Huawei เป็นแบรนด์ที่จีนที่เริ่มบุกตลาดระดับผู้ให้บริการได้มากขึ้นเรื่อยๆ จากการตัดราคาคู่แข่งอย่างหนักในช่วงหลัง แต่ที่งาน DefCon นักวิจัยด้านความปลอดภัย Felix Lindner ก็ขึ้นเวทีชำแหละปัญหาความปลอดภัยของสินค้า Huawei ทีละจุดอย่างมาก

การนำเสนอของ Felix (PDF) ไล่ประเด็นนับแต่กระบวนการจัดการกับปัญหาความปลอดภัย โดยเขาชี้ว่า Huawei ไม่มีการรายงานและคำแนะนำด้านความปลอดภัยออกมาสู่สาธารณะ ไม่มีการอัพเดตตามรายการคำแนะนำความปลอดภัยเหล่านั้น โดยลูกค้าต้องติดต่อเป็นกรณีไปเพื่อขออัพเดตด้านความปลอดภัย

LastPass บริการด้านการจัดการรหัสผ่านเพิ่มฟีเจอร์ด้านความปลอดภัยใหม่ โดยฟีเจอร์แรกนั้นคือการที่ผู้ใช้งานสามารถเลือกได้ว่าจะยินยอมให้มีการล็อกอินผ่าน Tor หรือไม่ โดยทาง LastPass อ้างว่า Tor นั้นเต็มไปด้วยแฮกเกอร์และการกระทำที่ผิดกฎหมาย และผู้ใช้งานเองก็ไม่น่าจะมีความจำเป็นอะไรที่จะใช้งานผ่าน Tor ซึ่งฟีเจอร์ถูกตั้งให้ไม่ทำงานเป็นค่าเริ่มต้น แต่หากผู้ใช้งานไม่ได้ล็อกอินนานเกิน 30 วัน ฟีเจอร์นี้ก็จะถูกเปิดใช้งานอัตโนมัติ

ที่งาน DefCon ปีนี้ Moxie Marlinspike ทีมงาน CloudCracker ได้นำเสนอช่องโหว่ใหม่ของ MS-CHAPv2 ที่นิยมใช้กับการยืนยันตัวผู้ใช้ก่อนเชื่อมต่อ VPN และ WPA2-Enterprise โดยทีมงานได้วิเคราะห์จุดอ่อนของ MS-CHAPv2 แล้วพบว่าแกนกลางของการป้องกันข้อมูลเชื่อมต่อนั้นอยู่ที่การเข้ารหัส DES ของ ChallengeHash โดยใช้คีย์เป็นค่า MD4 ของรหัสผ่าน ปัญหาคือในการเข้ารหัส DES นั้น MS-CHAPv2 กลับใช้ค่าของ MD4 เพียง 7 ไบต์ ทำให้จำนวนคีย์ที่เป็นไปได้มีแค่ 2^56

พร้อมกับการพบช่องโหว่นี้ บริษัท Pico Computing ของ David Hulton ได้สร้างเครื่องคอมพิวเตอร์เฉพาะที่ใช้เจาะรหัส DES ได้ 18,000 ล้านคีย์ต่อวินาที ทำให้สามารถแครก DES ที่มีคีย์ 2^56 นี้ได้ภายในเวลา 23 ชั่วโมง โดยเฉลี่ยอยู่ที่ 12 ชั่วโมงเท่านั้น

ในเดือนที่ผ่านมา มีผู้ใช้งาน Dropbox หลายคน (ส่วนใหญ่เป็นผู้ใช้งานในแถบยุโรป) เข้าไปรายงานในฟอรั่มของเว็บไซต์ Dropbox ว่าได้รับอีเมลสแปมเข้ามาในกล่องขาเข้าของตนเอง ซึ่งเกิดขึ้นกับบัญชีอีเมลที่ผู้ใช้งานเหล่านี้นำไปลงทะเบียนกับ Dropbox เพียงอย่างเดียวเท่านั้น ไม่ได้เอาไปใช้ทำอะไรอย่างอื่น

KT Telecom ผู้ให้บริการเครือข่ายมือถือใหญ่อันดับสองของเกาหลีใต้ ออกมาขอโทษผู้ใช้งานหลังจากที่ทราบว่าถูกมือดีแฮกเอาข้อมูลส่วนตัวผู้ใช้ในระบบเป็นเวลากว่า 5 เดือน โดยคาดว่ามีข้อมูลผู้ใช้ถูกแฮกไปมากถึง 8.7 ล้านคน นับเป็นครึ่งหนึ่งจาก 16 ล้านรายชื่อที่ KT Telecom มีอยู่ด้วยซ้ำ

