เมื่อปีที่แล้ว กูเกิลมีโครงการชื่อ Open Source Insights สแกนซอร์สโค้ดในโครงการโอเพนซอร์สยอดนิยมจำนวนมาก (เช่น npm, PyPI, Go, Maven, Cargo) เพื่อมาวิเคราะห์หาความเชื่อมโยงในแง่มุมต่างๆ

ประเด็นหนึ่งที่ถูกจับตามองอย่างมากในโลกโอเพนซอร์สคือ supply chain security ช่องโหว่ความปลอดภัยในแพ็กเกจยอดนิยม ที่อาจส่งผลสะเทือนต่อซอฟต์แวร์จำนวนมาก (เช่น กรณีของ log4j) การสแกนซอร์สโค้ดย่อมเป็นวิธีการหนึ่งที่ช่วยให้โอกาสค้นพบช่องโหว่มากขึ้น

อินเทลเปิดตัว Project Amber บริการยืนยันว่าซอฟต์แวร์ถูกนำไปรันบนซีพียูอินเทลที่ตรวจสอบได้จริง โดยสามารถใช้งานได้ทั้งการตรวจสอบการใช้บริการบนคลาวด์ และบนคอมพิวเตอร์แบบ edge อื่นๆ

บริการนี้จะอาศัย trusted execution environment (TEE) ที่อยู่ในซีพียูยืนยันว่าตัวซอฟต์แวร์และข้อมูลที่ถูกใช้งาน (data in use) จะถูกประมวลผลด้วยซีพียูตามรุ่นที่ระบุจริง (ไม่ใช่ระบบจำลอง หรือซีพียู x86 ของแบรนด์อื่นๆ) สามารถตรวจสอบบริการปลายทางได้ทั้งเซิร์ฟเวอร์ bare metal, virtual machine, และ container

บริการด้านการวิเคราะห์ข้อมูลบน Azure มักใช้ Azure Synapse Analytics ส่วนการทำ ETL ก็มี Azure Data Factory เป็นเครื่องมือ ทั้งสองตัวจะมีการใช้งาน Azure Integration Runtime (IR) ที่ทำหน้าที่รันงานต่างๆ ที่กำหนดไว้ เช่นการโยนข้อมูลจากต้นทางไปปลายทาง, การแปลงข้อมูลต่างๆ ฯลฯ

เมื่อต้นปี 2022 มีนักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ใน Azure IR ที่สามารถสั่งรันโค้ดระยะไกลได้ นำไปสู่การเข้าถึง Synapse workspace ของผู้ใช้รายอื่นและดึง credentials ต่างๆ ของคนอื่นออกมาได้ โดยช่องโหว่นี้มาจากไดรเวอร์ ODBC ที่ Microsoft ใช้งานต่ออีกทีหนึ่ง

ไมโครซอฟท์มีธุรกิจด้านความปลอดภัยมาได้สักพักใหญ่ๆ แล้ว (แถมโฆษณาว่าตัวเองเป็น the world’s largest security company) แต่ทั้งหมดยังเป็นซอฟต์แวร์-บริการแบบจ่ายค่าสมาชิกเท่านั้น เช่น Microsoft Defender, Microsoft Purview, Azure Firewall, Azure DDoS Protection

ล่าสุดไมโครซอฟท์บุกเข้าตลาดผู้เชี่ยวชาญความปลอดภัยรับจ้าง ในชื่อว่า Microsoft Security Experts โดยบริการย่อยตัวแรกคือ Microsoft Defender Experts for Hunting เป็นการจ้างผู้เชี่ยวชาญของไมโครซอฟท์มาช่วยดูข้อมูลจาก ข้อมูลของ Microsoft Defender เพื่อหารูรั่วขององค์กรให้ (ยังจ้างแยกต่างหากไม่ได้ ต้องใช้บริการซอฟต์แวร์ของไมโครซอฟท์ก่อน)

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NDSA) หน่วยงานใหม่ที่ดูแลด้านความปลอดภัยไซเบอร์ ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ประกาศโครงการให้ทุนสอบใบรับรองผู้เชี่ยวชาญด้านความปลอดภัยระบบไอที Certified Information Systems Security Professional (CISSP) จำนวน 50-60 คน

