Bhavuk Jain นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ของบริการ Sign in with Apple โดยกระบวนการล็อกอินคล้าย OAuth 2.0 ที่ผู้ใช้ต้องยื่นขอกุญแจ JWT จากเซิร์ฟเวอร์แอปเปิล เพื่อไปส่งต่อให้กับบริการภายนอกโดยบริการภายนอกเช่นเว็บหรือแอปสามารถตรวจสอบความถูกต้องของ JWT ได้ และอนุญาตให้ผู้ใช้ล็อกอิน

อย่างไรก็ดี Jain พบว่าเซิร์ฟเวอร์ appleid.apple.com ปล่อยกุญแจของอีเมลใดๆ เพียงแค่ส่ง HTTP POST เข้าไปเท่านั้น

วันนี้ (30 พฤษภาคม 2020) ใบรับรอง root CA ของ AddTrust (หมายเลขประจำตัวบน crt.sh เป็น 1) ถึงกำหนดหมดอายุหลังใช้งานมาแล้ว 20 ปี อาจส่งผลกระทบถึงใบรับรองจำนวนมากที่ cross-sign กับทาง AddTrust ไม่สามารถใช้งานได้กับไคลเอนต์เก่าๆ เช่น Ubuntu Trusty 14.04 เป็นต้น

NTT Communications ผู้ให้บริการเชื่อมต่ออินเทอร์เน็ตและบริการคลาวด์รายงานว่าเซิร์ฟเวอร์ Active Directory ของบริษัทถูกแฮก และใช้เป็นจุดเจาะระบบอื่นต่อ

แฮกเกอร์เข้าถึงเซิร์ฟเวอร์ได้ตั้งแต่วันที่ 7 พฤษภาคมที่ผ่านมา และทางบริษัทตรวจพบในวันที่ 11 พฤษภาคม โดยเซิร์ฟเวอร์นี้อาจเข้าถึงเซิร์ฟเวอร์ของลูกค้าได้ทั้งหมด 621 รายในโซนนี้

ทาง NTT ระบุว่าปิดช่องโหว่นี้แล้วและจะสอบสวนต่อเพื่อปรับปรุงความปลอดภัยต่อไป

ที่มา - NTT, The Register

OpenSSH ออกเวอร์ชั่น 8.3 วันนี้โดยประกาศออกมาพร้อมกับอ้างถึงรายงานวิจัย "SHA-1 is a Shambles" ที่ตีพิมพ์เมื่อต้นปีที่ผ่านมา โดยมีต้นทุนการปลอมค่าแฮช SHA-1 แบบ chosen-prefix อยู่ที่ 45,000 ดอลลาร์ นับเป็นค่าที่ถูกเกินไปสำหรับการใช้งานที่ต้องการความปลอดภัยสูง ทำให้ทาง OpenSSH เตรียมเลิกรองรับกุญแจล็อกอินแบบ ssh-rsa

ซัมซุงเปิดตัวชิปความปลอดภัยบนสมาร์ทโฟนรุ่นที่ 2 (S3FV9RR) หลังรุ่นแรกเพิ่งเปิดตัวไปไม่นานและถูกใช้ใน Galaxy S20 ยังคงใช้เก็บรหัสผ่าน กุญแจดิจิทัล ไปจนถึงข้อมูลการทำธุรกรรมสกุลเงินคริปโต

ซัมซุงระบุด้วยว่าชิปมีระบบรักษาความปลอดภัยที่ระดับของฮาร์ดแวร์ (hardware root of trust) และได้รับการรับรองมาตรฐาน CC EAL 6+ เบื้องต้นคาดว่าชิปนี้จะถูกนำไปใช้งานบนอุปกรณ์ที่จะออกในราวไตรมาส 3 ของปีนี้

