VLC ออกแจ้งเตือนการค้นพบช่องโหว่ CVE-2019-5439 และ CVE-2019-12874 ระดับวิกฤติ 2 ช่อง ซึ่งเป็นช่องโหว่ในกระบวนการอ่านและประมวลผลไฟล์วิดิโอ หากเหยื่อเปิดไฟล์ .avi หรือ .mkv ที่ไม่ประสงค์ดี แฮกเกอร์สามารถรันโค้ดที่มากับไฟล์วิดิโอผ่านช่องโหว่ดังกล่าวได้ด้วยสิทธิเดียวกับผู้ที่เปิดไฟล์

ช่องโหว่นี้กระทบกับ VLC เวอร์ชัน 3.0.6 ลงไป โดยล่าสุด VLC อัพเดตเวอร์ชัน 3.0.7 ออกมาเพื่ออุดช่องโหว่นี้แล้ว ดังนั้นใครใช้ VLC อยู่รีบอัพเดตโดยด่วน

ที่มา - VLC via The Hacker News

FIDO Alliance ประกาศตั้งกลุ่มกำหนดมาตรฐานอุตสาหกรรมด้าน IoT ขึ้นมาสองกลุ่ม เพื่อนำระบบยืนยันตัวตนของ FIDO เข้ามาใช้งานเป็นมาตรฐานในกลุ่มสินค้าประเภท IoT เพื่อให้ IoT ที่กำลังจะแพร่หลายในอนาคตมีมาตรฐานด้านความปลอดภัยที่ชัดเจนและรัดกุมกว่าปัจจุบัน

กลุ่มที่กำหนดมาตรฐานกลุ่มแรกคือ Identity Verification and Binding Working Group ที่จะกำหนดกฎเกณฑ์ของ remote ID verification รวมถึงพัฒนาเอกสารให้ความรู้และจัดทำกระบวนการออกใบรับรองให้ผู้ผลิตสินค้า IoT ที่ผ่านมาตรฐานด้วย

เมือง Lake City ในรัฐฟลอริด้า สหรัฐอเมริกา เป็นเมืองที่ 2 ต่อจาก Riviera Beach ที่พบปัญหาระบบคอมพิวเตอร์ของหน่วยงานท้องถิ่นติด Ransomware แพร่ระบาด และสภาเมืองก็ได้ลงมติให้จ่ายค่าไถ่แฮกเกอร์เพื่อแลกกับกุญแจถอดรหัสคืน

ทั้งนี้แฮกเกอร์ได้ติดต่อเรียกค่าไถ่ผ่านบริษัทประกันภัยของเมือง โดยคิดค่าถอดรหัส 42 บิตคอยน์ หรือราว 500,000 ดอลลาร์ ซึ่งล่าสุดได้มีการจ่ายค่าไถ่เรียบร้อยแล้ว และกำลังอยู่ในขั้นตอนถอดรหัสกู้ข้อมูลคืน

ผลกระทบของ Ransomware ต่อเมือง Lake City ครั้งนี้กระทบงานบริการสาธารณะทั้งหมดเนื่องจากใช้เครือข่ายร่วมกัน ยกเว้นแผนกตำรวจและดับเพลิง ที่ใช้เครือข่ายแยกต่างหาก

นักวิจัยด้านความปลอดภัย ค้นพบมัลแวร์ตัวใหม่ของ macOS ที่อาศัยช่องโหว่ที่แอปเปิลยังไม่ออกแพตช์เป็นช่องทางในการโจมตี

มัลแวร์ตัวนี้ถูกตั้งชื่อว่า OSX/Linker ค้นพบโดย Joshua Long นักวิจัยด้านความปลอดภัยจากบริษัท Intego