KT Telecom แจ้งว่าข้อมูลที่ถูกแฮกไปคือชื่อผู้ใช้ หมายเลขประจำตัวประชาชน และเบอร์โทรศัพท์ ซึ่งถูกแฮคตั้งแต่เดือนกุมภาพันธ์จนถึงกรกฎาคม โดยแฮกเกอร์สองคนที่ได้ข้อมูลดังกล่าวได้นำไปขายให้กับบริษัทในกลุ่มสื่อสารเป็นมูลค่าถึง 1,000 ล้านวอน ก่อนถูกจับกุมในภายหลัง รวมถึงอีกเจ็ดรายที่ตกเป็นผู้ต้องสงสัยซื้อข้อมูลดังกล่าวด้วย

ช่วงหลังๆ เราพบปัญหาด้านความปลอดภัยของ Java มากขึ้นเรื่อยๆ โดยกรณีล่าสุดคือมัลแวร์ Flashback ของแมคที่ใช้ช่องโหว่ของ Java บนแมค ส่งผลให้มีคนติดมัลแวร์ตัวนี้มากกว่า 600,000 ราย

ล่าสุด Matt Oh นักวิจัยด้านความปลอดภัยของ Microsoft Malware Protection Center ขึ้นพูดที่งานสัมมนาด้านความปลอดภัย Black Hat 2012 โดยระบุว่าสถิติของไมโครซอฟท์เองก็พบปัญหาด้านความปลอดภัยของ Java มากขึ้นเรื่อยๆ เช่นกัน แถมจุดเด่นของ Java เรื่องการทำงานข้ามแพลตฟอร์ม ก็กลายเป็นช่องโหว่ที่ผู้ประสงค์ร้ายสามารถเจาะได้ทั้งวินโดวส์-แมค-ยูนิกซ์พร้อมกันได้ในคราวเดียวอีกด้วย

ช่องโหว่ในซอฟต์แวร์ DRM ของ Ubisoft อาจจะทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้เพียงแค่ผู้ใช้คลิกเปิดลิงก์บนเว็บเท่านั้น โดยซอฟต์แวร์ Uplay ที่มากับเกม Assassin's Creed Revelations ของ Ubisoft จะไปเพิ่มปลั๊กอินให้กับเบราว์เซอร์ และฟังก์ชั่นที่เพิ่มขึ้นมาทำให้แฮกเกอร์สามารถเรียกโปรแกรมใดๆ ในเครื่องขึ้นมาใช้งานได้

Tavis Ormandy วิศวกรด้านความปลอดภัยของกูเกิล เขาได้โพสโค้ดจาวาสคริปต์ตัวอย่างที่ใช้เรียกโปรแกรมเครื่องคิดเลขไว้ในโพสของเขาด้วย

ที่มา - SecLists

ในงานสัมมนาแฮกเกอร์ DefCon 20 ที่เพิ่งจบลงเมื่อวันที่ 29 กรกฎาคมที่ผ่านมา มีกลุ่มแฮกเกอร์ผู้เข้าร่วมงานอย่าง Ninja Networks ได้สร้างเครือข่ายสำหรับมือถือขึ้นมาเองด้วยเครื่องมือที่อยู่ในรถตู้ โดยใช้ชื่อเครือข่ายว่า "Ninja-Tel"

แต่ด้วยความที่เครือข่าย Ninja-Tel นั้นไม่สามารถใช้ร่วมกับมือถือทั่วไปได้ จึงแจกมือถือสำหรับใช้กับเครือข่าย Ninja-Tel โดยเฉพาะ นั่นก็คือ HTC One V รุ่นใช้แอนดรอยด์ปรับแต่งชื่อว่า "Ninja OS" สำหรับใช้ในงาน DefCon 20 จำนวน 650 เครื่อง โดยตัวเครือข่ายใช้ได้เฉพาะในโรงแรม Rio ซึ่งเป็นสถานที่จัดงานเท่านั้น

อีกกิจกรรมหนึ่งที่จบลงไปพร้อมกับงานประชุม Black Hat 2012 คือการแข่งขัน Microsoft BlueHat Prize ซึ่งเป็นการแข่งขันด้านความปลอดภัยโดยให้ผู้เข้าแข่งขันทำการออกแบบโครงการด้านความปลอดภัยที่ช่วยป้องกันการโจมตีที่มุ่งไปยังหน่วยความจำ โดยรางวัลอันดับหนึ่งนั้นมีมูลค่าสูงถึง $200,000