ที่มา - The Next Web

โครงการ Google Chrome ออกรายงานวิเคราะห์ช่องโหว่ความร้ายแรงสูงถึงความร้ายแรงวิกฤติจำนวน 912 รายการ พบว่าในจำนวนนี้เป็นช่องโหว่หน่วยความจำถึง 70% แบ่งเป็นช่องโหว่ใช้หน่วยความจำหลังคืนค่าให้ระบบ (use-after-free) ถึง 36.1% และช่องโหว่หน่วยความจำอื่นๆ อีก 32.9% ทำให้ทีมงานเตรียมวางโครงการใหญ่เพื่อขจัดปัญหาในระยะยาว

Galaxy S7 มือถืออายุ 4 ปีเต็ม หมดระยะซัพพอร์ตของซัมซุงแล้วในเดือนเมษายน 2020 แต่ซัมซุงก็สัญญาเอาไว้ว่าจะอัพเดตแพตช์ความปลอดภัยร้ายแรงให้เป็นพิเศษ

ล่าสุด ซัมซุงเพิ่งออกแพตช์ให้ Galaxy S7/S7 Edge เป็นกรณีพิเศษ โดยเป็นช่องโหว่ SVE-2020-16747 ความปลอดภัยระดับร้ายแรง (critical) ที่แก้ในแพตช์ความปลอดภัย Android รอบเดือนพฤษภาคม 2020

ตอนนี้ยังไม่มีข้อมูลว่าสมาร์ทโฟนรุ่นอื่นๆ ของซัมซุงที่หมดระยะซัพพอร์ตไปแล้วจะได้อัพเดตแพตช์ตัวนี้หรือไม่ แต่อย่างน้อยก็เป็นสัญญาณอันดีว่า Galaxy S7 ยังไม่ถูกทอดทิ้งแต่อย่างใด

ที่มา - 9to5google

เมื่อวันที่ 13 พฤษภาคม เว็บไซต์ AndroidRookies รายงานว่า วิศวกรคนหนึ่งของ Huawei ได้ส่งแพตช์ความปลอดภัย ชื่อ HKSP (Huawei Kernel Self Protection) เข้าไปเคอร์เนลลินุกซ์ โดยแพตช์นี้จะแนะนำตัวเลือกชุดเครื่องมือเสริมความปลอดภัยให้แก่เคอร์เนลของลินุกซ์

ซึ่งต่อมา ทาง Grsecurity ได้ตรวจพบช่องโหว่ในแพตช์ HKSP และได้เผยแพร่รายละเอียดออกมาบนบล็อกของตัวเอง ซึ่งแพตช์ HKSP ก่อให้เกิดช่องโหว่ buffer overflow ที่ทำให้ผู้ใช้สิทธิ์ปกติอาจจะรันโค้ดในเคอร์เนลได้ โดยทาง Grsecurity ระบุว่าช่องโหว่นี้เจาะได้ง่ายมาก

มาตรฐาน DNS-over-HTTPS (DoH) เริ่มได้รับความนิยมจากเบราว์เซอร์และระบบปฎิบัติการหลายตัวในช่วงหลัง ล่าสุดไมโครซอฟท์ก็เริ่มทดสอบ DoH ใน Windows 10

ฟีเจอร์นี้เปิดให้ Windows Insider กลุ่ม Fast Ring เท่านั้น (เลข Build 19628) โดยจะเพิ่ม registry ที่ชื่อว่า "EnableAutoDoh" เข้ามา

ตอนนี้การใช้ DoH บน Windows 10 ยังไม่สามารถคอนฟิกใช้งานได้เอง แต่หากเปิดฟีเจอร์ไว้และคอนฟิก DNS ที่ไมโครซอฟท์รู้ว่ารองรับ DoH ก็จะสลับไปใช้งานเอง โดยตอนนี้รองรับ Cloudflare (1.1.1.1), Google (8.8.8.8), และ Quad9 (9.9.9.9) หลังจากคอนฟิกและบูตเครื่อง น่าจะไม่เห็นข้อมูลวิ่งไปยังพอร์ต 53 อีกต่อไป