OSX/Linker อาศัยช่องโหว่ของ Gatekeeper ระบบรักษาความปลอดภัยของ macOS ที่ค้นพบและเปิดเผยในเดือนพฤษภาคม หลักการของช่องโหว่นี้คือ Gatekeeper จะไม่สแกนไฟล์ประเภท symbolic link (symlink) ที่อยู่ในไฟล์บีบอัดข้อมูล และสามารถใช้ symlink เชื่อมกลับไปยังเซิร์ฟเวอร์ NFS ของแฮ็กเกอร์ได้

ตอนนี้แอปเปิลยังไม่ออกแพตช์แก้ช่องโหว่ตัวนี้ และมีแฮ็กเกอร์สร้างมัลแวร์ขึ้นมาทดสอบการใช้งานแล้ว ตอนนี้ยังไม่มีรายงานว่าพบการโจมตีที่ใช้มัลแวร์ตัวนี้

Wall Street Journal ระบุว่าได้รับรายงานของบริษัทด้านความปลอดภัยไซเบอร์ Finite State ที่ชี้ว่าอุปกรณ์เครือข่ายของ Huawei มีแนวโน้มจะถูกโจมตีจากแฮกเกอร์ได้มากกว่าแบรนด์คู่แข่งอื่นๆ ซึ่งรายงานชิ้นนี้ถูกส่งมอบให้รัฐบาลสหรัฐและสหราชอาณาจักรแล้วด้วย

นักวิจัยได้นำเฟิร์มแวร์สำหรับอุปกรณ์เครือข่ายสำหรับองค์กรของ Huawei กว่า 10,000 ตัว มาทดสอบผ่านอุปกรณ์กว่า 500 ชิ้น ก่อนจะพบว่าเฟิร์มแวร์กว่า 55% มีช่องโหว่อย่างน้อยๆ 1 ช่องโหว่ ซึ่งถือว่าสูงกว่าค่าเฉลี่ยที่เจอในอุปกรณ์ของคู่แข่งค่อนข้างมาก โดยช่องโหว่เหล่านั้นรายงานระบุว่ามีสิทธิจะเป็น backdoor ก็ได้ด้วยซ้ำไป (potential backdoor)

Oracle ประกาศและแจ้งเตือนลูกค้า Oracle WebLogic ให้อัพเดตแพตช์อุดช่องโหว่ CVE-2019-2729 ซึ่งเป็นช่องโหว่ Zero-Day ที่มีคะแนน CVSS ถึง 9.8 จาก 10 ที่เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดทางไกลและเข้ายึดเครื่องได้โดยไม่ต้องยืนยันตัวตนใดๆ

Oracle WebLogic เวอร์ชันที่ได้รับผลกระทบคือ 10.3.6.0.0, 12.1.3.0.0, และ 12.2.1.3.0 โดยนักวิจัยด้านความปลอดภัยจาก KnownSec 404 ระบุว่ามีความพยายามโจมตีผ่านช่องโหว่นี้แล้วด้วย

Blognone มีโอกาสได้พูดคุยกับผู้บริหารของ RSA บริษัทด้านความปลอดภัยในเครือ Dell Technologies ที่เดินทางมาประเทศไทยช่วงสัปดาห์ที่แล้ว

Ted Kamionek รองประธานอาวุโส Global Sales ของ RSA ให้ภาพรวมของอุตสาหกรรมความปลอดภัยไซเบอร์ว่า ปัญหาหลักๆ ตอนนี้คือขาดคนที่มีทักษะด้านนี้ มีจำนวนเท่าไรก็ไม่พอ แนวทางแก้ไขจึงเป็นการใช้ machine learning (ML) เข้ามาช่วยตรวจจับภัยคุกคามในชั้นต้น

WeTransfer บริการส่งไฟล์ขนาดใหญ่ออกประกาศแจ้งเตือนผู้ใช้ว่าระหว่างวันที่ 16-17 มิถุนายนที่ผ่านมาระบบมีปัญหาทำให้ส่งอีเมลถึงผู้ใช้ผิดคน ส่งผลให้อีเมลแจ้งการส่งไฟล์ถูกส่งไปยังบุคคลอื่น

