หลังจากมีการค้นพบช่องโหว่ล่าสุดของ Internet Explorer 7-8-9 ที่ทำให้หน่วยงานของรัฐบาลเยอรมนีออกมาเตือนให้หยุดใช้เบราว์เซอร์จากไมโครซอฟท์ชั่วคราว และไมโครซอฟท์ได้ออกเครื่องมือชื่อ Fix it มาก่อนหน้านี้ ล่าสุดบริษัทได้ปล่อยอัพเดตตามสัญญาแล้ว โดยระบุว่าแพตช์นี้นอกจากจะอุดรูรั่วดังที่กล่าวมาแล้ว ยังอุดรูรั่วที่บริษัทค้นพบเองอีก 4 จุดอีกด้วย

ไมโครซอฟท์แก้ปัญหาช่องโหว่ล่าสุดของ IE7-8-9 (IE10 รอด) ที่ทำให้หน่วยงานของรัฐบาลเยอรมนีต้องออกมาเตือนให้หยุดใช้ IE ชั่วคราว

สำหรับคนที่ใช้ Windows XP/Vista/7 รวมถึง Windows Server ควรรีบเข้าไปดาวน์โหลดเครื่องมือชื่อ Fix it ของไมโครซอฟท์มาติดตั้งกันด่วน ข่าวร้ายคือมันใช้ได้กับ IE เวอร์ชัน 32 บิตเท่านั้น (ดังนั้นถ้าใช้วินโดวส์ 64 บิต ก็จะซ่อมเฉพาะ IE แบบ 32 บิตนะครับ)

ไมโครซอฟท์จะเริ่มปล่อยอัพเดตตัวนี้ผ่าน Windows Update ในวันพรุ่งนี้ (21 ก.ย.) เป็นต้นไปครับ

จากกรณี พบช่องโหว่ใน IE 7 และ 8 และ ไมโครซอฟท์ออกรายละเอียดช่องโหว่บน IE แล้ว, Windows 8 และ IE 10 รอด

หน่วยงานด้านความปลอดภัยข้อมูลของรัฐบาลเยอรมนี (The Federal Office for Information Security หรือ BSI ตามตัวย่อภาษาเยอรมัน) ออกมาประกาศให้ผู้ใช้คอมพิวเตอร์หยุดใช้ IE7-8 บน Windows XP และ IE8-9 บน Windows 7 ชั่วคราว จนกว่าไมโครซอฟท์จะออกแพตช์แก้ปัญหานี้ โดย BSI ก็ร่วมมือกับไมโครซอฟท์อย่างใกล้ชิดเพื่อแก้ปัญหานี้อยู่

งานนี้ IE10 บน Windows 8 รอด ส่วนคนที่ใช้ IE เวอร์ชันก่อนหน้านี้ก็ดูวิธีหลีกเลี่ยงได้จากข่าวเก่าครับ

จากข่าวช่องโหว่บน IE 7,8 และ 9 ที่ถูกใช้ในการโจมตี ทางไมโครซอฟท์ได้ออกรายละเอียดเบื้องต้นเกี่ยวกับเวอร์ชันของ IE และรุ่นของระบบปฏิบัติการที่ได้รับผลกระทบแล้ว (ดูได้จากแหล่งที่มา)

อ้างอิงจากบล็อกของนักวิจัยด้านความปลอดภัย Eric Romang มีการค้นพบช่องโหว่บน IE ซึ่งกำลังถูกใช้ในการโจมตีจริงพร้อมกับการปล่อยมัลแวร์ ช่องโหว่นี้เกิดจากการจัดการอาเรย์ img ที่ผิดพลาดในไฟล์ HTML ในขณะนี้การโจมตียังเกิดขึ้นเพียงแค่ IE เวอร์ชัน 6 และ 7 ซึ่งติดตั้งอยู่บน Windows XP SP3 ที่มีการแพตซ์ล่าสุดเท่านั้น (ยังไม่ยืนยันว่าจะมีช่องโหว่บนระบบปฏิบัติการ-เวอร์ชันอื่น)

