FreeBSD Security Team ได้ขอให้ผู้ใช้ FreeBSD โดยเฉพาะคนที่ทำงานเป็นแอดมิน ช่วยตอบแบบสำรวจสั้นๆ 12 ข้อ เกี่ยวกับความปลอดภัยใน FreeBSD เพื่อที่จะได้นำความคิดเห็นไปปรับปรุงแก้ไข คิดว่าแถวนี้มีแอดมินและผู้ใช้ FreeBSD อยู่บ้าง เลยเอามาประชาสัมพันธ์ต่อให้ อยากได้ของดีก็ช่วยกันคนละไม้ละมือครับ

ที่มา - FreeBSD Security Survey

มีรายงานว่าพบช่องโหว่ที่มีระดับความรุนแรงสูงสุดซึ่งสามารถจะใช้เครื่องแมคของผู้ใช้ Mac OS X 10.4.6 ทำการโจมตีแบบ DoS ได้ แต่ยังไม่มีการยืนยันว่าจะมีผลกระทบกับ OS X เวอร์ชั่นอื่นๆ หรือไม่

วิธีป้องกันก็คือจงอย่าเยี่ยมเว็บอโคจรและเปิดไฟล์ ZIP แปลกๆ

ที่มา - OSNews, Secunia

ไมโครซอฟท์ออกแพตช์ใหม่ตัวใหญ่ที่ซ่อมรูรั่วใน IE6 10 จุด ที่สำคัญคือไมโครซอฟท์ได้เตือนให้ผู้ใช้ทำการอัพเกรดจาก Windows 98/ME ซึ่งอายุการสนับสนุนจะหมดลงในวันที่ 11 มิถุนายนนี้ (แปลง่ายๆ ว่า ถึงมันจะมีรูรั่วทางความปลอดภัย มันจะไม่มีแพตช์มาซ่อมอีกแล้ว และเตือนว่าอย่าล้อเล่นกับความปลอดภัยครับ)

ที่มา - eWeek, Betanews

หลังจากเก้าเดือนก่อน ไซแมนเทคออกมาแจ้งผลสำรวจว่า IE นั้นมีความปลอดกว่าไฟร์ฟอกซ์ โดยให้เหตุผลว่าบั๊กด้านความปลอดภัยของ IE นั้นนับแล้วน้อยกว่า

ตอนนี้อยู่ดีๆ ไซแมนเทคก็ออกมาประกาศผลสำรวจใหม่ ว่าไฟร์ฟอกซ์นั้นปลอดภัยกว่าแล้ว โดยระบุว่าที่ต้องกลับการสำรวจนี้ ก็เพราะการสำรวจครั้งที่แล้วไม่ยุติธรรม เพราะนับเฉพาะช่องโหว่บนที่ผู้ผลิตยอมรับ ซึ่งในกรณีของไฟร์ฟอกซ์นั้น มีการพัฒนาที่โปร่งใสกว่ามาก ทำให้บั๊กด้านความปลอดภัยทั้งหมดถูกตรวจสอบได้

อันนี้ก็ข่าวต่อเนื่องอีกอันครับ ผมรอมันจบแล้วเขียนทีเดียว

เริ่มจาก ZDNet ได้ลงข่าวการทดสอบความปลอดภัยของ Mac OS X โดยมีชาวสวีเดนคนนึงตั้งเครื่องไว้ให้ลองเจาะเข้าไปดู ปรากฎว่า root ของเครื่องนั้นถูกฉกไปในเวลา 30 นาทีเท่านั้น เรื่องนี้เลยทำให้ความเชื่อมั่นในความปลอดภัยของ Mac OS X สั่นคลอน (ข่าว OSNews)

เนื่องจากใน Vista นั้นจะเปิดออพชันการเข้ารหัสไฟล์ในเครื่องมาให้อัตโนมัติ (ชื่อเทคโนโลยีคือ BitLocker Drive Encryption) ทำให้เข้าถึงข้อมูลได้ยากขึ้นถ้าเครื่องโดนแฮปไป ซึ่งก็เป็นผลดีสำหรับลูกค้า ในอีกกรณีหนึ่งคือป้องกันการรันโปรแกรมหรือฟังเพลงที่ไม่ได้รับอนุญาต ตามแนวคิด DRM ซึ่งใช้ร่วมกับชิป Trusted Platform Module ที่อยู่ในฮาร์ดแวร์มาซักพักแล้ว

