อโดบีปล่อยผลิตภัณฑ์ Adobe Reader XI และ Acrobat XI แล้วในช่วงสัปดาห์นี้ โดยประเด็นหนึ่งที่ถูกทิ้งไว้มานานนั่นคือเรื่องของความปลอดภัย ซึ่งในช่วงหลังๆ มีการตรวจพบว่าซอฟต์แวร์ประเภทนี้ตกเป็นเป้าหมายของการโจมตีโดยแฮกเกอร์มากขึ้น

หลังจากที่พบช่องโหว่มากมายหลายรอบบนทุกแพลตฟอร์ม ล่าสุดแอปเปิลได้ปล่อยอัพเดตให้แก่ OS X เพื่อถอดเอาปลั๊กอินจาวาออก มีผลทำให้เว็บเบราว์เซอร์ทุกตัวบน OS X จะไม่สามารถใช้งานจาวาได้ นอกเสียจากไปดาวน์โหลดจากปลั๊กอินตัวนี้จาก Oracle โดยตรง

ก่อนหน้านี้บริษัทรักษาความปลอดภัยคอมพิวเตอร์หลายรายได้ออกมาแนะนำให้ผู้ใช้ทั่วไปลบจาวาทิ้ง แต่หลังจากนั้น Oracle ก็ได้ปล่อยอัพเดตเพื่อแก้ไขปัญหาที่พบในช่วงนั้นเรียบร้อยแล้ว แต่ไม่นาน ก็พบกับช่องโหว่ใหม่ซึ่ง ณ เวลานี้ยังไม่ได้รับการแก้ไข

Eugene Kaspersky ผู้ก่อตั้งและซีอีโอของ Kaspersky Labs ออกมาประกาศข่าวแล้วว่าบริษัทของเขาจะสร้างระบบปฏิบัติการตัวใหม่ โดยเขียนขึ้นมาใหม่ทั้งหมด

ระบบปฏิบัติการของ Kaspersky ยังไม่มีชื่อเรียก แต่มันจะเป็นระบบปฏิบัติการเฉพาะกิจมากๆ คือสร้างขึ้นมาเพื่อคุ้มครองซอฟต์แวร์ควบคุมที่ใช้ในภาคอุตสาหกรรม (industrial control system หรือ ICS) เช่น ระบบ SCADA ที่ใช้ควบคุมโรงงานหรือระบบสาธารณูปโภคต่างๆ

Kaspersky บอกว่าปัจจุบันเรากำลังเจอภัยคุกคามแบบใหม่ๆ ที่ตั้งใจมาจู่โจมระบบ ICS เหล่านี้ เฉกเช่นเดียวกับในภาพยนตร์เรื่อง Die Hard 4 และบริษัท Kaspersky Labs ตั้งใจจะสวมบทบาทเป็น John McClane พระเอกของเรื่องในโลกความเป็นจริง

เว็บไซต์ Android Police แกะไฟล์ APK ของแอพ Play Store รุ่นใหม่ล่าสุดที่กูเกิลเพิ่งอัพเดต (3.9.16) พบข้อความในไฟล์เขียนถึงฟีเจอร์ใหม่ที่กูเกิลยังไม่เปิดใช้งาน

ฟีเจอร์ที่ว่านี้เรียก App Check โดยข้อความในหน้าจอตั้งค่าเขียนอธิบายไว้ว่า "Allow Google to check all apps installed to this device for harmful behavior?" หรือถามผู้ใช้ว่าจะอนุญาตให้กูเกิลสแกนแอพทั้งหมดที่ติดตั้งไว้ในเครื่อง เพื่อดูว่ามีแอพอันตรายที่ติด blacklist หรือไม่

เมื่อต้นปีนี้ กูเกิลประกาศสแกนแอพใน Android Market เพื่อหามัลแวร์ ในชื่อโครงการ Bouncer ดังนั้นฟีเจอร์นี้คงเป็นส่วนต่อขยายจาก Bouncer นั่นเองครับ

