ไมโครซอฟท์เตือนช่องโหว่ร้ายแรงใน Remote Desktop Protocol ของวินโดวส์ทุกรุ่น

ไมโครซอฟท์ออกมาเตือนช่องโหว่ร้ายแรงหมายเลข MS12-020 ซึ่งเกี่ยวข้องกับ Remote Desktop Protocol (RDP) โดยมีผลต่อวินโดวส์ทุกรุ่น (ตั้งแต่ XP SP3 รวมถึง Windows Server 2003 เป็นต้นมา) ช่องโหว่ตัวนี้ถูกจัดระดับความรุนแรงเป็น Critical โดยทางทฤษฎีแล้ว แฮ็กเกอร์สามารถรันโค้ดจากระยะไกลผ่านช่องโหว่ตัวนี้ได้เลย (กรณีที่เปิด RDP เอาไว้ ซึ่งค่า default คือไม่เปิด) ตอนนี้ไมโครซอฟท์ยังไม่พบโค้ดที่อาศัยช่องโหว่นี้ แต่ก็เตือนให้ผู้ใช้ทุกคนอัพเดตกันโดยด่วน สำหรับผู้ใช้วินโดวส์ทั่วไป แพตช์มาใน Windows Update แล้ว (หลายคนคงอัพเดตกันแล้ว) แต่สำหรับคอมพิวเตอร์องค์กรที่ต้องรอแอดมินตรวจสอบความเข้ากันได้ของแพตช์กับซอฟต์แวร์ในองค์กร อาจจะกลายเป็นช่องโหว่ให้แฮ็กเกอร์ฉกฉวย ดังนั้นไมโครซอฟท์จึงเตือนให้แอดมินรีบอัพเดตแพตช์นี้ให้กับคอมพิวเตอร์ขององค์กรโดยเร็ว นอกจากช่องโหว่ตัวนี้แล้ว ไมโครซอฟท์ยังออกแพตช์อื่นๆ รวม 6 ตัวในวันนี้ ซึ่งครอบคลุมไปถึง Visual Studio และ Expression Design ด้วย ที่มา – TechNet ข่าวจาก Blognone โดย mk

[Pwn2Own 2012] Chrome โดนเจาะแล้วเป็นรายแรกของงาน!

แม้จะมีการแพตซ์ช่องโหว่ของเบราว์เซอร์ไปแล้วก่อนการแข่งขันจะเริ่ม แต่ไม่สามารถที่จะแพตซ์ความทะเยอทะยานของเหล่าแฮกเกอร์ได้แน่นอนครับ เมื่อ Chrome เบราว์เซอร์ที่อยู่รอดมาจากการแฮ็กในครั้งก่อนๆ กลับกลายเป็นเบราว์เซอร์ตัวแรกในปีนี้ที่โดนแฮ็ก จากบทสัมภาษณ์ทีม VUPEN ซึ่งเป็นทีมแฮกเกอร์สัญชาติฝรั่งเศส เขากล่าวว่าในการแข่งขันครั้งนี้เขาใช้สองช่องโหว่สำหรับการโจมตีไปยังเครื่องที่ใช้ในการทดสอบ ช่องโหว่แรกคือช่องโหว่ที่มีหน้าที่เข้าไปปิดการทำงานระบบ DEP/ASLR ของ Windows ที่ใช้ในการแข่งขัน และช่องโหว่ที่สองคือช่องโหว่ที่มุ่งโจมตีไปยัง Sandbox ซึ่งช่องโหว่ทั้งสองแห่งนี้ใช้เวลาในการพัฒนาถึง 6 อาทิตย์ ซึ่งจากผลลัพธ์การแข่งขันครั้งนี้ ทาง VUPEN ก็สรุปง่ายๆ ว่า ‘no software is unbreakable!’ ที่มา – Hack in the Box, The Verge, ZDNet ข่าวจาก Blognone โดย pe3z

เตือน!!! ช่องโหว่ร้ายแรงใน Flash Player

อะโดบี้ (Adobe) ออกอัพเกรดด่วนนอกรอบสำหรับซอฟต์แวร์แฟลชเพลเยอร์ (Flash Player) เนื่องจากพบช่องโหว่ร้ายแรงถึง 2 แห่งด้วยกัน ทั้งนี้อัพเดทที่ออกมาจะมีครบทุกแพลตฟอร์ม Windows, Mac OS X, Linux และ Solaris ส่วน Android ก็ยังจำเป็นต้องแพตช์บนสมาร์ทโฟนด้วย