Google Site Kit คือปลั๊กอินที่แสดงผลต่างๆ จากเครื่องมือของ Google ไม่ว่าจะเป็น Analytics, Page Speed, Search Console และ Adwords ผ่านระบบหลังบ้านของ WordPress

ล่าสุดนักวิจัยของ WordFrence ได้ค้นพบช่องโหว่ระดับร้ายแรงบนปลั๊กอินที่ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ต่างๆ บน Google Search Conosle ได้ ไม่ว่าจะเป็นการแก้ไข sitemap, ลบเพจออกจากผลการค้นหาหรือเปลี่นนเส้นทางเพื่อหวังผลทาง SEO และมันสามารถทำให้ผู้โจมตีเปลี่ยนสิทธิ์ของผู้ใช้ภายในเว็บไซต์ WordPress จาก subscriber ซึ่งเป็นสิทธิ์ต่ำสุดกลายเป็น administator ได้เอง

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนพฤษภาคม 2020 อัพเดตแพตช์ชุดใหญ่ให้ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET, Power BI รวมอุดช่องโหว่ทั้งหมด 111 ตัว

แพตช์สำคัญในเดือนนี้คืออุดช่องโหว่ไดรเวอร์ของเคอร์เนล (Win32k), Windows Graphics Component, Microsoft Color Management, Windows Media Foundation จึงส่งผลต่อ Windows แทบทุกรุ่น อย่างไรก็ตาม ช่องโหว่ประจำเดือนนี้ยังไม่มีรายงานว่าถูกใช้โจมตีโดยแฮ็กเกอร์ เหมือนที่เกิดขึ้นในเดือนที่แล้ว

อินเทลและไมโครซอฟท์เผยแพร่งานวิจัยการพัฒนาปัญญาประดิษฐ์ STAMINA (STAtic Malware-as-Image Network Analysis) ที่มีแนวคิดสำคัญคือการสร้างปัญญาประดิษฐ์มาจับมัลแวร์แทนที่การจับจากค่าแฮชหรือความเหมือนของโค้ดแบบเดิมๆ แต่อาศัยโมเดลปัญญาประดิษฐ์แบบ deep learning มาหารูปแบบมัลแวร์แทน

แนวทางของงานวิจัยนี้อาศัยการแปลงภาพชนิดไบต์ต่อไบต์มาเป็นพิเซล จากนั้นย่อภาพให้เหลือขนาดเท่าที่โมเดลปัญญาประดิษฐ์รองรับ โดยใช้โมเดลจัดหมวดหมู่ภาพ Inception v1 ที่ฝึกกับข้อมูล ImageNet มาก่อนแล้วเป็นตัวตั้งต้น จากนั้นออกแบบส่วนท้ายของโมเดลเสียใหม่เพื่อการทำนายว่าเป็นมัลแวร์หรือไม่ แล้วจึงนำโมเดลมา fine tune ด้วยข้อมูลมัลแวร์เกือบห้าแสนตัวผสมเข้ากับไบนารีไม่มุ่งร้าย

ไล่เลี่ยกับการประกาศซื้อ Keybase ผู้ให้บริการคลาวด์แบบเข้ารหัส Zoom ได้ลงนามในข้อตกลงร่วมกับ Letitia James อัยการสูงสุดของรัฐนิวยอร์ก เรื่องการปรับปรุงและรักษาความปลอดภัยและความเป็นส่วนตัวของลูกค้า

เนื้อหาคร่าว ๆ คือหัวหน้าฝ่ายความปลอดภัยของ Zoom ตกลงว่าจะดีไซน์ที่มีความปลอดภัย รักษาความเป็นส่วนตัว ใช้โปรโตคอลด้านความปลอดภัยและการเข้ารหัส มีช่องทางให้ผู้ใช้งานร้องเรียน

