พบลิงค์ที่อาศัยช่องโหว่แอป Message ใน iOS ส่งผลให้ iPhone และ iPad ที่ใช้ iOS 10 และ 11 ค้างทันทีที่ได้รับข้อความแม้จะไม่ได้เปิดเข้าไปดู และจะถูกบังคับรีบูทในไม่กี่นาทีต่อมา นอกจากนี้ยังทำให้แอป Message ไม่สามารถใช้งานได้ ช่องโหว่นี้ยังมีผลกับแอป Message ใน Mac ด้วย วิธีแก้คือต้องเข้าไปลบข้อความที่ได้รับนั้นออกไปถึงจะทำให้แอปกลับมาทำงานได้ตามปกติ อย่างไรก็ตามบั๊กลักษณะนี้เคยถูกพบมาแล้วหลายครั้ง และไม่ใช่บั๊กร้ายแรง แค่สร้างความน่ารำคาญให้ผู้ได้รับเฉยๆ วิธีป้องกันเบื้องต้นทำได้โดยบล็อคโดเมนของลิงค์นั้น สำหรับอุปกรณ์ iOS ให้เข้าไปที่ตั้งค่าดังนี้ Settings –> General –> Restrictions –> Websites –> Limit Adult Content แล้วเพิ่ม GitHub.io เข้าไปในลิสต์ Never Allow ผู้เขียนขอไม่ให้ลิงค์ในที่นี้ แม้ว่าจะไม่ใช่ปัญหาร้ายแรง แต่ก็สามารถสร้างความตกใจให้แก่ผู้ที่ได้รับได้ ขอให้ใช้วิจารณญาณก่อนจะส่งลิงค์ไปแกล้งใครนะครับ ที่มา: Macrumors ตัวอย่างผลกระทบที่เกิดขึ้น Topics:  [...]

โครงการ Let’s Encrypt ได้รับรายงานว่าบริการเว็บโฮสติ้งรายใหญ่บางรายมีช่องโหว่ทำให้แฮกเกอร์สามารถขอใบรับรองรับปลอมจากเว็บอื่นๆ ที่อยู่บนไอพีเดียวกันได้ ทำให้โครงการตัดสินใจปิดการยืนยันตัวตนเว็บแบบ TLS-SNI-01 ออกไป TLS-SNI-01 ยืนยันความเป็นเจ้าของโดเมนด้วยการแจ้งชื่อโดเมนที่ไม่มีจริง เช่น 773c7d.13445a.acme.invalid จากนั้นเซิร์ฟเวอร์ของ Let’s Encrypt จะเชื่อมต่อเข้าไปยังไอพีโดยแจ้งโดเมนเป็นโดเมนที่ได้รับแจ้งมา หากใบรับรองที่ได้รับระบุโดเมนถูกต้องก็จะถือว่าผู้ขอใบรับรองเป็นเจ้าของโดเมนจริง แต่บริการเว็บโฮสติ้งส่วนหนึ่งปล่อยให้ผู้ใช้อัพโหลดใบรับรองของเว็บใดๆ ก็ได้เข้าไป ทำให้เมื่อคนร้ายอยู่บนไอพีใดก็สามารถออกใบรับรองของทุกโดเมนที่อยู่บนไอพีนั้นได้ ตอนนี้ทาง Let’s Encrypt ปิดการยืนยันตัวตนแบบ TLS-SNI-01 ออกไปก่อนแม้จะไม่ใช่ความผิดของผู้ออกใบรับรองเองก็ตาม และจะทำรายการเว็บโฮสติ้งที่มีช่องโหว่เช่นนี และเมื่อเปิดบริการ TLS-SNI-01 แล้วก็จะบล็อคบริการสำหรับไอพีเหล่านั้น ที่มา – Let’s Encrypt Topics:  Let's Encrypt Security

เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ เนื่องจากชื่อบริษัทอาจจะซ้ำกันข้ามประเทศได้ การแสดงใบรับรองแบบ EV จึงมักระบุประเทศเอาไว้ด้วย เช่น โครมก็จะระบุหน้า URL ว่า “Stripe, Inc [US]” เพื่อระบุว่าเป็นบริษัทในสหรัฐฯ แต่ในกรณีของสหรัฐฯ การจดทะเบียนบริษัทคนละรัฐสามารถจดทะเบียนชื่อเดียวกันได้ ทำให้ Ian สามารถขอตั้งบริษัทที่มีชื่อเหมือนบริษัทรับจ่ายเงินได้ กรณีนี้หน่วยงานออกใบรับอรงไม่ได้ทำอะไรผิดเพราะตรวจสอบข้อมูลครบถ้วนแล้ว และข้อมูลในฟิลด์ Subject ของใบรับรองก็ระบุข้อมูลไว้ค่อนข้างครบ CN = stripe.ian.sh OU = POSITIVE EV SSL OU = SSL O = Stripe, Inc STREET = [...]