CISSP เป็นใบรับรองที่อยู่ใต้สมาคม International Information System Security Certification Consortium (ISC2) ซึ่งได้รับการยอมรับในระดับสากล ปัจจุบันมีผู้ผ่านใบรับรอง CISSP ราว 152,600 คน แต่ประเทศไทยมีประมาณ 300 คนเท่านั้น (สิงคโปร์มี 2,800 คน) ทำให้ สกมช. ต้องการขยายจำนวนผู้เชี่ยวชาญความปลอดภัยไซเบอร์ในไทย จึงให้ทุนค่าสอบเพื่อจูงใจให้คนสายไอทีในไทยเข้าสอบกันมากขึ้น

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ

เมื่อกลางเดือนเมษายนที่ผ่านมา GitHub แจ้งผู้ใช้ว่ามีโทเค็นรั่วไหลจำนวนหนึ่ง โดยพบว่าโทเค็นเหล่านี้ออกให้กับ Heroku และ Travis-CI ตอนนี้ทาง Heroku ก็ออกมายืนยันแล้วว่าฐานข้อมูลรั่วไหลจริง

Heroku ระบุว่าคนร้ายเข้าถึงฐานข้อมูลได้เมื่อวันที่ 7 เมษายนที่ผ่านมา และเริ่มใช้งานโทเค็นในวันที่ 8 เมษายน ตัว Heroku เองก็ถูกคนร้ายใช้โทเค็นขโมยซอร์สโค้ดออกไปจาก GitHub เมื่อวันที่ 9 เมษายน ทาง GitHub รู้ตัวในวันที่ 12 เมษายนเนื่องจากคนร้ายใช้โทเค็นของ npm

นอกจากฐานข้อมูลโทเค็นแล้ว คนร้ายยังได้ฐานข้อมูลรหัสผ่านที่แฮชพร้อม salt ของ Heroku ไป ทำให้ตอนนี้ Heroku ต้องแจ้งผู้ใช้ให้รีเซ็ตรหัสผ่านทั้งหมด

กูเกิลเริ่มทดสอบ Android 13 ตั้งแต่ต้นปีที่ผ่านมา ตอนนี้ Esper บริษัทให้บริการการจัดการอุปกรณ์แอนดรอยด์ก็ออกมาระบุว่า Android 13 จะจำกัดสิทธิ์ Accessibility API เพิ่มเติมหากผู้ใช้ติดตั้งแอปนอกสโตร์ เช่น Google Play หรือ F-Droid

Accessibility API นั้นเปิดให้นักพัฒนาสามารถช่วยควบคุมแอนดรอยด์ได้ตามความต้องการของคนกลุ่มต่างๆ เช่น ผู้ที่มีปัญหาการมองเห็นก็อาจใช้แอปช่วยอ่านหน้าจอ หรือบางแอปอาจจะช่วยควบคุม คลิกจุดต่างๆ ให้ผ่านอินพุตแบบอื่นๆ แต่ API นี้ก็เป็นสิทธิ์ระดับสูงทำให้แอปเห็นข้อมูลทุกอย่างของผู้ใช้ และสามารถควบคุมแทนผู้ใช้ได้ ทำให้มัลแวร์หลายตัวพยายามขอสิทธิ์เช่นนี้

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

ไมโครซอฟท์เพิ่มตัวสุ่มรหัสผ่านให้กับแอป Microsoft Authenticator ทำให้แอปมีความสามารถเทียบเท่ากับโปรแกรมจัดการรหัสผ่านเต็มรูปแบบมากยิ่งขึ้น

ตัวสุ่มรหัสผ่านของไมโครซอฟท์สามารถกำหนดเงื่อนไขได้บางส่วน เช่น กำหนดความยาว, ตัวอักษรพิเศษ, ตัวเลข แต่ไม่สามารถกำหนดรายละเอียดเช่นหลีกเลี่ยงตัวอักษรคล้ายกัน หรือสุ่มให้อ่านออกเสียงได้ง่ายเหมือนตัวจัดการรหัสผ่านหลายๆ ตัว

ฟีเจอร์นี้ใช้ได้แทบทุกที่ ทั้งผ่านแอป Authenticator บน iOS และ Android, ส่วนขยาย Autofill สำหรับ Chrome, และ Edge