General Motors (GM) เผยเทคโนโลยีตัวใหม่จากนักวิจัยภายในที่จะใช้เทคโนโลยี Wi-Fi Direct ร่วมกับรถยนต์ เพื่อตรวจจับผู้คนเดินเท้า หรือคนปั่นจักรยานที่ใช้สมาร์ทโฟน ซึ่งทาง GM อ้างว่าสามารถตรวจจับคนกลุ่มดังกล่าวได้ภายในเวลาประมาณ 1 วินาที (เทียบกับระบบไร้สายอื่นๆ ที่ใช้เวลาประมาณ 7-8 วินาที)

จากงานวิจัยครั้งนี้ GM ตั้งใจว่าจะพัฒนาแอพลงบนสมาร์ทโฟนสำหรับกลุ่มคนที่สัญจรบนท้องถนน และมีเป้าหมายเพื่อรวมระบบนี้เข้าไปกับระบบแจ้งเตือนในรถยนต์อีกด้วย

ระยะทำการของ Wi-Fi Direct จากข้อมูลของ Wi-Fi Alliance อยู่ที่ราวๆ 200 เมตร อาจไม่กว้างมาก แต่มีข้อดีคือสามารถใช้งานได้แม้ว่าทัศนวิสัยจะไม่ค่อยดีก็ตาม

ในงาน Black Hat 2012 Charlie Miller ผู้ที่เคยฝากผลงานมากมายไว้ในการแข่งขัน Pwn2Own ได้ออกมาสาธิตการใช้งานเทคโนโลยี NFC ซึ่งช่วยให้ผู้โจมตีสามารถส่งไฟล์หรือช่องโหว่ที่เป็นอันตรายไปยังอุปกรณ์ของเหยื่อได้ง่ายขึ้น

การทดลองนั้นได้มีการสาธิตวิธีการส่งหน้าเว็บเพจที่มีช่องโหว่ของเบราว์เซอร์ควบคู่ไปในการโจมตี ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงคุกกี้รวมไปถึงสามารถส่งคำสั่งต่างๆ เพื่อควบคุมเครื่องเป้าหมายได้ โดยในส่วนของ MeeGo ใช้ช่องโหว่ของเอกสารในการโจมตีแทน

Trustwave บริษัทให้บริการด้านความปลอดภัยสำหรับธุรกิจออกมาเผยว่าพบข้อผิดพลาดของระบบความปลอดภัยบน Play Store ที่ทำให้สามารถอัพเดตแอพที่เคยผ่านการตรวจของ Google Bouncer พร้อมกับโค้ดที่เป็นอันตรายได้

การทดสอบของ Trustwave ทำโดยสร้างแอพตัวหนึ่งชื่อว่า SMS Blocker สำหรับบล็อคข้อความ ซึ่งก็ผ่านการตรวจสอบของ Bouncer มาได้อย่างไม่มีปัญหา หลังจากนั้นได้อัพเดตแอพอีกถึง 11 ครั้ง โดยแต่ละครั้งจะสั่งให้แอพเข้าถึงรูปภาพ รายการโทรศัพท์ หรือแม้กระทั่งให้เปิดเว็บอันตรายต่างๆ

มีรายงานว่าในงานสัมมนาด้านความปลอดภัยของซอฟต์แวร์ Black Hat ซึ่งจัดกันทุกปีในลาสเวกัส ในปีนี้มีคนจากแอปเปิลคือ Dallas De Atley ผู้จัดการฝ่ายความปลอดภัยขึ้นพูดบนเวทีในงานด้วย โดยเนื้อหาจะเน้นไปที่ความปลอดภัยของระบบปฏิบัติการ iOS

ที่งาน Black Hat ปีนี้บริษัท Qualys ประกาศเปิดตัว Android Security Evaluation Framework (ASEF) สำหรับดักจับการทำงานของแอพพลิเคชั่นทั้งการเข้าถึงระบบและการส่งข้อมูลออกสู่อินเทอร์เน็ต

ASEF จะช่วยให้ผู้ใช้รู้ได้ว่าแอพพลิเคชั่นในเครื่องของตัวเองทำอะไรอยู่บ้าง มันยังตรวจสอบ URL ที่แอพพลิเคชั่นเรียกใช้ว่าเป็นอันตรายหรือไม่ และตรวจสอบข้อมูลที่ส่งมาว่าตรงกับมัลแวร์ด้วยหรือไม่