แอปเปิลออกรายงานระบบรวบรวมข้อมูลจากผู้ใช้เพื่อเรียนรู้พฤติกรรมของผู้ใช้ในกลุ่มใหญ่ โดยไม่ต้องเปิดเผยข้อมูลผู้ใช้คนใดคนหนึ่ง แต่ยังทำให้ระบบสามารถเรียนรู้ข้อมูลเป็นกลุ่มได้ เช่น ข้อมูลอิโมจิยอดนิยม, คำใหม่ๆ ที่เพิ่งเกิดขึ้น, หรือรายงานเว็บมีพฤติกรรมผิดปกติ ระบบเช่นนี้จะทำงานต่อเมื่อผู้ใช้เปิดตัวเลือกรายงานข้อมูลไปยังแอปเปิล หากปิดตัวเลือกการส่งข้อมูลไว้ก็จะไม่มีข้อมูลใดๆ ส่งกลับไปเลย ระบบรายงานข้อมูลการใช้งานถูกแบ่งออกเป็นสองฝั่ง คือ ฝั่งอุปกรณ์และฝั่งเซิร์ฟเวอร์ ที่ฝั่งอุปกรณ์จะมีระบบ Privatization รับประกันว่าข้อมูลจะไม่มีข้อมูลส่วนตัวติดไปในระดับหนึ่ง ระบบนี้จะกักข้อมูลไว้ไม่ส่งไปยังเซิร์ฟเวอร์ทันที แต่จะแฮชข้อมูลเป็นชุดๆ (differentially private record) จากนั้นจึงสุ่มเลือกส่งข้อมูลบางชุดไปยังเซิร์ฟเวอร์ หลังจากนั้นจะส่งไปยังเซิร์ฟเวอร์ ที่ระบบ Ingestor โดยจะลบข้อมูลไอพีระหว่างการเก็บออกไป แล้วรวบรวมข้อมูลเพื่อวิเคราะห์ กระบวนการส่งข้อมูลจริงอาศัยอัลอริทึม Private Count Mean Sketch (CMS) สุ่มเลือกกระบวนการแฮชของข้อมูลที่ต้องการส่ง เช่น โดเมนเว็บ แล้วส่งข้อมูลค่าแฮชออกไปยังเซิร์ฟเวอร์ ฝั่งเซิร์ฟเวอร์ต้องรวบรวมข้อมูลแล้วคำนวณค่าแฮชของโดเมนเว็บหนึ่งๆ จากกระบวนการแฮชทุกแบบที่ไคลเอนต์เลือกได้ ข้อมูลที่ได้จะสามารถประมาณการปริมาณการเข้าใช้เว็บโดเมนหนึ่งๆ ได้ดีพอสมควร โดยไม่สามารถนับได้อย่างแม่นยำได้เลย เพราะค่าแฮชจากไคลเอนต์สามารถชนกันได้เสมอ ที่มา – Apple Topics:  Apple Privacy

AWS เปิดตัว GuardDuty บริการสำหรับตรวจสอบความปลอดภัยเซิร์ฟเวอร์ โดยวิเคราะห์ล็อกจาก VPC Flow, CloudTrail, และ DNS เพื่อหาพฤติกรรมที่ผิดปกติ ตัว GuardDuty เองไม่มีซอฟต์แวร์ใดๆ รันอยู่บนเซิร์ฟเวอร์ แต่อาศัยข้อมูลภายนอกมาวิเคราะห์พร้อมกับรับข้อมูลข่าวกรองความปลอดภัยไซเบอร์มาตรวจสอบ เช่น มีการสั่ง DNS query ไปยังโดเมนที่เกี่ยวข้องกับมัลแวร์ หรือตัวเซิร์ฟเวอร์พยายามยิงออกไปยังเครื่องอื่นๆ เมื่อพบความผิดปกติ GuardDuty จะแจ้งเตือนบนเว็บหรือสามารถส่งเป็น CloudWatch Event เพื่อทำงานอย่างอื่นๆ ต่อไป เช่นส่ง SMS หรือส่งออกล็อกไปยังบริการภายนอกอย่าง Splunk ก็ได้ บริการนี้มีค่าใช้จ่ายคิดตามปริมาณล็อกที่ประมวลผล VPC Flow Log และ DNS นั้นคิดเป็นกิกะไบต์ เริ่มต้นกิกะไบต์ละ 1.10 ดอลลาร์และลดลงเมื่อปริมาณมากขึ้น ส่วน CloudTrail คิดค่าวิเคราะห์ 4.4 ดอลลาร์ต่อล้านรายการ ที่มา – AWS Blog Topics:  AWS [...]