คลิปหลุดของ The Last of Us Part II สปอยล์เนื้อเรื่องของเกมจนบริษัทต้องออกมาแถลงขอให้ทุกคนอย่าสปอยล์คนอื่น โดยทาง Naughty Dog ยืนยันว่าคนปล่อยคลิปเป็นคนนอก

ล่าสุดนักทดสอบเกมที่ใช้ชื่อทวิตเตอร์ว่า PixelButts ระบุถึงรูรั่วที่เป็นไปได้ โดยอาจจะเป็นเพราะ Naughty Dog ทำกุญแจ AWS S3 รั่วออกไปเอง โดยระบุว่ากุญแจหลุดออกไปกับแพตช์ล่าสุดของเกมอื่นๆ เช่น Uncharted 3 ทำให้แฮกเกอร์ที่แกะแพตช์ดูจะสามารถเข้าไปดูดข้อมูลใน bucket ได้

SaltStack เฟรมเวิร์คจัดการโครงสร้างพื้นฐานไอที แจ้งเตือนช่องโหว่ CVE-2020-11651 และ CVE-2020-11652 ที่ฟังก์ชั่นตรวจสอบอินพุตไม่ครบถ้วน ทำให้แฮกเกอร์ยิงโค้ดจากระยะไกลเข้าไปรันบนเซิร์ฟเวอร์ได้ โดยช่องโหว่ CVE-2020-11651 นั้นไม่จำเป็นต้องเป็นผู้ใช้ที่ล็อกอินล่วงหน้า ทำให้เซิร์ฟเวอร์จำนวนมากตกอยู่ในความเสี่ยงทันที ตอนนี้มีหน่วยงานหลายหน่วยงานรายงานว่าถูกโจมตีแล้ว ได้แก่ DigiCert หน่วยงานออกใบรับรองเข้ารหัส, Ghost แอปเขียนบล็อก, และ LineageOS ผู้พัฒนาระบบปฎิบัติการแอนดรอยด์อิสระ

สำนักข่าว The Guardian รายงานว่า ออสเตรเลียทำข้อมูลเกี่ยวกับผู้อพยพรวมถึงผู้ที่กำลังจะอพยพมาออสเตรเลียหลุดเป็นจำนวนมาก

ข้อมูลที่หลุดนี้ ออกมาจาก SkillsSelect เป็นดิจิทัลแพลตฟอร์มของหน่วยงานด้านการจัดหางานของออสเตรเลีย โดยแพลตฟอร์มนี้มีเป้าหมายคือให้กลุ่มแรงงานมีฝีมือและนักธุรกิจที่ต้องการอพยพมาออสเตรเลียระบุความสนใจและทักษะของตัวเอง และรอรับคำเชิญทำวีซ่าสำหรับกลุ่มแรงงานมีฝีมือ

วันนี้เป็นวันครบรอบ 20 ปีมัลแวร์ Love Bug ที่เริ่มระบาดเมื่อวันที่ 4 พฤษภาคม 2000 โดยเหยื่อจะได้รับอีเมลหัวข้อ LOVE-LETTER-FOR-YOU และหากเปิดไฟล์แนบ มันจะเขียนทับข้อมูลในเครื่อง, ขโมยรหัสผ่าน, และส่งต่อมัลแวร์ไปยังทุกคนในรายชื่อติดต่อ

Jio บริษัทโทรคมนาคมของอินเดียภายใต้ Reliance ทำข้อมูลเกี่ยวกับแบบสำรวจ COVID-19 หลุดออกสู่สาธารณะ จากการปล่อยฐานข้อมูลออกสู่อินเทอร์เน็ตโดยไม่ได้ล็อกรหัสผ่าน