ทีมงาน Qualys ระบุว่า ASEF จะเปิดตัวในวันนี้ (ตามเวลาสหรัฐฯ) แต่เวอร์ชั่นที่เปิดตัวมานี้ยังเป็นเพียงจุดเริ่มต้นและจะเพิ่มฟีเจอร์เข้าไปเรื่อยๆ ฟีเจอร์หนึ่งที่ทีมงานคิดไว้คือการเตือนเมื่อแอพพลิเคชั่นเรียกใช้เว็บที่ไม่เข้ารหัส

ไมโครซอฟท์ได้จดสิทธิบัตร "User Identification with Biokinematic Input" ซึ่งกล่าวถึงการระบุตัวตนโดยใช้ข้อมูลอย่างลายนิ้วมือหรือลายฝ่ามือที่ได้รับจากหน้าจอสัมผัสของอุปกรณ์โดยตรง

ทีมวิจัยได้กล่าวถึงที่มาที่ไปของงานวิจัยชิ้นนี้ว่า เนื่องจากมีข้อจำกัดมากมายที่เทคนิคการระบุตัวตนด้วยใช้ข้อมูลไบโอเมตริกไม่ได้รับการนำไปใช้บนแท็บเล็ตและโทรศัพท์เคลื่อนที่ อาทิ ไม่มีพื้นที่ที่จะติดตั้งตัวอ่านลายนิ้วมือหรือลายฝ่ามือ และถึงแม้จะมีหน้าจอสัมผัสที่ติดมากับอุปกรณ์ที่พอจะรับข้อมูลได้ แต่เทคโนโลยีหน้าจอสัมผัสในปัจจุบันนั้นก็ไม่มีความละเอียดที่มากพอที่จะเก็บภาพของพื้นผิวมนุษย์บนนิ้วมือหรือฝ่ามือซึ่งสามารถถูกใช้เพื่อแยกแยะตัวบุคคลได้

ต่อจากกรณี App Store รั่ว แฮกเกอร์รัสเซียพบช่องโหว่กดซื้อแอพโดยไม่จ่ายเงิน ทางแอปเปิลก็ออกมาประกาศปิดรูรั่วนี้ด้วยวิธีการชั่วคราวแล้ว และให้ข้อมูลว่าใน iOS 6 จะแก้ปัญหานี้อย่างถาวร - ZDNet

อย่างไรก็ตาม แฮ็กเกอร์คนเดิมคือ Alexei Borodin ก็ยังสามารถเจาะเข้ามาได้อีกครั้งด้วยวิธีใหม่ ให้ผู้ใช้สามารถกดซื้อ in-app purchase ได้แบบไม่ต้องจ่ายเงินจริง วิธีการที่เขาใช้จะลัดกระบวนการออกใบเสร็จของ App Store ออกไป รายละเอียดอ่านตามที่มาครับ

กูเกิลไม่ได้พูดเรื่องนี้ชัดเจนมากนัก แต่ผู้เชี่ยวชาญด้านความปลอดภัย Jon Oberheide ให้ข้อมูลว่า Android 4.1 Jelly Bean ถูกเจาะได้ยากขึ้นมาก เพราะเพิ่มฟีเจอร์ด้านการสุ่มตำแหน่งของหน่วยความจำ (address space layout randomization หรือ ASLR) ซึ่งเป็นฟีเจอร์ที่มีในระบบปฏิบัติการที่พัฒนามานานพอสมควรแล้ว

ASLR จะจัดวางตำแหน่งขององค์ประกอบแต่ละชนิดของระบบปฏิบัติการ (เช่น heap, stack, library) แบบสุ่ม ทำให้ที่อยู่อ้างอิงในหน่วยความจำไม่คงตัว ดังนั้นต่อให้แฮ็กเกอร์เจาะระบบผ่านบั๊กด้านหน่วยความจำได้ ก็จะไม่รู้ว่าต้องฝังโค้ดเอาไว้ที่ตำแหน่งไหน

ส่วนเสริมหรือ extension ของเบราว์เซอร์อาจเป็นที่มาของภัยคุกคามแบบใหม่ๆ ล่าสุดกูเกิลปรับนโยบายการติดตั้งส่วนเสริมของ Chrome ให้ปลอดภัยมากขึ้นแล้ว