ตอนนี้ยังไม่มีข้อมูลว่าผู้ใช้ที่ได้รับผลกระทบมีมากน้อยเพียงใด แต่ทาง WeTransfer ระบุว่าอยู่ระหว่างการแจ้งเตือนผู้ใช้ที่ได้รับผลกระทบ และแจ้งหน่วยงานรัฐที่เกี่ยวข้องแล้ว

รายงานไม่พูดถึงข้อมูลอื่นที่หลุดออกไป แต่ระบุว่าได้ล็อกเอาท์ผู้ใช้บางส่วนและบังคับให้ตั้งรหัสผ่านใหม่เพื่อความปลอดภัย แสดงว่าระหว่างมีปัญหาอาจมีการเข้ายึดบัญชีกันด้วย

ทาง WeTransfer ระบุว่าตอนนี้อยู่ระหว่างการสอบสวนและจะแจ้งรายละเอียดเพิ่มเติมภายหลัง

Cloudflare เปิดตัว time.cloudflare.com ระบบซิงค์เวลาฟรีรองรับทั้ง Network Time Protocol (NTP) และ Network Time Security (NTS)

time.cloudflare.com สามารถใช้เป็นแหล่งซิงค์เวลาของอุปกรณ์ใดก็ได้ที่รองรับระบบ NTP ซึ่งจะเรียกใช้งานจากศูนย์ข้อมูลของ Cloudflare ที่กระจายอยู่กว่า 180 เมืองทั่วโลก โดยจะเลือกศูนย์ข้อมูลที่ใกล้ผู้ใช้ที่สุด และศูนย์ข้อมูลทั้งหมดจะซิงค์เข้ากับเซิร์ฟเวอร์ stratum 1 เพื่อให้ได้ค่าเวลาที่แม่นยำที่สุด

การโจมตี Spectre, Meltdown, และ Rowhammer เปิดทางให้ซอฟต์แวร์มุ่งร้ายสามารถเข้าไปอ่านหน่วยความจำส่วนที่ไม่ได้รับอนุญาต แม้ว่าโดยทั่วไปแล้วกระบวนการจะทำงานได้ช้า และมีความผิดพลาดอยู่บ้าง แต่หากคนร้ายสามารถดึงข้อมูลสำคัญที่มีขนาดเล็ก เช่น กุญแจเข้ารหัส, รหัสผ่าน ก็จะสร้างความเสียหายได้อย่างมาก ตอนนี้โครงการ Secure Shell (SSH) ก็รับโค้ดใหม่ เพื่อป้องกันปัญหานี้

เกิดเหตุเหยื่อ Ransomware ยอมจ่ายค่าไถ่อีกครั้ง จากกรณีที่ศาลากลางของเมือง Riviera Beach เมืองเล็กๆ ทางตะวันออกของรัฐฟลอริด้า ตอนเหนือของไมอามีตคิด Ransomware จากการที่เจ้าหน้าที่เปิดลิงก์มุ่งร้ายจากอีเมลและแพร่มัลแวร์แพร่ไปทั่วเน็ตเวิร์คของศาลากลางจนไม่สามารถใช้งานได้

เมื่อวันจันทร์ที่ผ่านมา สภาเมืองจึงมีมติเอกฉันท์ยอมจ่ายค่าไถ่ให้แฮกเกอร์เป็นบิทคอยน์ทั้งหมด 65 บิทคอยน์ มูลค่าราว 600,000 เหรียญเพื่อให้แฮกเกอร์ปลดล็อกไฟล์ในระบบทั้งหมด อย่างไรก็ตามผู้เชี่ยวชาญด้านความปลอดภัยเห็นแย้งว่า สภาเมืองเหมือนกำลังพนันจากการจ่ายค่าไถ่ครั้งนี้ เพราะไม่มีอะไรยืนยันว่าแฮกเกอร์จะยอมปลดล็อกไฟล์ให้ รวมถึงจะยิ่งส่งเสริมให้เกิดการโจมตีในลักษณะนี้มากยิ่งขึ้น