ปัญหาที่ Windows 8 จะเปลี่ยนจากไบออสมาเป็น UEFI ที่มี "ฟีเจอร์" รักษาความปลอดภัยอย่างเต็มรูปแบบนับแต่การบูตเครื่อง ทำให้ไมโครซอฟท์ควบคุมว่าซอฟต์แวร์ใดบ้างจะสามารถบูตบนเครื่องที่ใช้ UEFI ได้ทั้งหมด ทางฝั่งลินุกซ์เองพยายามเจรจากับไมโครซอฟท์ในเรื่องนี้มาตลอด ก่อนหน้านี้มีการเรียกร้องให้ผู้ใช้สามารถปิด UEFI ได้ แต่แผนใหม่ของทาง Linux Foundation อาจจะเป็นทางสายกลางของปัญหานี้

ภายใต้แผนการนี้ ทาง Linux Foundation จะสร้าง "pre-bootloader" ขึ้นมาหนึ่งตัว เพื่อขอรับการรับรองจากไมโครซอฟท์ ทำให้มันสามารถบูตบนเครื่องคอมพิวเตอร์ที่ใช้ UEFI โดยเตือนว่า bootloader ที่กำลังทำงานนี้จะไม่ได้รับการตรวจสอบความถูกต้อง หากผู้ใช้ยืนยันที่จะใช้งานต่อไป ก็จะสามารถติดตั้งลินุกซ์ได้

Lookout Security แอพด้านความปลอดภัยอีกตัวบน Android ออกรุ่นใหม่พร้อมฟีเจอร์ใหม่หลายอย่าง

ฟีเจอร์ที่น่าสนใจที่สุดคือ Signal Flare หรือ "พลุสัญญาณ" ช่วยแก้ปัญหาของแอพตามหาโทรศัพท์หาย ที่ไม่เกิดประโยชน์เมื่อแบตเตอรี่หมดก่อนที่เราจะสั่งค้นหาพิกัด กรณีของ Signal Flare จะบังคับมือถือให้ส่งพิกัดของตัวเองเมื่อแบตใกล้หมด ช่วยเพิ่มโอกาสตามหามือถือหายได้มากขึ้น อย่างน้อยก็พอรู้ว่าพิกัดสุดท้ายของมือถืออยู่บริเวณไหน

ส่วนฟีเจอร์อื่นๆ คือหน้า Activity Feed หรือ dashboard รวมข้อมูลความปลอดภัยให้ดูกันง่ายๆ และ Safe Dialer ตัวช่วยกรองโค้ดอันตรายสำหรับแอพโทรศัพท์ ที่เพิ่งมีข่าวไปเมื่อไม่นานนี้

หลังจาก Mozilla ออก Firefox 16 ไปเมื่อวานนี้ไม่นาน ก็มีคนค้นพบปัญหาความปลอดภัยจนต้องดึง Firefox 16 ลงจากหน้าเว็บ และเปลี่ยนกลับเป็น Firefox 15 ชั่วคราว

วันนี้ Mozilla แก้ปัญหานี้เรียบร้อยและออก Firefox 16.0.1 เรียบร้อย นำกลับคืนบนหน้าเว็บให้ดาวน์โหลดกันแล้ว ใครที่อัพเดต Firefox 16 ไปก่อนหน้านี้ก็อย่าลืมอัพต่อเป็น 16.0.1 ด้วยครับ

ที่มา - Computerworld

งาน Hack In The Box ที่มาเลเซียกำลังถึงวันสุดท้ายของงานในวันนี้ และในส่วนของการแข่งเจาะเบราว์เซอร์ Chrome ก็ถูกเจาะด้วยบั๊กในตัวเองอย่างเดียวจ่าย 60,000 ดอลลาร์ สูงสุดสำหรับรางวัลต่อการเจาะหนึ่งครั้งไปแล้ว

แฮกเกอร์ที่เจาะ Chrome ได้สำเร็จคือ Pinkie Pie ที่อายุเพียง 19 ปี ปรากฎตัวครั้งแรกในงาน Pwnium เมื่อต้นปีที่ผ่านมา แล้วใช้ 6 บั๊กต่อเนื่องเจาะเบราว์เซอร์เข้าไปควบคุมเครื่องได้อย่างน่าทึ่ง มาในรอบนี้เขาก็ทำได้อีกครั้ง โดยอาศัยบั๊กสองตัวที่ไม่เกี่ยวกันคือบั๊กของตัวเรนเดอร์ภาพ SVG ใน WebKit ร่วมกับระบบสื่อสารระหว่างโปรเซสของ Chrome เองเจาะทะลุระบบ sandbox ที่ขึ้นชื่อว่าหนาแน่นของ Chrome ออกมาได้