Quad9 โครงการบริการเซิร์ฟเวอร์ ที่ร่วมมือกันระหว่าง Global Cyber Alliance (GCA), IBM, และบริษัทป้องกันภัยเน็ตเวิร์ค Packet Clearing House เปิดให้บริการแล้ว ผ่านทางไอพี 9.9.9.9 จุดเด่นของ Quad9 คือทางโครงการจะได้รับชุดข้อมูลโดเมนมุ่งร้ายจาก 19 แหล่ง เพื่อบล็อคโดเมนที่เป็นแหล่งของภัยสำคัญๆ เช่น โดเมน phishing, โดเมนปล่อย exploit kit, หรือโดเมนควบคุมมัลแวร์ (C2) โดยแหล่งข้อมูลเหล่านี้จะได้รับข้อมูลการคิวรี DNS กลับไปเพื่อวิเคราะห์หาต้นตอของการโจมตี แม้ว่าจะมีการแชร์ข้อมูลให้กับแหล่งรายงานการโจมตี ทาง Quad9 สัญญาว่าจะเก็บข้อมูลละเอียดระดับเมืองเท่านั้น (ดูจากฐานข้อมูล geoip) โดยไม่เก็บหมายเลขไอพีตรงๆ และข้อมูลที่แชร์กลับ จะได้เฉพาะโดเมนทีแหล่งเตือนภัยนั้นๆ ส่งข้อมูลว่าโดเมนเป็นภัยและขอให้บล็อคเท่านั้น ไม่สามารถดูข้อมูลจากนอกรายการของบริษัทตัวเองได้ ทาง Quad9 แบ่งกลุ่มโดเมนออกเป็นสามกลุ่ม ได้แก่ blacklist ที่ได้จากการเตือนภัยของแหล่งต่างๆ, whistlist ที่เป็นเว็บยอดนิยมล้านเว็บแรก โดยใช้ฐานข้อมูล Majestic Million, และ [...]

ไมโครซอฟท์ประกาศปรับการให้บริการ Outlook.com Premium โดยปิดรับการสมัครจากลูกค้าใหม่ แล้วให้คุณสมบัตินี้มาเป็นส่วนหนึ่งของลูกค้า Office 365 Home กับ Office 365 Personal แทน การเปลี่ยนแปลงนี้ไม่มีผลกับลูกค้าที่สมัคร Outlook.com Premium อยู่แล้ว โดยยังสามารถใช้งานและต่ออายุอีเมลบนโดเมนกำหนดเองได้ตามปกติ แต่สำหรับผู้ต้องการย้ายออกนั้น ไมโครซอฟท์บอกว่ากำลังดำเนินการเรื่องนี้อยู่ สำหรับผู้ที่ใช้ Office 365 Home / Personal อยู่แล้ว จะพบการเปลี่ยนแปลงใน Outlook.com ตามคุณสมบัติของ Premium อาทิ ไม่มีการแสดงโฆษณา, พื้นที่อีเมล 50GB ที่มา: ZDNet และไมโครซอฟท์ Topics:  Outlook Microsoft Office 365