ที่มา - Microsoft

ไมโครซอฟท์แยกซอฟต์แวร์ความปลอดภัย Microsoft Defender for Business เวอร์ชันสำหรับธุรกิจขนาดเล็กและกลาง (SME/SMB) ออกมาขายต่างหาก จากเดิมที่ขายรวมอยู่ในชุด Microsoft 365 เพียงอย่างเดียว

ช่วงหลังไมโครซอฟท์หันมาทำบริการความปลอดภัยแบบเสียเงิน ในชื่อแบรนด์ Microsoft Defender ที่มีฟีเจอร์ฝั่งเซิร์ฟเวอร์เพิ่มเข้ามานอกเหนือจาก Windows Defender ตัวฟรีที่มาพร้อมกับวินโดวส์ เช่น บริการตรวจสอบการแฮ็ก (threat intelligence) หรือแดชบอร์ดจัดการความปลอดภัยของอุปกรณ์ในองค์กร

รัฐบาลสเปนแถลงข่าวระบุว่าโทรศัพท์ของ Pedro Sánchez นายกรัฐมนตรี และ Margarita Robles รัฐมนตรีกระทรวงกลาโหม ถูกเจาะด้วยมัลแวร์ Pegasus ของ NSO Group ในช่วงปี 2021 และคนร้ายสามารถดึงข้อมูลออกไปจากโทรศัพท์ได้สำเร็จ ตอนนี้กำลังสอบโทรศัพท์ของเจ้าหน้าที่รัฐบาลอื่นๆ เพิ่มเติม

เมื่อปี 2021 ทาง NSO Group ถูกโจมตีจากสื่อหลายสำนักเพราะพบว่ามัลแวร์ Pegasus ถูกใช้กับกลุ่มนักข่าวและนักสิทธิมนุษยชน แต่บริษัทก็ออกมายืนยันว่าตรวจสอบและไม่พบการใช้งานอย่างไม่ถูกต้อง แถลงของ NSO Group สับสนในตัว เพราะระบุว่าบริษัทไม่รู้ว่าลูกค้าซื้อ Pegasus ไปแฮกใครบ้าง แต่บริษัทก็ออกมาระบุว่าหน่วยงานที่ซื้อไปใช้มัลแวร์เพื่อหยุดกลุ่มก่อการร้าย

IETF ผ่านมาตรฐาน RFC9116 กำหนดฟอร์แมตของการแจ้งช่องโหว่ซอฟต์แวร์ หรือไฟล์ security.txt ไว้เป็นระบบเดียวกันเพื่อให้ง่ายต่อนักวิจัยในการติดต่อ

ไฟล์ security.txt แจ้งข้อมูลการเปิดเผยช่องโหว่ โดยระบุ URL สำหรับการแสดงความขอบคุณ, ช่องทางติดต่อแจ้งช่องโหว่, กุญแจเข้ารหัสก่อนแจ้งช่องโหว่, นโยบายการเปิดเผยข้อมูลช่องโหว่, ภาษาที่ใช้ติดต่อ, และ URL สำหรับการรับสมัครงาน

ตัวไฟล์ต้องวางไว้ใน /.well-known/security.txt และมาตรฐานเปิดให้มีลายเซ็นดิจิทัลกำกับ ป้องกันในกรณีที่คนร้ายแฮกเว็บได้แล้วและแก้ไขไฟล์เสีย

Synology และ QNAP ออกประกาศแจ้งเตือนลูกค้าถึงช่องโหว่ในโปรแกรม Netatalk ที่ออกอัพเดตเวอร์ชั่น 3.1.13 ตั้งแต่เดือนมีนาคมที่ผ่านมา โดยอัพเดตนี้แก้ช่องโหว่ร้ายแรงสูง เปิดทางให้คนร้ายสามารถรันโค้ดบน NAS ทั้งสองยี่ห้อได้โดยไม่ต้องล็อกอิน โดยตัวช่องโหว่มีหลายจุดและความร้ายแรงสูงทั้งสิ้น