สิ่งหนึ่งที่เครือข่าย 3G แก้ปัญหาของเครือข่าย 2G คือความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ เพราะเครือข่าย 2G มีปัญหาด้านความปลอดภัยมากมาย เช่น การปลอมการส่ง SMS รวมถึงปัญหาพื้นฐานเช่นการเปิดเผยตำแหน่งของผู้ใช้ แต่ปัญหาแรกๆ ของโปรโตคอล 3G อย่าง UMTS ก็เริ่มแสดงออกมาแล้ว เมื่อนักวิจัยสามารถระบุตัวผู้ใช้ได้อย่างแม่นยำผ่านหมายเลข IMSI โดยอาศัยเซลล์ไซต์ขนาดจิ๋วที่เรียกว่า femtocell

Adobe ออกแพตช์ความปลอดภัยสำหรับ Flash Player แก้ปัญหาช่องโหว่ทั้งหมด 25 จุด โดยมีผลกับ Flash ทุกแพลตฟอร์ม ไม่ว่าจะเป็นวินโดวส์ แมค ลินุกซ์ แอนดรอยด์ และมีแพตช์ของ Adobe AIR ออกมาพร้อมๆ กัน

สำหรับเวอร์ชันบนวินโดวส์และแมคจะได้เลขเวอร์ชันเยอะที่สุดคือ 11.4.402.287 ส่วนลินุกซ์เป็น 11.2.202.243 และแอนดรอยด์เป็น 11.1.115.20 (4.x) หรือ 11.1.115.19 (3.x)

ผู้ที่ใช้ Chrome อัพเดตมาพร้อมกับตัวเบราว์เซอร์ตามปกติ ส่วน IE10 ที่หันมาใช้นโยบายแบบเดียวกัน (และเคยมีปัญหาอัพเดตไม่ทันกัน) ก็ออกอัพเดตผ่าน Windows Update แล้ว

Jesse Walker พนักงานอินเทลผู้คิดอัลกอริทึม Skein ที่เข้าแข่งขันเป็น SHA-3 เตือนว่าอัลกอริทึม SHA-1 ที่ได้รับความนิยมอย่างสูงในตอนนี้อาจจะตกเป็นเป้าหมายของการโจมตีได้ในเร็วๆ นี้

การโจมตีอัลกอลิทึมแฮชที่สำคัญคือการสร้างเอกสารที่ค่าแฮชเหมือนเอกสารอี่น ทำให้สามารถปลอมเอกสารว่ามาจากต้นทางได้อย่างแนบเนียน เช่น มัลแวร์ Flame ที่ปลอมตัวเองว่ามาจากไมโครซอฟท์ในฐานะ Windows Update ได้ ขณะที่ SHA-1 มีความทนทานเพียง 2^60 เท่านั้น (หมายถึงต้องสร้างเอกสารขึ้นมา 2^60 ชุด เพื่อจะมีสักชุดหนึ่งที่ค่าแฮชเหมือนกัน) และการคำนวณค่า SHA-1 ใช้รอบซีพียูประมาณ 2^14 รอบ ทำให้การหาค่าที่มี SHA-1 ซ้ำกันจะใช้ซีพียูประมาณ 2^74 รอบการทำงานซีพียู

ทางการสหรัฐออกมายอมรับกรณีการโจมตีเครือข่ายภายในประเทศ โดยเครือข่ายเป้าหมายนั้นคือ The White House Military Office (WHMO) ซึ่งมีหน้าที่อำนวยความสะดวกด้านการทหารโดยตรงให้กับทำเนียบขาว จากการตรวจสอบเบื้องต้นพบว่าการโจมตีครั้งนี้ยังเกิดอยู่ในชั้นเครือข่ายที่ไม่เป็นความลับ และระบบมีการตัดการเชื่อมต่อทันทีที่เกิดภัยคุกคาม ทำให้การโจมตีครั้งนี้ยังไม่สมบูรณ์ ซึ่งเมื่อมีการสืบย้อนรอยกลับไปพบว่าเซิร์ฟเวอร์ที่ทำการโจมตีนั้นตั้งอยู่ในจีน โดยเชื่อว่าผู้อยู่เบื้องหลังคือกองทัพปลดแอกประชาชนจีน