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

ณ เวลาราวๆ 16.40 น. มีคนพบว่า ในหน้าเว็บไซต์กระทรวงศึกษาธิการ มีมือดีไปเปลี่ยนภาพแบนเนอร์ 3 ภาพ

PCI Security Standards Council (PCI SSC) กลุ่มสร้างมาตรฐานการความปลอดภัยการโอนเงินทางอิเล็กทรอนิกส์ได้ออกแนวทางความปลอดภัยสำหรับการจ่ายเงินผ่านอุปกรณ์โมบายล์ หรือ PCI Mobile Payment Acceptance Security Guidelines สำหรับการพัฒนาแอพพลิเคชั่นจ่ายเงินผ่านอุปกรณ์โมบายล์ที่กำลังได้รับความนิยมขึ้นในช่วงนี้

คำแนะนำของมาตรฐานนี้เพิ่มเติมหลายจุดที่เฉพาะสำหรับอุปกรณ์โมบายล์ เช่น กรณีเครื่องสูญหายจะต้องมีความสามารถในการปิดการใช้งานแอพพลิเคชั่นจากระยะไกลได้ ส่วนที่เหลือเป็นการระบุว่าแอพพลิเคชั่นเหล่านี้จะต้องทำตามมาตรฐานการเงินอื่นๆ เช่น PCI Data Security Standard หรือมาตรฐานการเขียนโปรแกรมแบบคำนึงถึงความปลอดภัย CERT Secure Coding Standards เป็นต้น

จากงาน DefCon Bangalore นักวิจัยด้านความปลอดภัยชาวอินเดียชื่อ Suriya Prakash วัย 17 ปีได้นำเสนอการค้นพบและวิจัยของเขาในกรณีที่มีการเจอบอทเน็ตเป็นจำนวนมากอยู่บนเครือข่าย Tor

นักวิจัยจากไมโครซอฟท์ตรวจพบการติดตั้งโปรแกรมประเภทมัลแวร์บนพีซีที่ผลิตจากประเทศจีน ซึ่งได้ถูกจำหน่ายในราคาที่ค่อนข้างต่ำกว่าท้องตลาดโดยใช้มัลแวร์ในการดาวน์โหลดและติดตั้งมัลแวร์ตัวอื่น

Charlie Miller แฮกเกอร์และผู้เชี่ยวชาญด้านความปลอดภัยที่เคยฝากผลงานไว้ทั้งในการแข่งขัน Pwn2Own และผลงานการแจ้งช่องโหว่ผลิตภัณฑ์แอปเปิลได้ทวีตเกี่ยวกับงานใหม่ในตำแหน่งหนึ่งในทีมด้านความปลอดภัยของทวิตเตอร์

สำหรับ Miller นั้นเคยทำงานเป็นเป็นนักวิเคราะห์ระบบความปลอดภัยให้กับ National Security Agency (NSA) โดยปัจจุบันดำรงตำแหน่งเป็นที่ปรึกษาด้านการวิจัยความปลอดภัยให้กับบริษัท Accuvant ด้วย

นักวิจัยด้านความปลอดภัยสองคน คือ Juliano Rizzo และ Thai Duong กำลังเตรียมนำเสนองานวิจัยด้านความปลอดภัยของ TLS ด้วยกระบวนการที่เรียกว่า CRIME ในงาน ekoparty วันที่ 21 ที่จะถึงนี้ แต่ระหว่างนี้ก็เริ่มมีการตรวจสอบว่าบั๊กความปลอดภัยนี้ได้รับการแก้ไขในเบราว์เซอร์ใดไปแล้ว และมีการรายงานออกมาว่ามันทำงานอย่างไร

