Bitly บริการย่อ URL ชื่อดัง ออกมาประกาศว่าถูกแฮก แต่ยังไม่ทราบรายละเอียดว่ามีข้อมูลของผู้ใช้รั่วไหลออกไปด้วยหรือไม่
Mark Josephson posted จึงใช้มาตรการความปลอดภัยเบื้องต้นคือ ถอดการเชื่อมต่อบัญชีผู้ใช้กับ Facebook/Twitter ทั้งหมด ซึ่งผู้ใช้สามารถเชื่อมกลับคืนได้
นอกจากนี้ Bitly ยังขอให้ผู้ใช้ทุกคนรีเซ็ตรหัสผ่าน และถ้าใช้ API key หรือ OAuth token เชื่อมต่อกับบริการอื่น ก็ขอให้เปลี่ยนไปใช้ key/token ตัวใหม่
ที่มา : THE Wire
หลังจาก Microsoft เปิดตัวระบบซอฟต์แวร์ผู้ช่วยไฮเทค "Cortana" ที่จะช่วยให้ผู้ใช้สมาร์ทโฟนบนระบบปฏิบัติการวินโดวส์โฟน 8.1 (Windows Phone 8.1) สามารถส่งเสียงคุยโต้ตอบกับอุปกรณ์ตัวเองได้สะดวกในระหว่างขับรถหรือในสถานการณ์ที่ไม่สะดวกในการเอื้อมมือไปสัมผัสหน้าจอ
ล่าสุดกลุ่มแฮกเกอร์ได้ทำการทดลองนำเอาความฉลาดของซอฟต์แวร์ดังกล่าวมาประยุกต์ใช้กับระบบควบคุมอุปกรณ์ไฟฟ้าเพื่อสาธิตว่า Cortana สามารถใช้ควบคุมระบบบ้านอัจฉริยะได้เช่นกัน ซึ่งการทดลองนี่เป็นฝีมือของแฮกเกอร์จาก Onion.
Marcus Meissner ได้ค้นพบบั๊กที่ส่งผลให้ผู้ใช้งานสามารถทำการ DoS และขโมยสิทธิ์ของผู้ดูแลระบบในระบบปฏิบัติการบนพื้นฐานของลินุกซ์เคอร์เนลได้ โดยเชื่อกันว่านี่นับเป็นอีกหนึ่งช่องโหว่ที่อยู่ในระดับอันตรายนับตั้งแต่ช่องโหว่ perf_events (CVE-2013-2049) เป็นต้นมาช่องโหว่ CVE-2014-0196 เกิดจากปัญหาของฟังก์ชัน n_tty_write ที่ใช้ในการควบคุมการทำงานของ pty เมื่อโปรเซสหรือเธรดตั้งแต่สองตัวขึ้นไปทำการเขียนลงใน pty เดียวกันจะทำให้เกิดการเขียนทับของข้อมูลและล้นไปยังบัฟเฟอร์ที่อยู่ใกล้เคียง ช่องโหว่นี้ส่งผลกระทบตั้งแต่เคอร์เนลในรุ่น 2.6.31-rc3 ที่ถูกปล่อยในปี 2009
ในขณะนี้ทางกลุ่มผู้ดูแลเคอร์เนลได้มีการแก้ไขปัญหานี้แล้ว พร้อมๆ กับแพตซ์ในส่วนของกลุ่ม Ubuntu สำหรับฝั่งของ RHEL นั้นได้รับการยืนยันว่า RHEL5 ไม่พบช่องโหว่นี้ และแพตซ์สำหรับ RHEL6 รวมไปถึง Red Hat Enterprise MRG 2 กำลังจะมาเร็วๆ นี้
ที่มา : ars technica
บริษัท Orange เป็นผู้ให้บริการทางด้านโทรศัพท์มือถือของประเทศฝรั่งเศส ถูกแฮกข้อมูลไป เมื่อช่วงกลางเดือนเมษายน 2557 ถือว่าเป็นครั้งที่ 2 ในรอบปี 2557 มีลูกค้าที่ได้รับผลกระทบมากว่า 1.3 ล้านคน
จากข่าวรายงานว่า แฮกเกอร์ทำการเข้าถึง platform ของผู้ใช้งาน Orange จนทำให้ข้อมูลผู้ใช้ต่างๆ เช่น ชื่อ อีเมล เบอร์โทรศัพท์ วันเดือนปีเกิด ฯลฯ ส่วนข้อมูลทางด้านการเงินไม่ได้รับผลกระทบใดๆ ความเสี่ยงจากการแฮกครั้งนี้อาจทำให้แฮกเกอร์ โจมตีในรูปแบบ ฟิชชิ่ง ได้
ปัจจุบันทาง Orange ก็ได้ส่งอีเมลไปยังลูกค้าที่ได้รับผลกระทบทั้งหมดเพื่อให้ลูกค้าตอบกลับหากต้องการขอความช่วยเหลือจากทาง Orange