การใช้ไอพอดอาจจะไม่ใช่เรื่องส่วนตัวในที่ทำงานอีกต่อไป เมื่อมือดีชื่อ Abe Usher ผู้เชี่ยวชาญด้านความปลอดภัย ได้สร้างโปรแกรมชื่อว่า Slurp Audit [เว็บช้ามาก] ที่สามารถนำไปรันบนเครื่องเล่นเพลงอย่างไอพอดได้ โดยโปรแกรมจะรันอัตโนมัติเพียงการเสียบเครื่องเข้าพอร์ตยูเอสบี แล้วรันโปรแกรมนี้ มันจะแสกนโฟลเดอร์ Document an Settings แล้วดูดเอาไฟล์เอกสารต่างๆ เข้าสู่ไอพอดโดยอัตโนมัติ ซึ่งกับไอพอดขนาด 60 กิกะไบต์นั้น อาจจะดูดเอกสารสำคัญไปหมดโดยไม่มีใครรู้ตัวแม้แต่น้่อย

และแล้ว Trojan ที่อาจจะเป็นตัวแรกที่มีเป้าหมายไปยังกลุ่มผู้ใช้ Mac OS X ก็เผยโฉมออกมาแล้ว (พูดเหมือนรอมาเสียนาน อิอิ) โดยมีชื่อว่า Leap-A

เจ้า Leap-A ซ่อนตัวครั้งแรกใน link ในเว็บบอร์ดแห่งหนึ่ง โดยหลอกว่าเป็น Screenshort สำหรับ Leopard (Mac OS X 10.5) แล้วก็กระจายผ่านทาง iChat ในรูปของ compressed file ที่ชื่อ latestpic.tgz ซึ่งผู้รับจะต้อง download ไฟล์ดังกล่าว ถ้าไม่ดาวน์โหลด ก็ไม่ติด พวกบรรดาสาวกเป็ดเขียว Adium อย่างผมก็รอดไป

ถึงแม้จะมีอัตราการกระจายและระดับความรุนแรงต่ำ (เสียจนไม่น่าจะเป็นข่าว) แต่ที่เป็นข่าวเนี่ยก็เพราะดันมาเป็นกับ OS X มากกว่า

ไมโครซอฟท์ได้บอกว่าจะไม่รวมผลิตภัณฑ์แอนตี้ไวรัสเข้ามาใน Vista (มีแต่ Windows Defender หรือ AntiSpyware เดิม)​เนื่องจากมีแผนจะทำตลาดนี้แยกต่างหาก

และตอนนี้ก็เปิดเผยรายละเอียดของ Microsoft OneCare Live แล้ว โดยชุดโปรแกรมนี้จะรวมเอาแอนตี้ไวรัส ไฟร์วอลล แบ็คอัพเข้าด้วยกัน โดยวางขายทั้งแบบเป็นกล่องและออนไลน์ ราคาสมาชิกรายปีต่อพีซีสามเครื่องอยู่ที่ 49.95 เหรียญ

โปรโตคอล SSH หรือ Secure Shell ที่ใช้กันอย่างแพร่หลายมานาน เพิ่งจะเข้าสู่กระบวนการออกมาตรฐานของ IETF (Internet Engineering Task Force) โดยตอนนี้อยู่ในขั้นตอนเสนอมาตรฐาน และต้องผ่านกระบวนการอีกหลายชั้นกว่าจะออกเป็นมาตรฐานจริง

ปัจจุบันมีซอฟต์แวร์ที่อิมพลีเมนต์ตามสเปก SSH อยู่ 2 ค่ายใหญ่ๆ คือ SSH Communications Security (SSH.com) และ OpenSSH ที่ใช้กันในระบบปฏิบัติการโอเพนซอร์สแทบทุกตัว รวมถึง Mac OS X ด้วย ทั้งสองค่ายนี้ทำงานเข้ากันได้ไม่ 100% การออกมาตรฐานครั้งนี้ทางตัวแทนฝ่าย OpenSSH บอกว่ายินดีจะปรับเปลี่ยนให้เข้ากับมาตรฐาน

หลังจากที่คนใช้ Samba3 หลายคนต้องรอคอยให้ Samba ซึ่งเป็นโปรแกรมหลักในการเชื่อมต่อโลกของวินโดว์เข้ากับ *nix ทั้งหลายวันนี้ก็ได้ออก Samba4 รุ่นทดสอบ โดยฟีเจอร์หลักที่เป็นที่พูดถึงกันมากคือการรองรับ LDAP ในตัวพร้อมๆ กับการยืนยันบุคคลแบบ Kerberos ซึ่งทำให้เราใช้เครื่องวินโดวส์ทั่วไปมา Join Domain เข้ากับ Samba ได้เลย