บริษัทความปลอดภัยชื่อดังอย่าง McAfee ระบุว่าการค้นหารูปภาพหรือข่าวซุบซิบของดารา/คนดัง มีความเสี่ยงสูงในการเจอเว็บไซต์อันตราย (เช่น เว็บฟิชชิ่ง, เว็บปล่อยไวรัส/สปายแวร์) และจากการศึกษาพบว่าคนดังที่ค้นหาแล้วมีโอกาสเจอเว็บอันตรายมากที่สุดคือ เอ็มม่า วัตสัน (Emma Watson) นักแสดงนำจากหนัง Harry Potter โดยมีความเสี่ยงอยู่ที่ 12%

รายชื่อสิบอันดับแรกเป็นดาราผู้หญิงทั้งหมด ดูได้จากหลังเบรคครับ

1. Emma Watson
2. Jessica Biel
3. Eva Mendes
4. Selena Gomez
5. Halle Berry
6. Megan Fox
7. Shakira
8. Cameron Diaz
9. Salma Hayek
10. Sofia Vergara

จะค้นรูปดาราก็ระวังกันหน่อยครับ

ไมโครซอฟท์มีหน่วยปราบปรามบ็อตเน็ตเป็นของตัวเอง และที่ผ่านมาก็มีปฏิบัติการร่วมกับเจ้าหน้าที่รัฐ ช่วยกันบุกปิดเซิร์ฟเวอร์ของบ็อตเน็ตเหล่านี้อยู่เรื่อยๆ (อ่านข่าว ไมโครซอฟท์จับมือเจ้าหน้าที่รัฐบาล บุกปิดเซิร์ฟเวอร์สำหรับรันโทรจัน Zeus)

ล่าสุด Microsoft Digital Crimes Unit ได้รับคำสั่งศาลสหรัฐให้บล็อคโดเมนจีน 3322.org ซึ่งใช้เป็นเซิร์ฟเวอร์ของมัลแวร์ชื่อ Nitol เพื่อส่งข้อมูลของเครื่องที่ติดมัลแวร์ตัวนี้กลับมายังผู้สร้าง ตามข้อมูลของไมโครซอฟท์บอกว่า 3322.org มีซับโดเมนกว่า 70,000 ชื่อ ใช้สำหรับมัลแวร์กว่า 500 ชนิด

Chrome for Android พ้นสถานะเบต้ากลายเป็นตัวจริง ตั้งแต่งาน Google I/O ในเดือนมิถุนายนที่ผ่านมา แต่หลังจากนั้นกูเกิลกลับหายเงียบไปเลย ไม่ได้มาอัพเดต Chrome for Android อีก (ทั้งที่ประสิทธิภาพยังไม่ค่อยดีเท่าไร)

เวลาผ่านมา 3 เดือน กูเกิลปล่อยอัพเดตแรกของ Chrome for Android บน Play Store แล้ว ของใหม่คือการปรับปรุงระบบความปลอดภัย sandbox ของ Chrome ให้ผู้ประสงค์ร้ายที่โจมตีผ่านเว็บไซต์ ไม่สามารถสร้างอันตรายให้กับตัวเบราว์เซอร์ได้ (เพราะถูกจำกัดไว้ใน sandbox)

ข่าวนี้ถือเป็นทิศทางที่น่าสนใจของโอเปอเรเตอร์ในต่างประเทศ ที่หันมาให้บริการด้านความปลอดภัยแก่ลูกค้ามือถือของตัวเอง

Verizon โอเปอเรเตอร์เบอร์หนึ่งของสหรัฐ เปิดบริการใหม่ชื่อ Verizon Mobile Security โดยใช้เอนจินจากบริษัทความปลอดภัย McAfee และ Asurion ช่วยกรองไวรัสและแอพอันตรายแก่ลูกค้า Android ของตัวเอง ตัวบริการแบ่งเป็น 3 ระดับดังนี้