ตอนนี้ทั้งสองบริษัทกำลังอยู่ระหว่างการปล่อยอัพเดตแก้ไขช่องโหว่ สำหรับ Synology แพตช์ใน DSM 7.1 ตัวล่าสุดออกมาแล้วเป็นเวอร์ชั่น 7.1-42661-1 ส่วน QNAP ออกแพตช์ให้ QTS 4.5 ซึ่งเป็น QTS 4 ตัวล่าสุดก่อน เป็นเวอร์ชั่น QTS 4.5.4.2012 build 20220419 สำหรับเฟิร์มแวร์เวอร์ชั่นอื่นๆ ที่ยังอยู่ในช่วงซัพพอร์ดกำลังออกแพตช์ให้

Bored Ape Yacht Club หรือ BAYC แจ้งเตือนว่าบัญชี Instagram ถูกแฮก และนำไปโพสแจก airdrop ฟรีเพื่อหลอกเหยื่อเข้าเว็บปลอม โดยรวมคาดว่ามี NFT ถูกขโมยจากการแฮกครั้งนี้ 13 ชิ้น รวมมูลค่า 3 ล้านดอลลาร์ หรือประมาณ 100 ล้านบาท

รายการ NFT ที่ถูกขโมยไป ได้แก่ Bored Apes 4 ตัว, Mutant Apes 6 ตัว, Bored Ape Kennel Club อีก 3 ตัว และอาจจะมี NFT ชุดอื่นๆ อีกจำนวนหนึ่ง

ทาง Yuga Labs ระบุว่ากำลังติดต่อผู้ใช้ที่ถูกแฮกครั้งนี้

ที่มา - The Register

Project Zero ทีมวิจัยความปลอดภัยไซเบอร์ของกูเกิลรายงานถึงการใช้ช่องโหว่ 0-days หรือช่องโหว่ที่มีการโจมตีก่อนมีแพตช์แก้ไขเพิ่มขึ้นอย่างมาก โดยรายงานจำนวนมากมาจากผู้ผลิตเองที่ยอมรับว่ามีการโจมตีด้วยช่องโหว่ที่ยังไม่ได้แพตช์

ปริมาณช่องโหว่ 0-days ที่มีรายงานเพิ่มขึ้น ส่วนมากมาจากทั้งแอปเปิลและแอนดรอยด์ของกูเกิลเองที่เริ่มแจ้งในรายงานแพตช์ต่างๆ ว่ามีการโจมตีก่อนหน้าหรือไม่ ส่วนไมโครซอฟท์, Chrome, และ Adobe นั้นแจ้งในรายงานมาก่อนหน้านี้นานแล้ว แม้การรายงานจะดีขึ้นในช่วงหลังผู้ผลิตจำนวนมากก็ไม่ได้ระบุในรายงานแก้ไขช่องโหว่ว่าเป็นช่องโหว่ที่ถูกโจมตีมาก่อนหรือไม่ทำให้ติดตามสถานการณ์โดยรวมได้ยาก

ออราเคิลปล่อยอัพเดตตามรอบปกติเดือนเมษายน มีการแก้ไขช่องโหว่ในซอฟต์แวร์จำนวนมากนับร้อยรายการ แต่ช่องโหว่หนึ่งที่กระทบคนจำนวนมากและค่อนข้างร้ายแรง คือ CVE-2022-21449 เป็นบั๊กการตรวจสอบลายเซ็นดิจิทัลแบบ EDSDA ทำให้คนร้ายสามารถปลอมลายเซ็นและเซิร์ฟเวอร์ตรวจสอบไม่ได้

กระบวนการเซ็นลายเซ็นดิจิทัลแบบ ECDSA ได้รับความนิยมสูงมากในช่วงหลังเพราะมีขนาดลายเซ็นเล็ก มีการใช้งานเป็นวงกว้าง เช่น JWT สำหรับการล็อกอินเว็บ, SAML/OIDC สำหรับการล็อกอินแบบ single sign-on, และ WebAuthn สำหรับการล็อกอินแบบหลายขั้นตอนหรือการล็อกอินแบบไร้รหัสผ่าน หากเว็บใดใช้การล็อกอินเพื่อตรวจสอบลายเซ็นเช่นนี้ก็เสี่ยงจะถูกแฮกเกอร์ปลอมตัวเป็นผู้ใช้สิทธิ์ระดับสูงได้