Chrome ออกอัพเดท, แพตซ์ 17 ช่องโหว่ก่อนงาน Pwn2Own

จากข่าว Google พร้อมจ่าย $60,000 สำหรับใครก็ตามที่แฮก Chrome ได้ใน Pwn2Own 2012 ที่อาจมีใครหลายคนเก็บไปนอนฝันหวานหวังจะได้กอดเงินก้อนโต แต่ลองอ่านข่าวนี้ก่อนครับ เมื่อ Chrome ได้ออกเวอร์ชันล่าสุดซึ่งเป็นเวอร์ชันที่ 17.0.963.65 stable

นาซ่าทำโน้ตบุ๊กเก็บคำสั่งสถานีอวกาศนานาชาติหาย, ถูกแฮกไป 13 ครั้งในปีที่แล้ว

รายงานการตรวจสอบภายในความปลอดภัยของนาซ่าที่เสนอต่อรัฐสภาสหรัฐฯ รายงานถึงความหละหลวมของการรักษาความปลอดภัยในระบบไอทีของนาซ่าว่าหละหลวมอย่างมาก โดยโน้ตบุ๊กแทบทั้งหมดไม่มีการเข้ารหัสข้อมูล

โปรแกรมโจมตีแบบ DDoS ของ Anonymous มีโทรจันแฝงอยู่!

โปรแกรมโจมตีแบบ DDoS ของ Anonymous มีโทรจันแฝงอยู่!

Symantec บริษัทด้านความปลอดภัยทางคอมพิวเตอร์ชื่อดังได้ออกมาเปิดเผยข้อเท็จจริงว่า โปรแกรมสำหรับการโจมตีแบบ DDoS ที่กลุ่มแฮกเกอร์ชื่อดัง Anonymous ได้ทำการเผยแพร่ให้ดาวน์โหลดนั้นมีการติดตั้งโทรจัน ‘Zeus’ แฝงอยู่

แจ้งเตือน Hoax บน Facebook – บังคับให้ใส่หมายเลขประกันสังคม

Hoax Slayer เว็บไซต์ด้านข่าวสารของ Hoax ได้แจ้งเตือนไปยังผู้ใช้งาน Facebook เกี่ยวกับ Hoax ตัวใหม่ที่กำลังแพร่ระบาดอยู่ในตอนนี้ โดยมีลักษณะการอ้างอิงไปยังเว็บไซต์ชื่อดังโดยมีหัวข้อข่าวว่า ‘Facebook บังคับให้ใส่หมายเลขประกันสังคมเพื่อเข้าสู่ระบบ’ ซึ่งข้อเท็จจริงในเรื่องนี้คือ ทาง Facebook ไม่ได้ต้องการข้อมูลหมายเลขประกันสังคมแต่อย่างใด หลายครั้งที่ผู้ใช้งานกดแชร์ข้อมูลโดยความไม่รู้ ซึ่งอาจก่อให้เกิดความตื่นตระหนกและความวุ่นวายในสังคมออนไลน์นั้นๆ ได้ สำหรับ Hoax นับเป็นมัลแวร์ประเภทหนึ่ง ซึ่งมีจุดประสงค์ในการสร้างความวุ่นวายหรือแตกตื่น โดยจะมีลักษณะการทำงานโดยจะสร้างข่าวลวงหรือข่าวที่ไม่มีมูลความจริง เพื่อให้ผู้ใช้งานหลงเชื่อและเกิดความตื่นตระหนก Hoax นั้นสามารถป้องกันได้เพียงแค่ผู้ใช้งานติดตามข่าวสารบ่อยๆ ก็จะทำให้ผู้ใช้งานทราบถึงความเป็นจริงของข้อมูลนั้น และไม่หลงเชื่อไปกับการทำงานของ Hoax ที่มา – Hoax Slayer, Softpedia ข่าวจาก Blognone โดย pe3z