ผู้ใช้เว็บเบราว์เซอร์ทุกวันนี้คงคุ้นเคยกับบริการ Google Safe Browsing ของกูเกิล ที่แจ้งเตือนหน้าเว็บไม่ปลอดภัยเป็นสีแดงเต็มหน้าจอ ปัจจุบันเบราว์เซอร์ที่เรียกใช้ Safe Browsing API ไม่ได้มีแค่ Chrome แต่ยังรวมถึง Firefox และ Safari ด้วย

ล่าสุดกูเกิลออกส่วนขยาย Suspicious Site Reporter สำหรับ Chrome ให้ผู้ใช้ช่วยกันรายงานเว็บไซต์น่าสงสัยเข้าไปยังกูเกิลอีกช่องทางหนึ่ง เป้าหมายเพื่อให้บ็อตของกูเกิลเข้าไปตรวจสอบเว็บไซต์นั้นได้เร็วขึ้น และส่งผลให้ Safe Browsing ทำงานได้แม่นยำกว่าเดิม

Firefox ออกแพตช์ฉุกเฉินใน Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่ออุดช่องโหว่ CVE-2019-11707 ซึ่งเป็นช่องโหว่ระดับวิกฤติในฟังก์ชัน .pop() ที่เปิดโอกาสให้แฮกเกอร์รันสคริปต์ JavaScript และเข้าควบคุมเครื่องได้จากทางไกล

ช่องโหว่นี้ถูกค้นพบโดย Samuel Groß จากทีม Google Project Zero และทีมงาน Coinbase Security โดยช่องโหว่นี้ถูกนำไปใช้ผ่านการโจมตีด้วย spear phishing แล้ว ดังนั้นใครใช้ Firefox ควรรีบอัพเดตเบราว์เซอร์ด่วน

ที่มา - ThreatPost

ปัญหาเรื่องการโดนแฮ็กบัญชี Instagram หรือโดนขโมยบัญชี ไม่ได้มีเฉพาะแค่บ้านเรา แต่เป็นปัญหาใหญ่ของผู้ใช้ Instagram ทั่วโลก

ล่าสุด Instagram กำลังทดสอบวิธีการกู้คืนบัญชีแบบใหม่ที่ง่ายกว่าเดิม สามารถกู้คืนได้จากในแอพ Instagram โดยตรง โดยที่ไม่ต้องไปกรอกฟอร์มผ่านหน้าเว็บแบบที่เป็นอยู่ในปัจจุบัน

เมื่อสั่งขอกู้คืนบัญชีตามระบบใหม่ของ Instagram เราจะได้รหัสมาเป็นตัวเลข 6 หลัก เพื่อส่งให้เพื่อนของเราใน Instagram ช่วยยืนยันตัวตนว่าเป็นเราจริงๆ และยังช่วยให้แฮ็กเกอร์ขโมยบัญชีของเราได้ยากขึ้นอีกด้วย

ทีมวิจัยความปลอดภัยไซเบอร์ของ Netflix เปิดเผยช่องโหว่เคอร์เนลลินุกซ์และ FreeBSD 4 รายการที่เกี่ยวข้องกับฟีเจอร์ minimum segmentation size (MSS) และ TCP Selective Acknowledgement (SACK) ในโปรโตคอล TCP

ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2019-11477 หรือ SACK Panic ที่คนร้ายสามารถเปิดการเชื่อมต่อด้วยค่า MSS ระดับต่ำสุด และยิง SACK ด้วยลำดับที่ออกแบบมาเฉพาะทำให้เคอร์เนลลินุกซ์ panic ไปได้ทันที ช่องโหว่นี้กระทบเคอร์เนลลินุกซ์ตั้งแต่เวอร์ชั่น 2.6.29 ที่ออกตั้งแต่ปี 2009 เป็นต้นมา