เดิมทีเว็บไซต์ทุกแห่งสามารถขอติดตั้งส่วนเสริมลงบน Chrome ได้เลย (ขอแค่มีไฟล์ .crx) แต่นี่อาจเป็นช่องโหว่ให้เว็บไซต์ประสงค์ร้ายติดตั้งส่วนเสริมที่มีอันตรายเข้ามาได้ กูเกิลจึงเปลี่ยนค่าของ Chrome ให้รับเฉพาะส่วนเสริมจาก Chrome Web Store (ที่ผ่านการกรองจากกูเกิลแล้วเท่านั้น) เพื่อความปลอดภัยที่มากขึ้น

อย่างไรก็ตาม ผู้ใช้ยังสามารถติดตั้งส่วนเสริมด้วยตัวเองโดยไม่ต้องผ่าน Chrome Web Store ได้ เพียงแต่ต้องเป็นคนติดตั้งด้วยตัวเองในหน้า Extensions ของ Chrome เท่านั้น

แฮกเกอร์ชาวรัสเซีย Alexey Borodin (ZonD80) ได้เผยแพร่วิธีการของเขาซึ่งอ้างว่าเป็นเทคนิคที่จะช่วยให้ผู้ใช้งานสามารถกดซื้อแอพที่ต้องซื้อได้โดยไม่เสียเงิน และสามารถทำได้โดยไม่ต้องเจลเบรคอุปกรณ์ใดๆ เพียงแค่เปลี่ยนการตั้งค่าเล็กน้อยเท่านั้น โดยแอพดังกล่าวนั้นเป็น in-app คือเป็นของที่อยู่ในแอพอีกที (เช่นการซื้อของจากเกม)

สำหรับวิธีการคร่าวๆ คือการติดตั้งใบรับรองสองใบและการเปลี่ยนค่า DNS เพื่อให้เชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์ซึ่งทำหน้าที่เป็นตัวกลางโดยตัวกลางนี้ก็จะส่งค่า (ที่ถูกแก้ไขแล้ว) กลับไปยัง App Store ตัวจริงเพื่อหลอกว่าได้สั่งซื้อเป็นที่เรียบร้อยแล้ว

จากที่ข่าวเดิมผมได้ระบุไปว่ารหัสผ่านได้ถูกเข้ารหัสแบบทางเดียว (hash) ไว้ ปรากฎว่าเป็นความเข้าใจผิด เนื่องจากต้นฉบับอีเมลใช้คำว่า "เข้ารหัส" ไว้เฉยๆ แต่ผมอนุมานไปเองว่าเป็นแบบทางเดียว โดยอันที่จริงแล้วรหัสผ่านชุดเก่าถูกเข้ารหัสไว้แบบสองทาง อย่างไรก็ตามสำหรับระบบใหม่ที่ทาง THNIC ปรับปรุงได้เปลี่ยนระบบการจัดเก็บรหัสผ่านเป็นแบบทางเดียวเรียบร้อยแล้ว

ทั้งนี้ไม่มีรายงานว่ากุญแจ (key) ของรหัสผ่านชุดเดิมถูกนำออกไปด้วยหรือไม่อย่างไรครับ

ที่มา - อีเมลจาก THNIC

Yahoo! Voices ซึ่งเป็นระบบจัดการงานเขียนออนไลน์ ที่ใช้ส่งงานเขียนไปยังบริการต่างๆ ของยาฮู อาทิเช่น Yahoo! News ได้ถูกแฮกเกอร์ผู้ไม่ประสงค์ออกนามเจาะระบบและเปิดเผยรหัสผ่านมากกว่า 450,000 บัญชีผู้ใช้บนเว็บไซต์แห่งหนึ่ง จุดประสงค์เพื่อเป็นการเตือนยาฮูให้ปิดช่องโหว่ที่เกิดขึ้น แถมยังทิ้งท้ายว่ายังมีช่องโหว่อีกจำนวนมากบนเว็บเซิร์ฟเวอร์ของยาฮู ที่สามารถสร้างความเสียหายได้รุนแรงกว่านี้

รายการรหัสผ่านที่ถูกเปิดเผยนั้น ไม่ได้มีแต่บัญชีรายชื่อของยาฮูเพียงอย่างเดียวเท่านั้น แต่มีของผู้ให้บริการอีเมลเจ้าอื่นๆ อีกด้วย อาทิเช่น Gmail ของกูเกิล และ Hotmail ของไมโครซอฟท์ เนื่องจากยาฮูได้อนุญาตให้ผู้ใช้ล็อกอินเข้าสู่ระบบโดยใช้บัญชีรายชื่อและรหัสผ่านของผู้ให้บริการอีเมลเจ้าอื่นๆ ได้