อัพเดต: สถานะของช่องโหว่นี้ปรับปรุงเป็น disputed (ถูกโต้แย้ง) เนื่องจากมีผู้ลองทำหลายราย แต่ไม่สามารถเข้าถึงสิทธิได้ตามวิธีการที่ระบุ พบว่าต้องแก้ไข registry บางรายการก่อน (ที่มา)

เนื้อหาเดิม

มีรายงานช่องโหว่ Zero-Day ของโปรแกรม 7-Zip โปรแกรมบีบอัดไฟล์ยอดนิยม โดยช่องโหว่นี้ ผู้โจมตีสามารถเข้าถึงสิทธิแอดมินของ Windows ผ่านการเปิดไฟล์ 7z ที่ปรับแต่งมาเพื่อการนี้ ด้วยวิธีการลากเปิดผ่านหน้า Windows Help (hh.exe) ของโปรแกรม 7-Zip เอง

ช่องโหว่นี้ถูกรายงานแล้วเลขอ้างอิง CVE-2022029072 ณ ตอนนี้ 7-Zip ยังไม่ได้ออกเวอร์ชันอัพเดตที่แก้ไขปัญหาดังกล่าว แนวทางแก้ไขเวลานี้จึงมีสองทางคือให้สิทธิ 7-Zip เฉพาะ Read และ Run หรือไม่อย่างนั้นก็ลบโปรแกรมออกไปก่อน ลบไฟล์ 7-zip.chm ที่ทำให้เข้าถึงช่องโหว่นี้ได้ ออกไปก่อน

ที่มา: Tom's Hardware

JetBrains ออก IntelliJ IDEA 2022.1 เป็นเวอร์ชันใหญ่ตัวแรกของปี 2022 มีฟีเจอร์ใหม่ที่สำคัญคือ Dependency Analyzer ช่วยจัดการและวิเคราะห์แพ็กเกจซอฟต์แวร์ (ในที่นี้รองรับ Maven และ Gradle) เพื่อแก้ปัญหาเรื่องเวอร์ชันทับซ้อน (conflict resolution และ configurations correction)

นอกจากประเด็นเรื่องเวอร์ชันแล้ว IntelliJ ยังสามารถตรวจเช็คช่องโหว่ความปลอดภัยของแพ็กเกจที่เรียกใช้ได้ด้วย (ผ่านฐานข้อมูล Checkmarx Software Composition Analysis) โดยฟีเจอร์นี้ต้องเป็น IntelliJ IDEA Ultimate แบบเสียเงินถึงใช้งานได้

Unit 42 หน่วยงานวิจัยเหตุความปลอดภัยไซเบอร์ของ Palo Alto ออกรายงานภาพรวมการโจมตีด้วยมัลแวร์เรียกค่าไถ่ (ransomware) โดยพบว่ากลุ่มอาชญากรอาศัยช่องทางการเปิดเผยข้อมูลเพื่อบีบให้องค์กรยอมจ่ายค่าไถ่มากขึ้นเรื่อยๆ

แนวโน้มค่าไถ่ที่คนร้ายเรียกร้องก็สูงขึ้นถึง 144% อยู่ที่เฉลี่ย 2.2 ล้านดอลลาร์ต่อกรณี (ประมาณ 72 ล้านบาท) ขณะที่ยอดจ่ายค่าไถ่เฉลี่ยอยู่ที่ 541,010 ดอลลาร์ต่อกรณี (ประมาณ 18 ล้านบาท) ปริมาณการเอาข้อมูลไปเปิดเผยต่อสาธารณะเพิ่มขึ้น 85% รวม 2,566 องค์กร

เมื่อต้นเดือนนี้ (1 เมษายน) Jay Chou นักร้อง-นักแสดงชื่อดังจากไต้หวัน ประกาศว่า NFT ภาพ Bored Ape Yacht Club (BAYC) ที่เขาซื้อเก็บสะสมไว้ถูกขโมยไป โดยคาดว่าเป็นการโจมตีแบบ phishing

หลังจากนั้น บริษัทความปลอดภัย Check Point Research เข้าไปตรวจสอบและพบว่าช่องทางการขโมย NFT ของ Jay Chou เกิดจากช่องโหว่ของตลาดซื้อขาย Rarible ที่ Chou ใช้บริการ ทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้หลอกทำ phishing แล้วขโมย token สิทธิความเป็นเจ้าของได้