ใครใช้รหัสผ่าน Password1 เปลี่ยนด่วน

ดูเหมือนความพยายามผลักดันให้ผู้ใช้ตั้งพาสเวิร์ดที่ยากต่อการแฮคจะไร้ผล เนื่องจากผลการศึกษาวิจัยล่าสุดบนคอมพิวเตอร์กว่า 2 ล้านเครื่องโดย Trustwave พบว่า ผู้ใช้ส่วนใหญ่ยังคงใช้าพสเวิร์ดว่า “password” และคำที่ใกล้เคียง ส่วนข้อแนะนำที่ให้ผู้ใช้ตั้งรหัสผ่านด้วยตัวอักษรตัวใหญ่ (upper-case) และตัวเลขผสมเข้าไป เพื่อให้การแฮคยากขึ้น ปรากฎว่า พาสเวิร์ดทีใช้หลักการนี้ในการตั้งก็คือ Password1 เฮ่อ… – -”  ผลการศึกษาดังกล่าวต้องการสะท้อนให้เห็นถึงปัญหาของระบบรักษาความปลอดภัยบนคอมพิวเตอร์ที่ส่วนใหญ่อยู่ที่ผู้ใช้ ไม่ว่าองค์กรธุรกิจจะมีไฟร์วอลล์กี่ตัว หรือระบบป้องกันการเจาะข้อมูลที่ฉลาดเป็นกรด แต่สุดท้ายก็ตกม้าตายด้วยพาสเวิร์ดง่ายๆ ที่เปรียบเสมือนกุญแจที่เจ้าของบ้างแขวนไว้หน้าประตู Trustwave เปิดเผยว่า จากพาสเวิร์ดบนคอมพิวเตอร์ 2.5 ล้านเครื่อง จะมีการใช้คำว่า password รวมอยู่ด้วยประมาณ 5% (ดูเหมือนน้อย แต่ความจริงมันหมายถึง 125,000 เครื่อง) ซึ่งเป็นคำที่คนทั่วไปเดาได้ไม่ยาก หรือแค่ใช้ซอฟต์แวร์ถอดพาสเวิร์ดอัตโนมัติที่ไม่ต้องเก่งนักก็ได้คำตอบแล้ว ประเด็นที่น่าตกใจยิ่งกว่าก็คือ ด้วยคอมพิวเตอร์ราคา 1,500 เหรียญฯ (ประมาณ 45,000 บาท) กับซอฟต์แวร์พิเศษแค่ตัวเดียว Trustwave สามารถเจาะพาสเวิร์ดได้มากกว่า 200,000 รหัสได้อย่างง่ายดาย ผู้เชี่ยวชาญระบบรักษาความปลอดภัยกล่าวว่า ผู้ใช้จำเป็นต้องตั้งพาสเวิร์ดที่เดายาก หรือแทบจะเดาไม่ได้เลย แต่นี่คือสิ่งที่ผู้ใช้ทราบกันมานานหลายปีแล้ว อย่างไรก็ดี ผู้เชี่ยวชาญส่วนใหญ่เริ่มผลักดันผู้ใช้ให้ใช้ระบบป้องกันแบบชีวมาตร (biometric) อย่างเช่น ลายนิ้วมือ ในการแสดงตัว เพื่อใช้สิทธิ์เข้าถึงระบบ หรือวิธีทวนสอบอื่นๆ ที่ไม่ต้องใช้ความจำของมนุษย์แทน เพื่อแก้ปัญหาข้างต้นนี้ รายงานข่าวบางแห่งยังแนะนำด้วยว่า คุณผู้อ่านเว็บไซต์ arip ที่ใช้พาสเวิร์ด Password1 ควรรีบเปลี่ยนด่วน เพราะมันเป็นรหัสผ่านที่มีการพบมากที่สุด โอกาสโดนเจาะก็จะสูงสุดไปด้วย ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์