Jio เปิดให้บริการแบบสำรวจเพื่อตรวจสอบอาการทางโทรศัพท์มือถือหรือเว็บไซต์ว่าผู้ใช้มีอาการติด COVID-19 หรือไม่ และหลังจากเปิดให้บริการไม่นาน Anurag Sen นักวิจัยความปลอดภัยได้แจ้งเบาะแสกับ TechCrunch ว่า Jio เปิดฐานข้อมูลที่เก็บข้อมูลสำคัญเหล่านี้ออกสู่อินเทอร์เน็ตโดยไม่ได้ล็อกรหัสผ่าน

ทาง TechCrunch จึงได้แจ้งไปยัง Jio และหลังจากนั้นไม่นานทางบริษัทก็ปิดระบบฐานข้อมูลที่มีปัญหาไม่ให้คนนอกเข้าถึงได้แล้ว แต่ทางบริษัทไม่ได้ให้ข้อมูลว่า ในช่วงเวลาที่ปล่อยฐานข้อมูลออกสู่สาธารณะมีใครเข้าฐานข้อมูลโดยไม่ได้รับอนุญาตหรือไม่

มาถึงตอนนี้ทุกคนคงใช้แอพประชุมออนไลน์กันหมดแล้ว โดยมีผู้เล่นในตลาดมากมายทั้งบริษัทเล็กใหญ่ ซอฟต์แวร์ตัวหนึ่งที่ดังขึ้นมาในช่วงโรคระบาดคือ Zoom แต่ดังได้ไม่นานก็มีข่าวด้านลบเกี่ยวกับความปลอดภัยของแอพนี้เข้ามาหลายเรื่อง ซึ่ง Zoom ก็ได้รีบจัดการกับประเด็นดังกล่าวและร่วมมือกับหลายบริษัทในการยกเครื่องความปลอดภัย

นอกจากนี้ก็มี Microsoft Teams ที่ตัวเลขผู้ใช้ก้าวกระโดดเช่นกัน โดยการใช้งานประชุมออนไลน์เพิ่มขึ้น 200% ในเวลาเพียงครึ่งเดือน หรือซอฟต์แวร์ตัวอื่นๆ ก็ได้รับความนิยมมากขึ้นกันถ้วนหน้า เช่น Google Meet, BlueJeans, Cisco Webex ฯลฯ

Epic Games ประกาศมาตรการชั่วคราวสำหรับเกมเมอร์ที่ต้องการเคลมเกมแจกฟรีบน Epic Games Store ว่าจะต้องเปิดใช้ Two Factor Authentication จึงจะสามารถเคลมเกมได้

Epic ให้เหตุผลว่าต้องการยกระดับความปลอดภัยของบัญชีผู้เล่น และยอมรับว่าอาจไม่สะดวกอยู่บ้าง แต่ไม่ได้ให้ข้อมูลเพิ่มเติมว่าพบการโจมตีบัญชี Epic ในช่วงนี้อย่างไร มาตรการนี้เริ่มใช้ในวันนี้ ไปจนถึงวันที่ 21 พฤษภาคม

อ่าน วิธีการเปิดใช้ Two Factor Authentication ของ Epic Games Store โดยแอพที่ Epic แนะนำคือ Google Authentication, Microsoft Authentication, LastPass, Authy

Netflix รายงานถึงการใช้โปรโตคอล TLS 1.3 เวอร์ชั่นล่าสุดของมาตรฐาน TLS โดยทดสอบประสิทธิภาพจริงจากเครื่องผู้ใช้

TLS ปกติมีข้อเสียสำคัญคือการเริ่มการเชื่อมต่อจะช้ากว่าการเชื่อมต่อ TCP เปล่าๆ ที่ไม่เข้ารหัสมาก เนื่องจากต้องแลกเปลี่ยนข้อมูลกันสองรอบ (2 roundtrips) ทำให้เสียเวลาก่อนเริ่มเชื่อมต่อไปนาน หากผู้ใช้อยู่ในเครือข่ายที่มีระยะเวลาหน่วงสูงก็อาจทำให้ระยะเวลาเริ่มก่อนเชื่อมต่อจริงนานระดับวินาที TLS 1.3 ปรับปรุงข้อเสียนี้ โดยโปรโตคอลสามารถเชื่อมต่อได้ภายในการแลกเปลี่ยนข้อมูลหนึ่งรอบ และยังมีโหมด 0-RTT สำหรับการเปิดการเชื่อมต่อใหม่จากที่เคยเปิดไว้แล้ว ทำให้ไม่ต้องแลกเปลี่ยนข้อมูลก่อนเลย

