Business Storage 2-Bay NAS ของ Seagate ผู้ให้บริการด้านอุปกรณ์จัดเก็บข้อมูลชั้นนำของโลก ตรวจพบเจอช่องโหว่ Zero-day ที่ช่วยให้แฮกเกอร์สามารถรันโค้ดจากระยะไกล (Remote Code Execution) ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย OJ Reeves

ไอบีเอ็มรายงานช่องโหว่ความปลอดภัยใน Dropbox SDK สำหรับแอนดรอยด์ตั้งแต่รุ่น 1.5.4 ไปจนถึงรุ่น 1.6.1 ที่เปิดให้แฮกเกอร์สามารถหลอกให้เหยื่อซิงก์ไฟล์เข้าไปยังบัญชีของแฮกเกอร์แทนที่บัญชีของผู้ใช้ที่กำลังล็อกอินได้

จากข่าวที่พบช่องโหว่ที่มีชื่อว่า “FREAK” (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle

ไม่กี่วันที่ผ่านมา ได้มีการค้นพบช่องโหว่ร้ายแรงบนอุปกรณ์ฮาร์ดแวร์ของ Cisco สำหรับ Telco และ ISP ที่อาจนำไปสู่การโจมตีแบบ DoS ได้ โดยช่องโหว่นี้ถูกค้นพบโดยการทดสอบภายในของ Cisco เอง และโชคดีที่ยังไม่มีรายงานการโจมตีบนช่องโหว่ดังกล่าว ซึ่งทาง Cisco ได้ให้รายละเอียดพร้อมแพทช์สำหรับอุดช่องโหว่บน Security Advisory เป็นที่เรียบร้อย

จากข่าวของ Lenovo พบว่ามีโปรแกรมโฆษณาที่ชื่อว่า Superfish จะถูกติดตั้งมากับโน้ตบุ๊ก Lenovo หลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด สาเหตุเพราะตัว Superfish จะทำตัวเองให้เป็นพรอกซี่คั่นกลางแบบเดียวกับ mitmproxy และกระบวนการติดตั้งจะใส่ไฟล์ CA ของ Superfish ลงไปในวินโดวส์ แต่กุญแจของ CA นี้ก็อยู่ในไฟล์ exe ของ Superfish นั่นเองเพราะตัวโปรแกรมทำหน้าที่คั่นกลางเว็บที่ผู้ใช้เปิดขึ้นมา

ค้นพบช่องโหว่สำหรับโจมตีแบบ Cross-Site Scripting (XSS) ของ Internet Explorer 11 บน Windows 7 และ 8.1 ซึ่งช่วยให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีแบบ Phishing ไปยังผู้ใช้งานอินเตอร์เน็ตได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย David Leo ตั้งแต่วันที่ 13 ตุลาคม 2014 แต่ยังไม่มีการออก Patch เพื่ออุดช่องโหว่ดังกล่าวจนถึงปัจจุบัน

ทางทีมวิจัยทางด้านความปลอดภัยของบริษัท Qualys พบช่องโหว่ buffer overflow ใน function __nss_hostname_digits_dots() ซึ่งเป็นส่วนหนึ่งของ library หลักของภาษา c ตัวหนึ่งที่ชื่อว่า glibc ใช้ชื่อช่องโหว่ว่า GHOST (CVE-2015-0235)
(ข้อมูลโดยละเอียดและวิธีตรวจสอบระบบว่ามีช่องโหว่หรือไม่ อยู่ในเอกสารแนบ : ช่องโหว่ GHOST (CVE-2015-0235).pdf)

นักวิจัยด้านความปลอดภัยจาก Core Security ค้นพบช่องโหว่ Denial of Service (DoS) ของ WIFI-Direct บน Android โดยเมื่อแฮกเกอร์สแกนหาอุปกรณ์ Wi-Fi Direct เจอ แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ DoS ทำการ Remote เข้าไปยังสมาร์ทโฟนเพื่อทำการรีบูตเครื่องของเหยื่อ

Symantec ได้ค้นพบอีเมล Phishing แบบใหม่ในสัปดาห์ที่ผ่านมาเริ่มแพร่กระจายไปยังผู้ใช้บริการ Linkedin ทั่วโลก ซึ่งในเนื้อหาอีเมลล์ระบุมาจาก Linkedin Support ต้องการให้ผู้ใช้บริการอัพเดทความปลอดภัยของบัญชีรายชื่อ แล้วแอบขโมยข้อมูลส่วนตัว พร้อมทั้งรหัสผ่านของผู้ใช้บริการไปแทน

ทีมนักวิจัยที่ Dell SecureWorks’ Counter Threat Unit (CTU) ได้ค้นพบมัลแวร์ตัวใหม่ที่สามารถหลบเลี่ยงการพิสูจน์ตัวตนบนระบบ Active Directory (AD) ที่ใช้เพียงแค่รหัสผ่านให้การตรวจสอบผู้ใช้เพียงอย่างเดียว โดยตั้งชื่อมัลแวร์ตัวนี้ว่า “Skeleton Key” หรือ กุญแจผี