เรื่องนี้อาจจะหมายถึงการขยายตัวของลินุกซ์ในกรณีที่องค์กรขนาดเล็ก ไม่ต้องการเสียเงินซื้อวินโดวส์ 2003 ซึ่งราคาค่อนข้างแพง ก็สามารถใช้ Linux + Samba4 แทนได้ระดับหนึ่ง

ไมโครซอฟท์ประกาศนโยบายใหม่ล่าสุดสำหรับวินโดว์วิสต้าที่คาดกว่าจะออกปลายปีนี้ว่า ไดรเวอร์ทั้งหมดสำหรับวิสต้าเวอร์ชัน 64 บิตนั้น ต้องได้รับใบรับรองดิจิตอลจากทางไมโครซอฟท์ก่อน จึงจะสามารถลงและทำงานในวินโดว์วิสต้าได้ โดยไมโครซอฟท์ไม่เก็บค่าธรรมเนียม แต่ผู้ผลิตไดรเวอร์ยังต้องเสีย 500 ดอลล่าร์ต่อปีสำหรับใบรับรอง Class 3 Commercial Software Publisher Certificate ให้กับ Verisign

โดยทั่วไปแล้วเรื่องนี้เป็นเรื่องดีสำหรับผู้ใช้ทั่วไป เพราะเป็นการบังคับให้ผู้ผลิตฮาร์ดแวร์ทุกรายต้องได้รับการตรวจสอบคุณภาพไดรเวอร์ก่อน ราคา 500 ดอลลาร์ก็นับเป็นเรื่องเล็กสำหรับการผลิตฮาร์ดแวร์ออกมาสักชิ้นนึง

หลังจากกระทรวงยุติธรรมของสหรัฐฯ ออกคำสั่งให้ผู้ให้บริการค้นหาเว็บรายหลักๆ เช่น กูเกิล ยาฮู และไมโครซอฟท์ ต้องส่งรายการคำที่มีการค้นหาทั้งหมดในช่วงเวลาที่กำหนดให้รัฐบาล ในเวลานี้ทั้งยาฮูและไมโครซอฟท์ ต่างก็ตกลงส่งข้อมูลดังกล่าวให้กับรัฐบาลสหรัฐแล้ว โดยระบุว่าข้อมูลดังกล่าวจะไม่ละเมิดสิทธิส่วนบุคคลของผู้ใช้เว็บทั้งสองแต่อย่างใด เนื่องจากจะไม่มีข้อมูลที่ระบุตัวผู้ใช้ไว้ในข้อมูลดังกล่าวแต่อย่างใด

หลังจากยังอยู่ในเวอร์ชัน CTP อยู่มาพักนึง ตอนนี้วิสต้าซึ่งเป็นระบบปฏิบัติการรุ่นต่อไปของไมโครซอฟท์ ก็มีแพตช์ออกมาให้โหลดกันแล้ว โดยแพตช์ที่ว่านี้เป็นตัวแก้บั๊กในการแสดงผลไฟล์ WMF ซึ่งเป็นบั๊กตัวเดียวกับในวินโดวส์เอ็กซ์พี เพราะใช้โค้ดส่วนที่พอร์ตต่อๆ กันมา

ไม่แน่ใจว่าคนอ่าน Blognone มีใครใช้อยู่รึเปล่า ถ้ามีแคปเจอร์หน้าจอตอนมันอัพเดตมากฝากกันบ้าง..

ที่มา - eWeek

เมื่อต้นปีที่ผ่านมามีการรายงานถึงบั๊กที่ทำให้แฮกเกอร์สามารถรันโปรแกรมผ่านทางไฟล์ WMF ซึ่งสามารถเปิดได้จาก IE ทำให้เป็นกังวลกันเป็นวงกว้างว่าจะเป็นอันตรายแบบเดียวกันสมัยบั๊กในการแสดงภาพ JPEG

เพียงสามวันก็มีแพตช์ออกมาจากเว็บไมโครซอฟท์เป็นการแก้บั๊กดังกล่าว และในไม่กี่ชั่วโมงต่อมาไมโครซอฟท์ก็รีบเอาไฟล์นั้นออกจากเว็บอย่างรวดเร็ว แต่ยังไม่เร็วพอ โดยมีคนโหลดไฟล์นั้นมาให้เราโหลดไปลองกันได้ที่ HexBlog แต่อย่างไรก็ตามไมโครซอฟท์เตือนว่าแพตซ์ตัีวนี้ยังไม่ได้รับการตรวจสอบอย่างถูกต้อง และแพตซ์ตัวจริงจะออกในวันที่ 10 ที่จะถึงนี้

