:56
Tags:
Topics:
หลังจากนักวิจัยรายงานถึงการเข้าถึงหน่วยความจำของ Intel ME ที่เป็นระบบปฎิบัติการ MINIX ได้สำเร็จเมื่อต้นเดือนที่ผ่านมา เมื่อวานนี้อินเทลก็ออกประกาศเตือนว่ามีรายงานการนำโค้ดเข้าไปรันบน Intel ME ได้สำเร็จแล้ว และผู้ใช้ควรเร่งอัพเดตเฟิร์มแวร์ซีพียู
หากแฮกเกอร์เจาะ Intel ME ได้สำเร็จจะสามารถเข้าถึงความสามารถระดับต่ำสุดของเครื่อง โค้ดที่รันอยู่จะมองไม่เห็นโดยระบบปฎิบัติการที่ผู้ใช้ติดตั้ง หรือแม้จะนำโค้ดเข้าไปรันไม่สำเร็จก็สามารถทำให้เครื่องแครชได้
ช่องโหว่นี้กระทบ Intel ME และซอฟต์แวร์จัดการอื่น เช่น Server Platform Service (SPS) และ Trusted Execution Engin (TXE) ซีพียูกระทบตั้งแต่ Xeon รุ่นใหม่ๆ ไปจนถึง Atom และ Celeron
By: lew on 17 November 2017 - 13:16
Tags:
Topics:
ปัญหาความปลอดภัยที่เกิดจากไลบรารีต้นน้ำเป็นปัญหาใหญ่ในวงการโอเพนซอร์สโดยเฉพาะโครงการเล็กๆ ที่มีคนดูแลไม่มากนัก เช่นเมื่อต้นปีที่ผ่านมา Apache Struts 2 ที่มีใช้งานในโครงการจำนวนมากมีช่องโหว่ ก็กระทบโครงการอื่นๆ เป็นลูกโซ่จำนวนมาก ตอนนี้ทาง GitHub ก็ออกมาเปิดฟีเจอร์แจ้งเตือนช่องโหว่ของไลบรารีให้ทุกโครงการฟรี
สำหรับโครงการที่เปิดต่อสาธารณะจะเปิดใช้งานได้ทันที ขณะที่ลูกค้าแบบจ่ายเงินจะต้องเปิดสิทธิ์ให้ GitHub เข้าถึง dependency graph ได้ จากนั้นผู้ดูแลโครงการจะได้รับอีเมลแจ้งเตือนเสมอ หากต้องการให้ผู้ใช้อื่นได้รับอีเมลด้วยก็แจ้งได้
ที่มา - GitHub
By: lew on 15 November 2017 - 19:44
Tags:
Topics:
ไมโครซอฟท์ออกแพตช์ความปลอดภัยรอบเดือนพฤศจิกายน โดยรอบนี้มีรายการช่องโหว่ทั้งสิ้น 53 รายการเป็นช่องโหว่ระดับวิกฤติ 20 รายการ แต่ยังไม่พบว่ามีการใช้ช่องโหว่ใดโจมตีจริงแล้ว
รายละเอีดยของช่องโหว่ 4 รายการมีการรายงานออกมาต่อสาธารณะแล้วแต่ก็ไม่มีการใช้โจมตีแต่อย่างใด อย่างไรก็ดีช่องโหว่จำนวนหนึ่งเป็นช่องโหว่รันโค้ดบน Edge, IE11, และ ChakraCore ก็อาจจะพิจารณาเร่งอัพเดตก่อนอันอื่นๆ หากไม่ต้องการอัพเดตทั้งหมด ขณะที่ช่องโหว่ CVE-2017-11882 สำหรับ MS Office 2007-2016 แม้จะอยู่ในระดับสำคัญ (ไม่ถึงวิกฤติ) แต่ก็มีตัวอย่างโค้ดออกมาแล้ว ดังนั้นจึงควรเร่งอัพเดตเช่นกัน
By: lew on 1 November 2017 - 15:26
Tags:
Topics:
ออราเคิลออกแพตช์แก้ไขช่องโหว่บัญชีของ Oracle Identity Manager (OIM) ที่มีรหัสผ่านเป็นช่องว่างช่องเดียว เปิดทางให้แฮกเกอร์สามารถล็อกอินเข้าระบบได้ กระทบ OIM เวอร์ชั่น 11.1 เป็นต้นมา
ผู้ใช้ OIMINTERNAL เป็นผู้ใช้ที่สร้างขึ้นเป็นมาตรฐานตามเอกสารคู่มือของ OIM เอง และรหัสผ่านที่เป็นช่องว่างเพียงช่องเดียวควรทำให้ผู้ใช้นี้ล็อกอินไม่ได้ แต่จากการแพตช์รอบนี้ก็แสดงว่ามีบางช่องทางที่สามารถล็อกอินได้
ช่องโหว่ CVE-2017-10151 นี้ได้คะแนน CVSSv3 อยู่ที่ 10.0 ผู้ใช้ทุกคนควรแพตช์ทันที