หลังจากไมโครซอฟท์ชี้แจงว่าจะอัพเดตอุดช่องโหว่ด้านความปลอดภัยให้กับ Flash Player หลัง Windows 8 เข้าสถานะ GA เรียบร้อยแล้ว ซึ่งทำให้ผู้ใช้ Internet Explorer 10 ต้องอยู่กับช่องโหว่สำคัญของ Flash ไปอีกเกือบสองเดือน ล่าสุดไมโครซอฟท์ก็อีเมลแจ้งทีมงานเว็บ ZDNet ว่าบริษัทจะปล่อยตัวอัพเดตในเร็ววันนี้ บริษัทยังกล่าวว่าเป้าหมายที่สำคัญที่สุดคือทำให้ Flash Player บน Windows 8 ปลอดภัยและทันสมัยอยู่เสมอ และพยายามปล่อยอัพเดตให้ใกล้เคียงกับรอบการปล่อยอัพเดตของอโดบีให้มากที่สุดเท่าที่จะเป็นไปได้

ที่มา: ZDNet

Go Daddy ผู้ให้บริการจดโดเมนและเว็บโฮสติ้งชื่อดัง ออกแถลงการณ์ถึงปัญหาการล่มของระบบที่เกิดขึ้นเมื่อวานว่าไม่ได้เกิดจากปัจจัยภายนอก ไม่ใช่ทั้งถูกแฮกหรือถูกโจมตีโดยวิธี DDoS แต่เกิดจากเหตุการณ์ภายในหลายเหตุการณ์ที่ทำให้ตารางข้อมูลของเราเตอร์ (router data table) เสียหาย ส่งผลให้เว็บไซต์จำนวนมากไม่สามารถเข้าถึงได้

ภายในแถลงการณ์ยังเสริมอีกว่าข้อมูลทั้งหมดยังปลอดภัยและไม่มีระบบส่วนใดถูกเจาะ รวมทั้งบอกเพิ่มว่าได้ดำเนินการเพิ่มเติมเพื่อป้องกันไม่ให้เหตุการณ์เช่นนี้เกิดขึ้นอีก

เมื่อวานนี้เมื่อเวลาประมาณ 1:25 นาฬิกา (เวลาประเทศไทย) ผู้ให้บริการจดโดเมนและเว็บโฮสติ้งรายใหญ่ของโลกอย่าง GoDaddy ก็เกิดอาการล่มลงไปโดยไม่ทราบสาเหตุ จนถึงเวลาประมาณ 5:45 นาฬิกา เว็บต่างๆ ที่ใช้บริการของ GoDaddy จึงเริ่มกลับมาใช้งานได้อีกครั้ง

การล่มของ GoDaddy ส่งผลให้เว็บหลักของ GoDaddy เอง และเว็บที่ใช้บริการโฮสต์, จดโดเมน, หรือใช้ DNS ของ GoDaddy กว่าล้านเว็บไม่สามารถเข้าถึงได้

ในขณะเดียวกัน ในทวิตเตอร์ @AnonymousOwn3r หัวหน้าฝ่ายความปลอดภัยของกลุ่ม Anonymous ก็ออกมายอมรับว่าการโจมตี GoDaddy ในครั้งนี้เป็นฝีมือของเขาเอง

ทั้งนี้ ทาง GoDaddy กล่าวว่าไม่มีข้อมูลสำคัญใดๆ ของลูกค้าหลุดรอดออกไป

โปรแกรมแชตที่ได้รับความนิยมสูงมากบนโทรศัพท์มือถืออย่าง WhatsApp ถูกวิจารณ์ว่ามีปัญหาความปลอดภัยเพราะไม่เข้ารหัสการเชื่อมต่อมาโดยตลอด จนมีคนทำโปรแกรม WhatsAppSniffer เพื่อดักฟังการแชตบน Wi-Fi มาให้ใช้งานกันเป็นเรื่องเป็นราว การอัพเกรดรอบหลังสุดของ WhatsApp จึงแก้ปัญหานี้ด้วยการเข้ารหัสการแชตทั้งหมด แต่ก็มีคนพบว่ามันใช้หมายเลข IMEI เป็นรหัสผ่าน

กูเกิลประกาศการซื้อกิจการบริษัทความปลอดภัย VirusTotal โดยไม่เปิดเผยมูลค่า

VirusTotal ให้บริการตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย โดยก่อนหน้านี้กูเกิลก็เคยใช้บริการของ VirusTotal ในผลิตภัณฑ์ของตัวเอง (แต่ไม่ได้เปิดเผยทั่วไป) อยู่บ้างแล้ว