ทางแก้คือการแพตช์เคอร์เนล หรือปิดฟีเจอร์ SACK ผ่านทาง /proc/sys/net/ipv4/tcp_sack

Armin Razmjou นักวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ของ Vim และ Neovim ที่เปิดทางให้คนร้ายสามารถรันโค้ดในเครื่องของเหยื่อได้ เพียงแค่เปิดไฟล์ขึ้นมา

ช่องโหว่นี้อาศัยฟีเจอร์ modeline ที่ Vim จะอ่านค่าคอนฟิกในไฟล์ที่เปิดขึ้นมาเพื่อปรับค่าแสดงผลให้ถูกต้อง เช่น ขนาดแท็บ หรือความกว้างหน้าจอ โดยการตั้งค่าใน modeline จะถูกจำกัดให้รันอยู่ใน sandbox ทำให้ไม่สามารถยุ่งเกี่ยวกับสภาพแวดล้อมอื่นนอกจากตัวไฟล์เองได้

แต่ modeline กลับรองรับคำสั่ง source ที่รันสคริปต์นอก sandbox อีกที กลายเป็นช่องโหว่ให้คนร้ายสร้างไฟล์ที่ขึ้นต้นด้วยคำสั่ง modeline และรันสคริปต์ตามที่คนร้ายต้องการ Razmjou สาธิตสร้างไฟล์มุ่งร้ายถึงระดับที่เปิด shell ให้คนร้ายเข้ามาควบคุมเครื่องได้ เพียงแค่เปิดไฟล์

Cellebrite ผู้ผลิต Universal Forensic Extraction Device (UFED) อุปกรณ์ดึงข้อมูลจากอุปกรณ์เคลื่อนที่เช่นโทรศัพท์หรือแท็บเล็ต โฆษณาว่าเวอร์ชั่นล่าสุดนั้นสามารถปลดล็อกอุปกรณ์ iOS ได้ โดยรองรับตั้งแต่ iOS 7 มาจนถึง iOS 12.3 ที่เพิ่งออกมาไม่นานนัก

กระบวนการรักษาความปลอดภัยของ iOS นั้นค่อนข้างแน่นหนา โดยเมื่อล็อกหน้าจอแล้วจะกลายเป็นการเข้ารหัสอุปกรณ์ไปพร้อมกัน ทำให้การดึงข้อมูลออกจากอุปกรณ์ที่ล็อกไว้ทำได้ยาก ที่ผ่านมามีผู้ผลิตหลายรายพยายามหาทางข้ามกระบวนการป้องกันของแอปเปิล และสร้างอุปกรณ์ออกมาขาย จนใน iOS 12 นั้นแอปเปิลถึงกับล็อกพอร์ต USB หากล็อกหน้าจอไว้นานเกิน 1 ชั่วโมง ให้ชาร์จไฟได้อย่างเดียว

Yubico ผู้ผลิตกุญแจยืนยันตัวตนรายงานปัญหาบั๊กในกุญแจ YubiKey ซีรีส์ FIPS ที่รันเฟิร์มแวร์เวอร์ขัน 4.4.2 และ 4.4.4 ที่ตัวเลขที่ถูกสร้างขึ้นไม่ได้ถูกสุ่มขึ้นมาทั้งหมด โดยปัญหานี้เกิดขึ้นเฉพาะการสุ่มตัวเลขครั้งแรกทุกครั้งหลังเสียบกุญแจ