ช่วงสิ้นปีเรามีการจัดอันดับหลายต่อหลายอย่างกันไปแล้ว หลังจากผ่านพ้นปีไป ลองมาดูสรุปบั๊กที่เกิดขึ้นในรอบปีที่ผ่านมากันดีกว่า

หลังจากเรื่องยืดเยื้อกันมานานโซนี่ก็ยอมถอยในคดีการติดตั้งโปรแกรม XCP ลงในเครื่องของผู้ที่ซื้อแผ่นซีดีเพลงจากโซนี่อย่างถูกกฏหมาย โดยได้เสนอข้อแลกเปลี่ยนในการยอมความต่อศาลแล้วในวันนี้ โดยข้อเสนอระบุให้ผู้เสียหายสามารถขอเงินคืน พร้อมกับการได้รับสิทธิ์ที่จะโหลดเพลงอีกสามอัลบัมจจากร้านออนไลน์ อย่าง iTMS, NapSter หรือ Yahoo! Music

ข้อตกลงนี้ต้องได้รับการยินยอมจากศาลก่อนจึงจะมีผล โดยมีการประมาณการถึงตัวเลขแผ่นซีดีที่โซนี่ต้องชดใช้ไว้ที่ประมาณ 10 ล้านแผ่น

ที่มา - USA Today 

เป็นเรื่องเป็นราวขึ้นมาเมื่อมีการพบบั๊กในไลบรารีของการตรวจจับไวรัสของ Symantec ซึ่งทำให้ซอฟต์แวร์ด้านความปลอดภัยจำนวน 64 รายการซึ่งรวมถึง Norton Antivirus ที่เราใช้กันบ่อยๆ โดยบั๊กนี่เกิดในจุดที่เมื่อมีการแสกนไฟล์ RAR ทำให้สามารถเกิด Buffer OverFlow และทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อส่งคำสั่งอันตรายเข้ามาในเครื่องได้

ยามกลายเป็นไส้ศึกให้โจรไปซะแล้ว

ที่มา - eWeek

เมื่อวันพุธที่ผ่านมามีคนที่ใช้ชื่อ "fearwall" ใน eBay ออกมาปล่อยประมูล ข้อมูลรูรั่วอันใหม่ล่าสุดของ Microsoft Excel ด้วยราคาเริ่มต้นที่ 1 เซนต์ ราคานี้ถูกนักประมูลแข่งกันจนไปแตะที่  $60 ก่อนที่ eBay จะสั่งปิดการประมูลในวันต่อมา

จากรายละเอียดเพิ่มเติมที่ชายคนนี้แจ้งไว้ ทราบว่า รู้รั่วอันนี้ถูกค้นพบเมื่อวันที่ 6 ธันวาคมที่ผ่านมา และได้ถูกแจ้งไปยัง Microsoft แล้ว ซึ่งรูรั่วนี้จะเกิดขึ้นระหว่างที่ผู้ใช้พยายามจะตรวจสอบความสมบูรณ์ (validate) ข้อมูลในเอกสาร

Java Sandbox นั่นพูดสั้นๆ ง่ายๆ เหมือนเป็นสนามเด็กเล่นที่ให้ Applet เข้าไปวิ่งเล่นในเครื่องลูกข่าย (client) โดยกันไม่ให้ Applet นั้นเข้าถึงไฟล์ local system ก่อนจะได้รับอนุญาตจากผู้ใช้

Sacunia รายงานว่า พบรูรั่วหลายจุดที่ยอมให้ Applet ที่ไม่น่าเชื่อถือ สามารถหลบหลีกขั้นตอนการขออนุญาต เพื่อไป อ่าน/เขียน ข้อมูลในเครื่องลูกข่ายได้

โดย JDK/JRE รุ่นที่ตกอยู่ในอันตราย มีดังนี้

ทีมงานของเว็บเบราว์เซอร์ 4 ค่ายใหญ่ คือ Mozilla, Konqueror, IE และ Opera ไปประชุมกันที่โตรอนโต เพื่อหาแนวทางสำหรับเว็บเบราว์เซอร์ในการป้องกันภัยจาก Phishing และปัญหาอื่นๆ