ในการซื้อกิจการครั้งนี้ VirusTotal ระบุว่าระบบตรวจสอบมัลแวร์ของตัวเองเมื่อไปอยู่บนโครงสร้างพื้นฐานอันแข็งแกร่งของกูเกิล ย่อมทำงานได้รวดเร็วและรองรับผู้ใช้งานได้มากขึ้น ส่วนโครงสร้างการบริหารจะยังเป็นอิสระจากตัวบริษัทหลักของกูเกิล

ปัญหานี้คล้ายกับ ช่องโหว่ของ Java บนแมค แต่เปลี่ยนคู่มาเป็น Windows 8 กับ Flash Player แทน

ปัญหาช่องโหว่ของ Java กลายมาเป็นภัยคุกคามต่อผู้ใช้เข้าจริงๆ แล้ว โดยบริษัทความปลอดภัยหลายแห่งตรวจพบว่ามีการปลอมอีเมลจากไมโครซอฟท์ (ซึ่งไมโครซอฟท์เพิ่งส่งอีเมลปรับนโยบายการใช้งานออกมาจริงๆ หลายคนแถวนี้คงได้รับ) แต่เปลี่ยนลิงก์เป็นเว็บไซต์ประสงค์ร้ายแทน

ในช่วงนี้ค่อนข้างจะมีการผุดขึ้นมาของกลุ่มแฮ็กเกอร์ใหม่ๆ เป็นจำนวนมาก ดังนั้นผมจึงจะขอแจ้งให้ทราบก่อนว่าผมจะเขียนเฉพาะข่าวที่ผู้อ่านส่วนมากได้รับผลกระทบนะครับ นอกนั้นจะขอยกเว้นครับ

สำหรับข่าวนี้เป็นผลงานของกลุ่มแฮ็กเกอร์ที่เรียกตัวเองว่า NullCrew เหยื่อของการโจมตีนี้ได้แก่เว็บไซต์หลักของ Sony Mobile ซึ่งได้ถูกเจาะเข้าไปและขโมยฐานข้อมูลของลูกค้าบางส่วนออกมาเผยแพร่สู่สาธารณะ โดยผู้โจมตีนั้นยังได้อ้างว่านี่เป็นเพียงหนึ่งจากแปดเซิร์ฟเวอร์ของ Sony ที่ถูกแฮ็ก และได้แอบใบ้ด้วยว่าอาจจะอยู่ในช่วงหมายเลขไอพีใกล้ๆ กันก็เป็นได้

หลังจากเมื่อวานที่ผมได้เขียนข่าวออราเคิลออกแพตซ์ด้านความปลอดภัยให้กับจาวาแล้วเป็นเวอร์ชัน 7 อัพเดตที่ 7 บริษัทด้านความปลอดภัย Security Explorations สัญชาติโปแลนด์ก็ได้ประกาศเกี่ยวกับช่องโหว่เพิ่มเติมที่ยังไม่ได้ถูกแก้บนแพตซ์ล่าสุด ซึ่งส่งผลให้ผู้โจมตีสามารถข้ามผ่านระบบ sandbox ของจาวาแล้วทำการรันโค้ดที่เป็นอันตรายได้

ข่าวดีก็คือช่องโหว่นี้ยังไม่ได้ใช้เพื่อโจมตีจริงจึงยังไม่ได้รับการเปิดเผยออกสู่สาธารณะ ซึ่งในขณะนี้ทางผู้ค้นพบก็ได้ส่งรายละเอียดช่องโหว่ทั้งหมดให้กับทางออราเคิลเพื่อแก้ไขแล้ว แต่คำแนะนำจากผู้เชี่ยวชาญทางด้านความปลอดภัยก็ยังเน้นย้ำให้ปิดการใช้งานจาวาเพื่อความปลอดภัยอยู่