Yubico ระบุว่ากุญแจแบบ RSA ตัวเลขที่ไม่สุ่มอยู่ที่ไม่เกิน 80 บิตจาก 2056 บิต ขณะที่กุญแจแบบ ECDA และ ECC จะหนักหน่อยเพราะไม่สุ่มไป 80 บิตจาก 256 บิต ส่วนทางแก้ปัญหาทาง Yubico ระบุว่าได้แจ้งลูกค้า เรียกคืนกุญแจเก่าและเปลี่ยนเป็นกุญแจรุ่นใหม่ให้บ้างแล้ว

อย่างไรก็ตามกุญแจ FIPS เวอร์ชัน 4.4.5 และกุญแจรุ่นอื่นๆ ของ YubiKey ไม่ได้รับผลกระทบใดๆ

ก่อนหน้านี้ Google ประกาศว่าสามารถใช้สมาร์ทโฟนแอนดรอยด์เป็นโทเคนยืนยันตัวตน 2 ชั้น สำหรับการล็อกอินแอคเคาท์ Google บน ChromeOS, macOS และ Windows 10 ด้วยโปรโตคอล CTAP2 ของ FIDO

ล่าสุดฟีเจอร์นี้รองรับบนอุปกรณ์ iOS แล้ว โดยรองรับเฉพาะ iOS เวอร์ชัน 10 ขึ้นไป ส่วนฝั่งแอนดรอยด์ต้องเป็นแอนดรอยด์ 7.0 ขึ้นไปเช่นเดิมและเพิ่มสมาร์ทโฟนของตัวเองให้เป็น Security Key ได้ในหน้า 2-step Verification (ต้องเปิดตัวเลือกนี้ด้วย) ในหมวด Security ของแอคเคาท์ Google

บริษัทขนาดใหญ่มักจัดงานแข่งขันด้านเทคโนโลยีคล้ายๆ กันในรอบปี เช่น งานเขียนโปรแกรมอย่าง Google Code Jam หรืองานแข่งด้านความปลอดภัยไซเบอร์ในกลุ่ม Capture the Flag (CTF) เมื่อวันที่ 1 ถึง 3 มิถุนายนที่ผ่านมาเฟซบุ๊กก็เพิ่งจัดงาน Facebook CTF ไป แต่ความน่าแปลกใจคือทีมที่ชนะที่หนึ่งคือทีม "Visit g.co/ctf" ที่เป็น URL ไปยังเว็บงานแข่งขัน Google CTF ที่กำลังจัดในวันที่ 22-23 มิถุนายนนี้

หลังจากนั้นบัญชีทวิตเตอร์ @GoogleVRP ผู้จัดงาน Google CTF ก็ออกมาแสดงความยินดีกับผู้ชนะ

Mozilla ประกาศเพิ่มฟีเจอร์ด้านความเป็นส่วนตัวจำนวนมาก โดยไฮไลต์ในครั้งนี้คือการเปิด Enhanced Tracking Protection เป็นค่าเริ่มต้น ซึ่งระบบนี้จะบล็อคคุกกี้จาก third-party tracker บน Firefox เพื่อป้องกันการติดตามผู้ใช้

ระบบบล็อคคุกกี้นี้ จะบล็อคจากรายการใน Disconnect ซึ่งหาก Enhanced Tracking Protection เปิดใช้งานแล้วจะไม่มีการแสดงสัญลักษณ์ใด ๆ แต่ผู้ใช้เข้าไซต์ใดก็ตามแล้วระบบบล็อคก็จะแสดงไอคอนโล่ขึ้นมาบนแอดเดรสบาร์ สามารถคลิกเข้าไปเพื่อดูรายละเอียดการบล็อคคุกกี้ได้ และหากต้องการหยุดระบบบล็อคแยกตามไซต์ก็สามารถสั่งปิดได้เช่นกัน

บริษัทด้านความปลอดภัยเครือข่าย Palo Alto Networks ประกาศเข้าซื้อกิจการ 2 สตาร์ทอัพด้านความปลอดภัย โดยบริษัทแรกคือ Twistlock ซึ่งพัฒนาระบบความปลอดภัยสำหรับคอนเทนเนอร์ มูลค่า 410 ล้านดอลลาร์ ส่วนอีกบริษัทคือ PureSec ซึ่งเป็นสตาร์ทอัพด้านปลอดภัยของ serverless โดยไม่ได้เปิดเผยมูลค่าที่เข้าซื้อ