ระยะหลังๆ บริษัทความปลอดภัยหลายแห่งหันมาออกแอพด้านความปลอดภัยบน Android กันเยอะ รายล่าสุดคือ Sophos บริษัทความปลอดภัยที่มักออกมาเตือนเรื่องรูโหว่ต่างๆ อยู่เสมอ

แอพของ Sophos มีสองตัวคือ Sophos Mobile Security เป็นแอนตี้ไวรัสที่ต้นสังกัดบอกว่าทำงานเบาๆ ไม่กระทบประสิทธิภาพเครื่องหรือแบตเตอรี่ อีกตัวคือ Sophos Mobile Encryption ใช้เข้ารหัสข้อมูลบนมือถือที่ทำงานร่วมกับ Dropbox ได้ด้วย (อนาคตจะรองรับ Google Drive)

ทั้งสองตัวดาวน์โหลดได้ฟรีบน Play Store

อโดบียกเลิกใบรับรองที่เป็นคีย์ที่ถูกเข้ารหัสบางส่วนหลังจากได้รับการยืนยันว่าแอพพลิเคชันที่ใช้คีย์นั้นเป็นมัลแวร์ ซึ่งจากการตรวจสอบนั้นมีความเป็นไปได้ว่าเซิร์ฟเวอร์ที่ทำหน้าที่ในคอมไพล์และจัดการข้อมูลของบริษัทนั้นถูกบุกรุก เนื่องจากเซิร์ฟเวอร์นี้มีการเชื่อมต่อกับระบบที่มีหน้าที่จัดการใบรับรอง ทำให้ผู้โจมตีที่บุกรุกเข้ามาสามารถใช้ระบบนี้ออกใบรับรองให้กับมัลแวร์ได้

Radu Drăgușin นักวิจัยชาวโรมาเนียเปิดเผยว่าเขาได้เข้าถึงล็อกไฟล์ของเว็บไซต์ IEEE ที่เต็มไปด้วยบัญชีผู้ใช้และรหัสผ่านโดยไม่เข้ารหัสไว้ โดยล็อกไฟล์ดังกล่าวก็สามารถเข้าถึงได้ง่ายผ่านทางการล็อกอินแบบนิรนามของ FTP ซึ่งล็อกไฟล์ดังกล่าวนั้นมีขนาดกว่า 100 GB

Drăgușin กล่าวว่าข้อมูลในล็อกไฟล์นั้นเป็นข้อมูลของ HTTP requests ตั้งแต่เดือนสิงหาคมจนถึงช่วงกลางเดือนกันยายน 2012 ซึ่งมีกว่า 380 ล้าน request จากการรวบรวมแล้วได้บัญชีผู้ใช้งานทั้งหมดกว่า 99,979 บัญชีซึ่งรวมไปถึงบัญชีของพนักงานบริษัทชั้นนำอย่าง Apple, Google, IBM, Oracle, Samsung แม้กระทั่ง NASA ด้วย

Hasin Hayder, Rifat Nabi, และ Abu Ashraf Masnun ได้โพสต์ลงบนบล็อกของพวกเขาเกี่ยวกับช่องโหว่บน Facebook ที่ใช้ฟีเจอร์โพสต์โดยอีเมลในการโพสต์รูปภาพหรือข้อความลงในกลุ่มโดยเสมือนกับผู้เป็นเจ้าของอีเมลนั้นโพสต์เอง

จากข่าวช่องโหวลบข้อมูลบนโทรศัพท์ของบริษัทซัมซุง Dylan Reeve ได้เขียนลงบล็อกของเขาเกี่ยวกับผลกระทบเดียวกันของช่องโหว่นี้บน HTC One X ที่รัน HTC Sense 4.0 และ Android 4.0.3, Motorola Defy ที่รัน Cyanogen Mod 7 บน Android 2.3.5 รวมไปถึง Sony Xperia Arc S และ HTC Desire ที่รัน Android 2.2 ด้วย โดยเป็นช่องโหว่เดียวกันทั้งหมด