ที่มา : ehackingnews
นักเรียนอายุ 18 ปี ของโรงเรียนมัธยมไมอามี่ถูกจับกุม หลังจากที่เขาถูกกล่าวหาว่าลักลอบเข้าฐานข้อมูลของโรงเรียนไมอามี่เดด เพื่อแก้ไขเกรดของเขาและผลการเรียนของนักเรียนคนอื่นๆ อีก 4 คน
Jose Bautista ถูกตั้งข้อหาหลายข้อหารวมถึงการกระทำผิดกฎหมายทรัพย์สินทางปัญญาและความผิดของผู้ใช้คอมพิวเตอร์ แต่หลังจากนั้นเขาได้รับการปล่อยตัวและถูกตัดสินให้กักบริเวณและสวมอุปกรณ์ติดตาม
ที่มา : ehackingnews
นักเรียนอายุ 18 ปี ของโรงเรียนมัธยมไมอามี่ถูกจับกุม หลังจากที่เขาถูกกล่าวหาว่าลักลอบเข้าฐานข้อมูลของโรงเรียนไมอามี่เดด เพื่อแก้ไขเกรดของเขาและผลการเรียนของนักเรียนคนอื่นๆ อีก 4 คน
Jose Bautista ถูกตั้งข้อหาหลายข้อหารวมถึงการกระทำผิดกฎหมายทรัพย์สินทางปัญญาและความผิดของผู้ใช้คอมพิวเตอร์ แต่หลังจากนั้นเขาได้รับการปล่อยตัวและถูกตัดสินให้กักบริเวณและสวมอุปกรณ์ติดตาม
ที่มา : ehackingnews
Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก
Jing เรียกช่องโหว่นี้ว่า "Covert Redirect" เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูกใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจากเว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้)
ทางแก้ไขช่องโหว่นี้คือ เว็บไซต์ที่เปิดให้ล็อกอินผ่าน OAuth/OpenID เช่น Facebook, Google, LinkedIn จะต้องเพิ่มมาตรการตรวจสอบเว็บไซต์ปลายทางด้วยวิธีการ white-list ซึ่งตอนนี้เว็บไซต์ชื่อดังหลายแห่งก็ได้รับข้อมูลช่องโหว่โดยละเอียดจาก Jing แล้ว และกำลังสอบสวนหรือหามาตรการแก้ไขอยู่ เช่น LinkedIn ประกาศให้เว็บปลายทางที่อยากล็อกอินผ่านตัวเองต้องลงทะเบียนใน white-list เสมอ
Jing ไม่ได้เผยข้อมูลรายละเอียดของช่องโหว่นี้ต่อสาธารณะ แต่ผู้เชี่ยวชาญความปลอดภัยหลายๆ คนเห็นรายละเอียดแล้วก็ลงความเห็นว่าเป็นช่องโหว่จริงๆ ที่ส่งผลกระทบในวงกว้าง แม้จะไม่เท่ากับปัญหา Heart bleed ก็ตาม
ที่มา : cnet
เมื่อวันจันทร์ที่ผ่านมา Adobe และ Microsoft ได้ส่งแพตช์ออกมาแก้ไขช่องโหว่ zero-day (กรณีฉุกเฉิน) ใน Flash Player ที่ถูกใช้ในการกำหนดเป้าหมายผู้ใช้ Windows แต่เป็นคนละตัวกับช่องโหว่ Internet Explorer ที่รายงานออกมาเมื่อวันก่อน โดยตัวปรับปรุงจะใช้ได้กับ Flash ทั้งบน Windows, Mac และ Linux แม้ว่าจะมีเพียงระบบปฏิบัติการ Windows เท่านั้นที่ได้รับผลกระทบ โดยช่องโหว่ดังกล่าว ถูกใช้ในการโจมตีแบบ 'watering hole' นั่นคือ มีเป้าหมายเป็นผู้ใช้งานที่เฉพาะกลุ่ม ซึ่งได้เข้าเยี่ยมชมเว็บไซต์ที่เป็นอันตราย