GitHub พบคนร้ายเข้าดาวน์โหลดข้อมูลจากองค์กรเหยื่อ โดยคนร้ายอาศัยโทเค็น OAuth2 ที่ออกให้กับ Heroku และ Travis-CI

ทาง GitHub แจ้งการโจมตีนี้ไปยังทั้ง Heroku และ Travis-CI แล้ว ตอนนี้ทาง Heroku ออกมาประกาศว่าได้ยกเลิกโทเค็นทั้งหมดภายในวันนี้ ส่งผลให้ไม่สามารถ deploy แอปใหม่ผ่านทาง dashboard หรือ automation ได้ ลูกค้าของ Heroku สามารถเชื่อมต่อโค้ดเข้าไปใหม่ได้เหมือนการเชื่อมต่อ Git นอก GitHub

GitHub พบการโจมตีครั้งนี้หลังจากพบว่ากุญแจ AWS ของ npm ถูกใช้งาน จึงตรวจสอบว่าแฮกเกอร์ได้กุญแจไปทางใด และพบว่าคนร้ายดาวน์โหลด repository ภายในของ npm ออกไปจึงได้กุญแจของ AWS ไปด้วย การขยายผลจึงพบว่าน่าจะเกี่ยวข้องกับ Heroku และ Travis-CI

กูเกิลออกอัพเดต Chrome เวอร์ชัน 100.0.4896.127 สำหรับผู้ใช้ Windows, Mac and Linux โดยมีรายการอัพเดตสำคัญคือการแก้ไขช่องโหว่ Zero-Day ความรุนแรงระดับ High ผู้ใช้งาน Chrome จึงควรอัพเดตทันที

ช่องโหว่ที่ระบุคือ CVE-2022-1364 เกี่ยวกับเอนจิน V8 ที่ผู้โจมตีสามารถใช้ช่องโหว่รันคำสั่งที่ต้องการได้ ซึ่งมีรายงานการโจมตีแล้ว

ปีนี้ Chrome ออกอัพเดตแก้ปัญหา Zero-Day เป็นครั้งที่สามแล้ว

ที่มา: Chrome ผ่าน Bleeping Computer

Chrome ออกแพตช์ฉุกเฉิน อุดช่องโหว่ความปลอดภัยร้ายแรง CVE-2022-1364 ในเอนจิน V8 ที่ทีมความปลอดภัยของกูเกิลเพิ่งค้นพบ และพบการนำไปใช้งานโจมตีแล้ว

ผู้ใช้ Chrome ทุกเวอร์ชันควรอัพเดตโดยด่วน โดยเลขเวอร์ชันต้องเป็น 100.0.4896.127 บนเดสก์ท็อปและแอนดรอยด์

การอัพเดตแพตช์ฉุกเฉินรอบนี้นับเป็นรอบที่ 3 ของปี 2022 โดยรอบก่อนหน้านี้เพิ่งเกิดกับ Chrome 99 เมื่อปลายเดือนมีนาคมนี่เอง

OpenSSH ออกเวอร์ชั่น 9.0 เป็นเวอร์ชั่นหลักหลังจากเวอร์ชั่น 8.0 ออกมาตั้งแต่ปี 2019 เนื่องจากความเปลี่ยนแปลงสำคัญคือการเลิกใช้โปรโตคอล SCP/RCP ออกทั้งหมด และหันมาใช้โปรโตคอล SFTP เท่านั้น

การเปลี่ยนแปลงครั้งนี้ทำให้คำสั่ง scp มีพฤติกรรมเปลี่ยนไป จุดสำคัญคือการอ้างถึงชื่อไฟล์บนเซิร์ฟเวอร์แบบ wildcard (ตัวดอกจัน '*') และการอ้าง home directory ที่ตัวโปรโตคอล SFTP เองไม่สามารถใช้ตัว ~ เพื่ออ้างถึง home directory ได้ แต่ OpenSSH ก็ใส่ส่วนขยายรองรับให้เหมือน SCP มาตั้งแต่ OpenSSH 8.7