เพื่อเป็นการบีบให้ผู้อ่านของเรามีความรู้เกี่ยวกับ Phishing เพิ่มเติม ผมไม่เขียนอธิบายว่ามันคืออะไรนะครับ (เป็นความขี้เกียจที่เหตุผลฟังดูดีมาก)

รายงานรูรั่วล่าสุดของบราวเซอร์ Internet Explorer มีอันตรายในพอที่จะเปิดช่องให้แฮกเกอร์เรียกโปรแกรมใดๆ ในเครื่องของเหยื่อได้ โดยรู้รั่วนี้ได้รับการยืนยันจากบริษัท FrSIRT ที่แสดงตัวอย่างไฟล์ HTML ที่สามารถเรียกโปรแกรมเครื่องคิดเลขของวินโดว์ขึ้นมาใช้งานได้ และคาดว่าในไม่ช้าจะมีเว็บดัดแปลงที่สร้างความเสียหายอย่างหนักออกมาอีกจำนวนมาก

ล่าสุดบั๊กนี้ยังไม่ได้รับการแก้ไขจากไมโครซอฟท์  แต่ในเครื่อง Windows 2000 และ 2003 ที่เปิด Enhaced Security Configuration เอาไว้จะไม่ได้รับผลจากช่องโหว่นี้

บั๊กในวงการซอฟท์แวร์แล้วถือว่าเป็นของคู่กันเสียเหลือเกิน ซึ่งก็เป็นเรื่องน่าแปลกที่ผู้ใช้ทั่วๆไปเหมือนกับจะยอมรับได้ ยิ่งถ้าซอฟท์แวร์ตัวไหนมีอัพเดทบ่อยๆจะบอกว่าซอฟท์แวร์นี้ดีทั้งที่เรื่องที่อัพเดทนั้นเป็นการแก้บั๊กเฉยๆ ไม่ได้เพิ่มฟีเจอร์อะไรเข้าไป แต่ถ้าสมมติเป็นบ้าน บอกว่ามีช่างมาซ่อมให้บ่อยๆ นี่บ้านคงมีสภาพไม่น่าอภิรมย์ซักเท่าไหร่

ส่วนหนึ่งน่าจะเป็นเพราะการอัพเดทของซอฟท์แวร์นั้นไม่ได้ยุ่งยากลำบากอะไร (จริงเหรอ?) ก็แค่ไปดาวน์โหลดแพทช์แล้วก็ดับเบิ้ลคลิก แล้วก็คิดซะว่า อย่างน้อยก็ยังมีการแก้ไขน่า ดีกว่าไม่มีการแก้เลย

IE7 เตรียมยกเลิกการสนับสนุนโปรโตคอล SSL (Secure Socket Layer) หรือที่เราคุ้นกันตรง HTTPS เวอร์ชัน 2 แล้ว เพื่อจะบีบให้เว็บไซต์หันไปใช้ SSLv3 หรือ TLSv1 แทน

SSL คิดค้นโดย Netscape สำหรับการเชื่อมต่อแบบเข้ารหัสเพื่อความปลอดภัย โดย SSLv3 ออกมาตั้งแต่ปี 96 และเป็นพื้นฐานของ TLS (Transport Layer Security) เวอร์ชัน 1 ซึ่งจริงๆ มันแทบไม่ต่างกันเลย แค่ TLS เป็นชื่อของ IETF (Internet Engineering Task Force) เท่านั้นเอง

หลังจากมีข่าว PSP เจอโทรจันบุก ไม่กี่วันถัดมา Nintendo DS ก็โดนกะเค้าด้วยเหมือนกัน แต่ที่แสบกว่าก็คือที่มาของโทรจันตัวนี้มาจากแฮกเกอร์ชื่อ DarkFader (จริงๆเราควรเปิดเผยชื่อมั้ยเนี่ย ?) ซึ่งเป็นมือพัฒนา DS homebrew ต่างๆ และเป็นคนแรกที่ออก roms ของเครื่อง DS ด้วย

แต่ตอนนี้เค้าเปลี่ยนข้างซะแล้ว โดยหันมาปล่อย DS Bricker ที่จะทำลายเครื่อง DS ให้ใช้งานไม่ได้ โดยให้เหตุผลว่าต้องการจะต่อต้านการละเมิดลิขสิทธิ์ต่างๆ และชี้ให้เห็นถึงช่องโหว่ของ DS ซึ่ง Nintendo ควรจะนำไปปรับปรุงต่อไป

อืมม โชคดีนะว่าเรายังไม่เคยซื้ออุปกรณ์เสริมของ DS มาใช้