บริษัทความปลอดภัย Security Explorations ค้นพบช่องโหว่ใหม่ของ Java SE โดยรอบนี้ครอบคลุมกว้างตั้งแต่ Java 5-6-7 บนทุกระบบปฏิบัติการ ไม่ว่าจะเป็นวินโดวส์ แมค ลินุกซ์ หรือแม้กระทั่งโซลาริส

นักวิจัยของ Security Explorations ทดสอบช่องโหว่นี้บน Windows 7 แบบ 32 บิตลงแพตช์ล่าสุด ติดตั้ง Java 6u35 และ Java 7u7 รุ่นล่าสุด ผู้ทดสอบสามารถเจาะเข้ามายังช่องโหว่นี้ และรันแอพเพล็ตอันตรายเพื่อขโมยหรือลบข้อมูลของผู้ใช้ได้ (ทาง Security Explorations ไม่เปิดเผยรายละเอียดของช่องโหว่ตัวนี้)

ทาง Security Explorations แนะนำให้ปิดการใช้งาน Java Plugin โดยทันที และอาจต้องรอถึงวันที่ 16 ตุลาคม ซึ่งเป็นรอบการอัพเดตช่องโหว่ Java ครั้งต่อไป

ทางออราเคิลยังไม่มีท่าทีใดๆ ต่อข่าวนี้ครับ

จากกรณี ช่องโหว่โทรศัพท์ซัมซุงอาจถูกลบข้อมูลทั้งหมดได้ เพียงแค่เข้าชมเว็บไซต์

ทางซัมซุงออกแถลงการณ์แล้วว่าปัญหานี้ถูกแก้ไขแล้วผ่านระบบอัพเดตซอฟต์แวร์ และแนะนำให้ผู้ใช้ Galaxy S III อัพเดตเป็นซอฟต์แวร์เวอร์ชันล่าสุดผ่าน OTA

We would like to assure our customers that the recent security issue concerning the GALAXY S III has already been resolved through a software update. We recommend all GALAXY S III customers to download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service.

มีการตรวจพบการบุกรุก mirror ของโครงการ phpMyAdmin บน SourceForge และตรวจพบการแก้ไขเพื่อวาง backdoor ในไฟล์ server_sync.php เพื่อให้แฮกเกอร์สามารถรันคำสั่ง PHP จากระยะไกลได้

จากการตรวจสอบพบว่ามีการแก้ไขไฟล์จาก 'cdnetworks-kr-1' ซึ่งเป็น mirror ที่อยู่ในเกาหลีใต้ตั้งแต่ช่วงวันที่ 22 กันยายน จากล็อกไฟล์ของระบบพบว่ามีการดาวน์โหลดไฟล์ phpMyAdmin-3.5.2.2-all-languages.zip เป็นจำนวนกว่า 400 ครั้งโดยทาง SourceForge ก็ได้พยายามติดต่อกับผู้ใช้งานที่มีดาวน์โหลดไปในเรื่องนี้แล้ว

เป็นข่าวที่น่าตกใจสำหรับผู้ที่ใช้โทรศัพท์เคลื่อนที่ของซัมซุงที่มาพร้อมกับ TouchWiz UI เมื่อมีผู้ค้นพบว่ามีช่องโหว่ที่จะทำให้เครื่องโทรศัพท์นั้นถูกล้างข้อมูลจนหมด เมื่อเข้าไปยังหน้าเว็บไซต์บางหน้าที่ถูกจัดเตรียมไว้

แอปเปิลปล่อยอัพเดตซอฟต์แวร์สำหรับ Apple TV เพื่ออุดช่องโหว่จำนวน 21 จุด โดยบางส่วนเป็นช่องโหว่ที่มีมาตั้งแต่ปีที่แล้ว และเพิ่งได้รับการแก้ไข