By: mk on 1 November 2017 - 10:08
Tags:
WordPress ออกเวอร์ชัน 4.8.3 แก้ช่องโหว่ความปลอดภัยเกี่ยวกับ SQL injection ที่พบในเวอร์ชัน 4.8.2 ซึ่งทาง WordPress แนะนำให้อัพเดตทันที
ช่องโหว่นี้ไม่กระทบกับตัวโปรแกรมหลักของ WordPress เอง แต่อาจเปิดโอกาสให้ปลั๊กอินหรือธีมบางตัวที่เขียนมาไม่ดีพอ กลายเป็นช่องโหว่ให้ระบบทั้งหมดถูกโจมตีได้
Anthony Ferrara ผู้ค้นพบช่องโหว่นี้ บอกว่า WordPress 4.8.2 ออกแพตช์อุดช่องโหว่ชุดนี้แล้วแต่เขียนแพตช์มาไม่ดีพอ เขาจึงรายงานชองโหว่เข้าไปใหม่ในวันเดียวกับที่เวอร์ชัน 4.8.2 ออก (20 กันยายน) แต่ทางทีมงาน WordPress ไม่เหลียวแล จนกระทั่งเขาระบุว่าจะประกาศช่องโหว่นี้ต่อสาธารณะ ทางทีม WordPress ถึงค่อยยอมมาสนใจปัญหานี้ ซึ่งใช้เวลาเกือบหนึ่งเดือน
By: lew on 21 November 2016 - 12:35
Tags:
Topics:
Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง
ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ
แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ
ที่มา - Drupal Security
By: lew on 19 October 2016 - 10:09
Tags:
Topics:
ออราเคิลปล่อยแพตช์ประจำไตรมาสที่สามของปี มีการแก้ไขช่องโหว่ความปลอดภัยทั้งหมด 253 จุดในซอฟต์แวร์ 76 รายการ ในจำนวนนี้มีแพตช์ช่องโหว่ร้ายแรง (คะแนน CVSS เกิน 9.0) ทั้งหมด 15 รายการ
สำหรับแพตช์ที่กระทบคนทั่วไปมากที่สุดคงเป็น Java SE ที่มีแพตช์ทั้งหมด 7 รายการ เป็นช่องโหว่ร้ายแรง 3 รายการ ส่วนซอฟต์แวร์อื่นที่มีช่องโหว่ร้ายแรงได้แก่ Oracle Database Server (OJVM), Oracle Big Data Discovery, Oracle Web Services, Oracle WebLogic Server, Oracle Advanced Supply Chain Planning, Oracle Commerce Platform, Oracle Retail Customer Insights, Oracle Retail Merchandising Insights, Secure Global Desktop, Oracle VM VirtualBox
By: lew on 12 November 2015 - 07:17
Tags:
Topics:
ไมโครซอฟท์แพตช์ความปลอดภัยรอบเดือนพฤศจิกายน จำนวน 12 ชุด เป็นช่องโหว่ร้ายแรง 4 รายการ ได้แก่
เป็นประจำสำหรับ Patch Tuesday ซึ่งจะเป็นการอัพเดตแพตซ์ด้านความปลอดภัยของค่ายไมโครซอฟท์ครับ สำหรับวันอังคารนี้ค่อนข้างพิเศษเพราะมีแพตซ์จากอโดบี และจากกูเกิลด้วย ผู้ใช้ควรจะรีบอัพเดตทันทีเพื่อความปลอดภัยนะครับ
By: natty 
on 12 October 2008 - 12:10
Tags:
Topics:
สัปดาห์หน้าไมโครซอฟท์จะออก patch เพื่ออัพเดต security จำนวน 11 ตัว โดยในจำนวน patch ทั้งหมดดังกล่าว มี critical 4 ตัว เพื่อแก้ปัญหา Active Directory, IE, Excel และ HIS โดยเฉพาะ, patch แบบ important 6 ตัวสำหรับแก้ปัญหาวินโดวส์ในเวอร์ชันก่อนหน้า และอีกตัวเป็น moderate ซึ่งเป็น patch เพื่อออฟฟิศ XP Service pack 3
โดย patch ที่เป็น critical มีรายละเอียดดังต่อไปนี้