มาตรฐาน HTTP Strict Transport Security (HSTS) เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ แม้ผู้ใช้จะไม่ระบุว่าต้องการใช้ HTTPS ก็ตามที กระบวนการนี้ทำให้ไม่มีการเชื่อมต่อแบบ HTTP ที่ดักฟังได้เลย ช่วยลดความเสี่ยงของผู้ใช้ลง

ที่ผ่านมามาตรฐานนี้ยังอยู่ในช่วงรับฟังความคิดเห็น แม้ว่ากูเกิลจะนำไปใช้งานในโครมอยู่นานแล้วก็ตาม โดยการโจมตีผ่านใบรับรองของ DigiNotar รอบล่าสุดเว็บจำนวนมากของกูเกิลก็รอดมาได้เพราะ HSTS

กระบวนการให้ความเห็นรอบสุดท้ายจะต้องส่งความเห็นไปยัง IETF ภายในวันที่ 25 นี้ และการโหวตจะมีขึ้นใน "ไม่กี่สัปดาห์" ข้างหน้า

จากกรณีที่ THNIC ออกมาประกาศว่าพบร่องรอยการเจาะระบบของ THNIC และประกาศให้ผู้ใช้ดำเนินการเปลี่ยนรหัสผ่าน ผมได้ทำการสอบถามเพิ่มเติมไปทาง THNIC และรับคำตอบมาดังต่อไปนี้ครับ

ระบบที่ถูกจู่โจมคือระบบการบริหารจัดการโดเมนของลูกค้า ซึ่งพบว่ามีการเข้ามาแก้ไขข้อมูลไปทั้งสิ้น 18 แถว แต่ทาง THNIC ก็แก้ไขข้อมูลกลับภายในวันเดียวกัน และปิดระบบการล็อกอินเป็นเวลา 3 วัน โดยในช่วงระยะเวลาดังกล่าว ทาง THNIC ได้ตรวจสอบจนพบช่องโหว่ และมีการแก้ไขช่องโหว่ดังกล่าว แล้วเปลี่ยนเครื่องเซิร์ฟเวอร์เพื่อป้องกันกรณีหากผู้จู่โจมทิ้งคำสั่งอะไรไว้ โดยอุปกรณ์ชุดเก่าทั้งหมดได้ถูกเก็บไว้เป็นหลักฐานในการดำเนินการทางกฎหมายต่างๆ ต่อไป

เป็นประจำทุกครั้งครับกับการอัพเดตด้านความปลอดภัยจากไมโครซอฟท์ซึ่งจะมาในช่วงวันอังคารของทุกๆ เดือน โดยในเดือนนี้มีทั้งหมด 16 ช่องโหว่ที่ครอบคลุมทั้ง Windows, Internet Explorer, Office, SharePoint, และ Visual Basic

Yunsun Wee ผู้ดูแลด้านความน่าเชื่อถือของผลิตภัณฑ์ ออกมาแนะนำเบื้องต้นว่า จากช่องโหว่ทั้งหมด 16 ช่องโหว่ที่ทำการแพตซ์ออกมานี้ ผู้ดูแลระบบควรรีบแพตซ์ช่องโหว่อันตรายร้ายแรง (critical) ที่มีอยู่สามช่องโหว่อย่างเร่งด่วนที่สุด เนื่องจากช่องโหว่นี้ได้รับการเผยแพร่ออกสู่สาธารณะแล้ว และคาดว่าน่าจะถูกนำมาใช้โจมตีในเร็ววันนี้

HP แจ้งเตือนผู้ใช้เกี่ยวกับสองช่องโหว่ด้านความปลอดภัยบนผลิตภัณฑ์ HP Operations Agent ซึ่งอนุญาตให้ผู้โจมตีสามารถเข้าถึงระบบและสามารถรันคำสั่งใดๆ ก็ได้บนระบบจากระยะไกล

Luigi Auriemma ผู้ค้นพบช่องโหว่นี้ให้รายละเอียดว่า ช่องโหว่นี้จะปรากฎบน AIX, HP-UX, Linux, Solaris, รวมไปถึง Windows ที่มีการรันซอฟต์แวร์ในเวอร์ชันต่ำกว่า 11.03.12 อยู่ โดยในตอนนี้ทาง CVSS ได้ให้คะแนนช่องโหว่นี้อยู่ในระดับสูงสุด คือมีความอันตรายที่สุดแล้ว