ช่องโหว่หลักที่สำคัญที่สุดของอัพเดตครั้งนี้คือการแก้บั๊กการจัดการไฟล์ภาพและวิดีโอที่ถูกดัดแปลง ซึ่งสามารถรันคำสั่งที่ถูกซ่อนอยู่ออกมาได้ หรือทำให้ซอฟต์แวร์ของ Apple TV ไม่มีการตอบสนอง (Crash) และช่วงเดือนมีนาคมปีนี้มีการเผยแพร่บั๊กนี้สู่สาธารณะอีกด้วย

หลังจากที่แอปเปิลได้เข้าซื้อ AuthenTec บริษัทที่เชี่ยวชาญเรื่องเทคโนโลยีการอ่านลายนิ้วมือบนอุปกรณ์พกพาต่าง ๆ แล้ว วันนี้มีรายงานว่า AuthenTec ได้แจ้งให้ลูกค้าของตัวเองทราบว่าตั้งแต่ปี 2013 เป็นต้นไป AuthenTec จะไม่ขายชิ้นส่วนและเทคโนโลยีของตัวเองให้อีกต่อไปแล้ว โดยลูกค้าของ AuthenTec ได้แก่ซัมซุง, HP, Dell, Lenovo และ Fujitsu

ในรายงานยังบอกอีกว่า บริษัทที่เป็นลูกค้าของ AuthenTec เหล่านี้กำลังเร่งหาทางหาผู้ผลิตรายอื่นมาแทนที่ แต่ปัญหาอีกปัญหาที่ผู้ผลิตเหล่านี้จะเจอก็คือเรื่องของสิทธิบัตร ที่ AuthenTec เองก็มีอยู่มากมาย (และตอนนี้อยู่ในมือของแอปเปิล)

โทรจัน Encriyoko เพิ่งถูกค้นพบเมื่อกลางเดือนที่ผ่านมา ตัวมันเองทำงานด้วยการเข้ารหัสไฟล์เอกสารจำนวนมากในเครื่อง โดยสร้างกุญแจการเข้ารหัสด้วยการสุ่มขึ้นมาหรือใช้กุญแจจากไฟล์ D:\nepia.dud จุดที่ทำให้มันน่าสนใจกว่าโทรจันอื่นๆ คือมันพัฒนาด้วยภาษา Go

ตัวโทรจันเป็นไฟล์ติดตั้งที่เขียนด้วย .NET ใช้ชื่อไฟล์ว่า GalaxyNxRoot.exe เมื่อติดตั้งแล้วจะได้สองไฟล์ที่พัฒนาด้วยภาษา Go นั่นคือ PPSAP.exe และ adbtool.exe ไฟล์แรกจะอัพโหลดข้อมูลเกี่ยวกับเครื่องของเรากลับไปยังเซิร์ฟเวอร์ อีกไฟล์หนึ่งจะดาวน์โหลด DLL สำหรับการเข้ารหัสไฟล์ในเครื่องของเรามารัน

ใครรูทเครื่องเล่นด้วยโปรแกรมแปลกๆ บ่อยๆ ก็ระวังตัวกันด้วยนะครับ

ผู้อ่านหลายๆ ท่านที่ติดตามข่าวด้านความปลอดภัยอยู่เป็นประจำ (แม้จะไม่ได้ตั้งใจหรืออ่านผ่านๆ ก็ตาม) อาจจะคุ้นเคยกับชื่อการแข่งขัน Pwn2Own กันมาบ้างแล้ว สำหรับในปีนี้ค่อนข้างพิเศษกว่าปีอื่นๆ เนื่องจากประเด็นทางด้านความปลอดภัยบนอุปกรณ์ประเภทคอมพิวเตอร์พกพาและอุปกรณ์สื่อสารแบบไร้สายจึงได้มีการจัดการแข่งขัน Mobile Pwn2Own ขึ้นมาเป็นปีแรกโดยยังมีรูปแบบของการแข่งขันคล้ายกับงาน Pwn2Own เดิมคือให้ผู้เข้าแข่งขันทำการแฮกอุปกรณ์หรือซอฟต์แวร์ที่กำหนดไว้โดยใช้ช่องโหว่ที่พัฒนาขึ้นเอง และจะยินยอมให้บริษัทผู้ผลิตสามารถจ่ายเงินเพื่อซื้อช่องโหว่นั้นๆ เพื่อนำไปพัฒนาและวิจัยต่อไปด้วย