มาตรฐานล็อกหน่วยงานออกใบรับรองสำหรับเว็บ หรือ HPKP (HTTP Public Key Pinning) ถูกเสนอโดยกูเกิลเองตั้งแต่ปี 2015 จนได้เข้าเป็นมาตรฐาน RFC7469 แต่ตอนนี้กูเกิลก็ประกาศเลิกรองรับแล้ว โดยจะมีผลใน Chrome 67 ที่จะออกช่วงกลางปี 2018 กูเกิลระบุว่าจนทุกวันนี้มีเว็บไซต์ใช้ HPKP เพียงจำนวนน้อย โดย 1 ล้านเว็บแรกของ Alexa มีใช้ HPKP เพียง 375 เว็บ และมี 76 เว็บใช้ในโหมด report-only ตอนนี้เบราว์เซอร์หลักที่รองรับ HPKP มีเพียงไฟร์ฟอกซ์, โอเปร่า (ที่ใช้ Blink ด้วย), และโครม ข้อเสียของ HPKP คือมันคอนฟิกยาก และมีความเสี่ยงผิดพลาดจนทำให้ผู้ใช้เข้าเว็บไม่ได้ อันตรายของมันกลายเป็นช่องโหว่ให้แฮกเกอร์ใช้โจมตีเว็บไซต์ที่เจาะมาได้ด้วยการคอนฟิก HPKP เพื่อให้เว็บเสียหายจากการที่ผู้ใช้จริงเข้าใช้งานไม่ได้เพราะถูกล็อกใบรับรองเป็นใบที่ไม่มีอยู่จริง แนวทางของกูเกิลแนะนำให้ผู้ใช้เว็บหันไปใช้ Expect-CT แทน เพื่อให้เบราว์เซอร์ตรวจสอบว่าใบรับรองนี้เปิดเผยต่อล็อกสาธารณะหรือยัง หากไม่เปิดเผย (ไม่มีข้อมูล SCT [...]

Let’s Encrypt ประกาศว่าโมดูล mod_md สำหรับ Apache HTTP Server (httpd) ใกล้เสร็จสมบูรณ์ ทำให้เวอร์ชั่นต่อไปเราน่าจะได้ใช้งาน Let’s Encrypt โดยคอนฟิกสั้นลงกว่าการใช้ใบรับรองจากที่อื่นเสียอีก mod_md ต้องการคอนฟิก ManagedDomain เพื่อบอกว่าจะให้ขอใบรับรองสำหรับโดเมนใดบ้าง และเมื่อคอนฟิกแล้วจะไม่ต้องคอนฟิกตำแหน่งใบรับรอง SSLCertificateFile และ SSLCertificateKeyFile เช่นเดิมอีก โดยตัวโมดูลจะขอใบรับรองใหม่เมื่อใบรับรองเดิมใกล้หมดอายุโดยอัตโนมัติ ตอนนี้โค้ด mod_md อยู่ในเวอร์ชั่นพัฒนาของ httpd แล้ว และมีแผนว่าจะพอร์ต mod_md กลับมาให้เวอร์ชั่น 2.4.x ในอนาคต ที่มา – Let’s Encrypt Topics:  Let's Encrypt HTTPS

ทีม Microsoft Offensive Security Research (OSR) ที่ทำงานคล้าย Project Zero ของกูเกิลรายงานถึงช่องโหว่รันโค้ดจากระยะไกลบนเบราว์เซอร์โครม แม้งว่าทีมงานโครมของกูเกิลจะตอบอย่างรวดเร็วและแก้ไขช่องโหว่ภายในไม่กี่วัน แต่กระบวนการเปิดเผยช่องโหว่กลับปล่อยโค้ดแก้ไขก่อนที่จะมีการปล่อยอัพเดต OSR พบช่องโหว่โดยการสร้างชุดทดสอบจากตัวสร้างชุดทดสอบ ExprGen และพบว่าสามารถสร้างโค้ดทดสอบเอนจิต V8 ที่ทำให้เอนจินแครชได้เสมอ จากนั้นจึงพยายามย่อโค้ด 1,500 บรรทัดที่สร้างขึ้นมาจนเหลือโค้ดเพียงสิบกว่าบรรทัด (ภาพโค้ดประกอบท้ายข่าว) และพบว่าตัวโค้ดที่กระตุ้นให้แครชสามารถทำให้ตัวคอมไพล์เลอร์ของโครมสร้างโค้ดตามที่กำหนดได้หากวางโค้ดอย่างถูกต้อง และตัวโครมเองจองหน่วยความจำสำหรับโค้ดจาก V8 ไว้เป็นแบบ RWX (อ่าน-เขียน-รันโค้ด ได้) ทำให้เปิดช่องว่างให้แฮกเกอร์สามารถนำโค้ดใดๆ ไปรันบนเครื่องของเหยื่อได้ OSR ระบุว่าแนวทางแบบนี้โจมตี Edge ได้ยากมาก เพราะกระบวนการป้องกันเพิ่มเติม เช่น Control Flow Guard (CFG), Arbitrary Code Guard (ACG), Less Privileged AppContainer (LPAC), และ Windows Defender Application Guard (WDAG) [...]

 Page 1 of 44  1  2  3  4  5 » ...  Last »