นินเทนโดประกาศว่าได้ปิดการล็อกอินเข้าใช้งาน Nintendo Account ผ่าน Nintendo Network ID (NNID) ซึ่งเป็นระบบเก่า โดยพบบัญชี NNID จำนวน 160,000 บัญชีที่ได้รับผลกระทบ ซึ่งพบการพยายามเจาะข้อมูลตั้งแต่ต้นเดือนเมษายนที่ผ่านมา

ข้อมูลที่ผู้โจมตีเข้าถึงได้แก่ ชื่อเล่น วันเกิด ประเทศ และอีเมล โดยนินเทนโดระบุว่าได้อีเมลแจ้งบัญชีที่ได้รับผลกระทบให้รีเซ็ตรหัสผ่านแล้ว ทั้งยังแนะนำให้ผู้ใช้ Nintendo Account เปิดใช้การล็อกอิน 2 ขั้นตอน ซึ่งนินเทนโดเพิ่งเพิ่มคุณสมบัติดังกล่าว เพื่อเพิ่มความปลอดภัย

NNID เป็นระบบล็อกอินเดิมของนินเทนโด ซึ่งมีใช้งานใน 3DS และ Wii U แต่ปัจจุบันระบบที่ใช้คือ Nintendo Account แต่ผู้ใช้ NNID เดิมนั้น สามารถล็อกอินเข้ามาได้เช่นเดียวกัน

สัปดาห์นี้บริษัท ZecOps รายงานถึงช่องโหว่ของแอป Mail บน iOS พร้อมกับระบุว่าพบหลักฐานว่ามีการโจมตีเป้าหมายสำคัญแล้วหลายคนเป็นเวลานานแล้ว ล่าสุดแอปเปิลส่งแถลงถึงสื่อหลายสำนัก ระบุว่าช่องโหว่ไม่เพียงพอจะเจาะตัว iOS ได้ และจนตอนนี้ก็ยังไม่พบหลักฐานว่ามีการใช้โจมตีจริง

ทาง ZecOps วิเคราะห์ข้อมูลจาก crash log ที่ได้รับมา ทำให้เชื่อว่ามีการโจมตีจริง และรายงานช่องโหว่ของ ZecOps ในส่วนชี้แจงผลกระทบนั้นคาดการณ์ไว้ว่าแฮกเกอร์น่าจะมีช่องโหว่อื่นในมือเพื่อเข้าควบคุมเครื่องเต็มรูปแบบ

Mark Risher ผู้อำนวยการฝ่ายความปลอดภัยบัญชีผู้ใช้ของกูเกิล ให้สัมภาษณ์ออนไลน์ถึงกรณี COVID-19 ระบุว่ากูเกิลตรวจพบการโจมตีโดยใช้ข้อความเกี่ยวกับ COVID-19 เป็นตัวล่อมากขึ้นเรื่อยๆ

ข้อความที่เกี่ยวกับ COVID-19 เช่นการหลอกลวงให้เหยื่อดาวน์โหลดมัลแวร์ โดยหลอกว่าเป็นอีเมลจากหน่วยงานทางการอย่างองค์การอนามัยโลก หรืออีเมลจากโรงพยาบาล โดยกูเกิลจับมัลแวร์ในอีเมลได้วันละ 18 ล้านรายการ ขณะที่สแปมที่มีเนื้อหาเกี่ยวกับ COVID-19 สูงถึง 240 ล้านข้อความ เช่น การโฆษณาขายหน้ากากอนามัยปลอม