Android มีช่องโหว่ฉกภาพได้เหมือนกัน

ไม่ใช่แค่ iPhone ของ Apple เท่านั้นที่นักพัฒนา หรือแฮคเกอร์จะสามารถพัฒนาแอพฯ ที่ใช้ช่องโหว่บน iOS เพื่ออัพโหลดภาพถ่ายทั้งหมดจาก iPhone ของคุณได้ เพราะล่าสุด ระบบปฏิบัติการ Android ของ Google ก็มีช่องโหว่ดังกล่าวด้วยเหมือนกัน…อุ๊ปส์!!! ปัญหาของช่องโหว่ที่มีการเปิดเผยออกมาล่าสุดนี้ แม้จะยังไม่มีใครยืนยันได้ว่ามันมีแอพฯตัวใดบ้างในตลาดที่ใช้ช่องโหว่นี้ แต่คุณผู้อ่านเว็บไซต์ arip ก็ไม่ควรประมาท โดยล่าสุดยังมีการตรวจพบว่า แอพฯ หลายแสนตัวทั้งบนอุปกรณ์โมบาย Android และ iOS กำลังเข้าถึงไลบรารี่ภาพในเครื่องของคุณ โดยการเข้าถึงดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้ยอมแชร์ข้อมูลเกี่ยวกับสถานที่ (location information) ของตนกับแอพฯ นั้นๆ ซึ่งจะว่าไป มันคงไม่รู้สึกดีนักที่ทราบเช่นนี้ เพราะนั่นหมายความว่า แอพฯ ที่มีอยู่หลายแสนตัว (และอาจจะอยู่ในสมาร์ทโฟน หรือ iPhone ของคุณแล้ว) กำลังเข้าถึงไฟล์ภาพในเครื่องของคุณได้ แหล่งข่าวเว็บไซต์นิวยอร์กไทมส์ที่จุดประเด็นเรื่องนี้รายงานเมื่อวันพฤหัสบดีทีผ่านมาว่า ผู้ใช้อุปกรณ์โมบายทีทำงานด้วยระบบปฏิบัติการ Android ของ Google ก็ตกอยู่ในความเสี่ยงลักษณะนีด้วยเหมือนกัน และดูเหมือนจะร้ายแรงกว่าผู้ใช้ iPhone เสียด้วยซ้ำ โดยข้อมูลจากนักพัฒนาแอพฯ ระบุว่า สำหรับแอพฯ Android ที่ใช้ช่องโหว่นี้จะไม่ต้องข้ออนุญาตในการเข้าถึงไฟล์ภาพของผู้ใช้ (ไม่ต้องโชว์ไดอะล็อกบ๊อกซ์) และตราบใดที่แอพฯ ดังกล่าวยังเชื่อมต่อเน็๖ มันจะสามารถก็อปปี้ไฟล์ภาพเหล่านั้นไปยังเซิร์ฟเวอร์บนเน็ตได้โดยผู้ใช้ไม่ทันสังเกตได้อีกด้วย อย่างไรก็ตาม แหล่งข่าวกล่าว่า ไม่สามารถระบุลงไปอย่างชัดเจนได้ว่า มีแอพฯ ตัวใดบ้างบน Android ที่กำลังใช้ช่องโหว่นี้ ทางด้าน Google เองก็ได้แสดงความคิดเห็นต่อประเด็นนี้ว่า กำลังพิจารณาเพิ่มส่วนของการร้องขออนุญาตสำหรับแอพฯ ทีต้องการเข้าถึงภาพในเครื่อง “เราออกแบบระบบไฟล์ภาพบน Android คล้ายกับแพลตฟอร์มคอมพิวเตอร์อย่าง Windows และ Mac OS แต่ตอนนี้ ไฟล์ภาพต่างๆ ถูกจัดเก็บบนการ์ดหน่วยความจำ SD ซึ่งมันทำให้ง่ายมากที่ใครก็ได้สามารถถอดการ์ด SD ออกจากอุปกรณ์โมบาย แล้วนำมันไปเปิดดูบนคอมพิวเตอร์ แต่สำหรับสมาร์ทโฟน และแท็บเล็ตที่มีสตอเรจ และหน่วยความจำในเครื่อง (ถอดออกไม่ได้) ซึ่งเป็นอีกประเด็นหนึ่งที่ Google คงต้องพิจารณาหาทางป้องกัน (การฉกรูปจากอุปกรณ์โมบาย โดยอัพโหลดไปยังเซิร์ฟเวอร์บนเน็ต ขั้นตอนทั้งหมดนี้ทำได้โดยแฮคเกอร์ไม่ต้องออกแรงถอดการ์ดหน่วยความจำเลย ทุกอย่างเกิดขึ้นได้ โดยที่ผู้ใช้ไม่ทันรู้ตัวเลยด้วยซ้ำ ทั้งหมดเพียงแค่เพิ่มคำสังเข้าไปใน app เท่านั้น) ด้วยเช่นกัน” อย่างไรก็ดี Google ยังกล่าวย้ำให้ผู้ใช้ทราบอีกด้วยว่า “เรามีนโยบายในการลบแอพฯ ที่มีการเข้าถึงข้อมูลอย่างไม่เหมาะสมออกจาก Android Market” ส่วนทางด้าน Apple ยังไม่มีการแสดงความคิดเห็นในเรื่องดังกล่าวแต่อย่างใด