ความนิยมที่มากขึ้นของคอนเทนเนอร์ทำให้ประเด็นความปลอดภัยถูกยกขึ้นมาพูดถึงมากขึ้น และ Palo Alto Networks ก็ตัดสินใจเข้าลงทุนซื้อกิจการที่เกี่ยวข้องเพื่อเสริมเข้ามาในผลิตภัณฑ์ที่มีอยู่แล้วนั่นเอง

Twistlock ปัจจุบันมีลูกค้าระดับบริษัท Fortune 100 อยู่มากกว่า 25% ส่วน PureSec นั้นเป็นสตาร์ทอัพใหม่ที่เพิ่งเพิ่มทุนไป 10 ล้านดอลลาร์

ทีมงานศูนย์รับมือภัยไซเบอร์ไมโครอฟต์ (Microsoft Security Response Center - MSRC) เขียนบล็อคแจ้งเตือนช่องโหว่ CVE-2019-0708 ที่ไมโครซอฟท์ออกแพตช์พิเศษให้เมื่อกลางเดือนพฤษภาคมที่ผ่านมา หลังจากมีรายงานจาก Errata Security ระบุว่ายังมีคอมพิวเตอร์ที่ไม่ได้แพตช์และเชื่อมต่ออินเทอร์เน็ตสูงถึงหนึ่งล้านเครื่อง

ในทางวิศวกรรมซอฟต์แวร์ การที่โค้ดมีความซับซ้อนมากขึ้นเรื่อยๆ ก็มีโอกาสที่จะพบบั๊กต่างๆ รวมถึงช่องโหว่ความปลอดภัยมากขึ้นเป็นเงาตามตัว ทำให้เรามักไม่พบช่องโหว่ในโปรแกรมง่ายๆ นัก แต่ล่าสุด Travis Ormandy จาก Project Zero ก็ระบุว่าเขาพบช่องโหว่รันโค้ดบนโปรแกรม Notepad บนวินโดวส์

Notepad ของวินโดวส์เป็นโปรแกรมง่ายๆ ที่ใช้แก้ไขไฟล์เท็กซ์อย่างเดียว แต่เป็นโปรแกรมที่ติดมากับวินโดวส์เสมอแม้แต่ Windows Core

Travis บอกเพียงว่าช่องโหว่นี้เป็นช่องโหว่ memory corruption ซึ่งเป็นคำกว้างๆ ของบั๊กเมื่อโปรแกรมเมอร์ ใช้หน่วยความจำที่ไม่ได้กำหนดค่าล่วงหน้า หรือใช้หน่วยความจำเกินที่จองไว้ ตอนนี้เขาแจ้งช่องโหว่ไปยังไมโครซอฟท์แล้ว ไมโครซอฟท์มีเวลา 90 วันเช่นเดียวกับช่องโหว่อื่นของ Project Zero

GitHub เปิดตัวฟีเจอร์ความปลอดภัยเพิ่มเติมงานงาน GitHub Satellite โดยมีฟีเจอร์สำคัญคือ Dependabot ที่สแกนหาไลบรารีที่เราใช้งานและส่ง pull request อัพเดตไลบรารีให้เองหากเวอร์ชั่นที่ใช้อยู่มีช่องโหว่ความปลอดภัย, และแท็บ Security เป็นพื้นที่พัฒนาแพตช์ความปลอดภัยสำหรับโครงการต่างๆ ก่อนที่จะเปิดเผยต่อสาธารณะ

นอกจากฟีเจอร์ใหม่สองรายการนี้ ยังมีฟีเจอร์ย่อย เช่น