นักวิจัยจาก Kaspersky เป็นผู้ค้นพบช่องโหว่ดังกล่าว ซึ่งเขาได้รายงานว่า ในกรณีนี้มีการโจมตีโดยใช้ส่วนประกอบที่ออกแบบมาในการประมวลผลวีดีโอและภาพ โดยกำหนดเป้าหมายผู้คัดค้านซีเรีย ซึ่งจะมีการใช้โค้ด CVE-2014-0515 ที่มีความคล้ายคลึงกันมากกับ CVE-2014-1776 ที่พบในช่องโหว่ IE zero-day ล่าสุด แต่เป็นคนละตัวกัน
ทางทีมงานได้แนะนำให้ผู้ใช้ทำการอัพเดท Flash ใหม่ในทันที โดยผู้ใช้ Internet Explorer ที่มาพร้อมกับ Flash ภายใน จะได้รับการอัพเดทอัตโนมัติ
ที่มา : cnet
ทีมนักวิจัยจาก FireEye ได้ค้นพบช่องโหว่ใหม่ของ IE ในรหัส CVE-2014-1776 ซึ่งส่งผลกระทบในทุกๆ เวอร์ชั่นของ IE โดยช่องโหว่นี้สามารถทำให้แฮกเกอร์โจมตีผู้ใช้โดยการสั่งรันคำสั่งอันตรายได้จากระยะไกล (remote code execution)
เป็นช่องโหว่ที่เกิดขึ้นเมื่อ IE ทำการเข้าถึงพื้นที่หรือออบเจ็กต์ในหน่วยความจำที่ไม่มีอยู่จริง (use-after-free) ซึ่งเกิดขึ้นได้จากการถูก free ไปแล้ว ทำให้เกิดเป็นพื้นที่หน่วยความจำว่างๆ หลังจากนั้นอาจมีการใช้ช่องโหว่ของแฟลชในการเข้าถึงหน่วยความจำและข้ามผ่านการทำงานของฟังก์ชัน DEP และ ASLR การโจมตีจะสำเร็จได้ขึ้นอยู่กับสองปัจจัยคือแฮกเกอร์สามารถรันคำสั่งได้ รวมไปถึงมีการใช้ vector markup language (VML) และแฟลชอยู่
ที่มา : ehackingnews
นักวิจัยจาก Kaspersky Lab ได้ค้นพบช่องโหว่บน Flash Player ซึ่งช่องโหว่นี้อยู่ในส่วน Pixel Blender ที่ออกแบบมาในการประมวลผลภาพและวิดีโอ โดยผู้บุกรุกสามารถใช้ช่องโหว่นี้เข้าควบคุมเครื่องระยะไกลได้
ช่องโหว่นี้จะมีผลกระทบกับผู้ใช้ Flash Player บน Mac เวอร์ชั่น 13.0.0.201 และเวอร์ชั่นที่ต่ำกว่า, บน Windows เวอร์ชั่น 13.0.0.182 และเวอร์ชั่นที่ต่ำกว่า, บน Linux เวอร์ชั่น 11.2.202.350 และเวอร์ชั่นที่ต่ำกว่า
สำหรับผู้ที่อยู่ในกลุ่มเสี่ยง Adobe แนะนำให้อัพเดตทันที โดยผู้ใช้ Chrome/IE11/Windows/Mac จะได้อัพเดตเวอร์ชั่น 13.0.0.206 (Chrome และ IE11 อัพเดตอัตโนมัติ) และผู้ใช้ Linux จะได้อัพเดตเวอร์ชั่น 11.2.202.356
นักวิจัยจาก Kaspersky Lab ได้ค้นพบช่องโหว่บน Flash Player ซึ่งช่องโหว่นี้อยู่ในส่วน Pixel Blender ที่ออกแบบมาในการประมวลผลภาพและวิดีโอ โดยผู้บุกรุกสามารถใช้ช่องโหว่นี้เข้าควบคุมเครื่องระยะไกลได้
ช่องโหว่นี้จะมีผลกระทบกับผู้ใช้ Flash Player บน Mac เวอร์ชั่น 13.0.0.201 และเวอร์ชั่นที่ต่ำกว่า, บน Windows เวอร์ชั่น 13.0.0.182 และเวอร์ชั่นที่ต่ำกว่า, บน Linux เวอร์ชั่น 11.2.202.350 และเวอร์ชั่นที่ต่ำกว่า
สำหรับผู้ที่อยู่ในกลุ่มเสี่ยง Adobe แนะนำให้อัพเดตทันที โดยผู้ใช้ Chrome/IE11/Windows/Mac จะได้อัพเดตเวอร์ชั่น 13.0.0.206 (Chrome และ IE11 อัพเดตอัตโนมัติ) และผู้ใช้ Linux จะได้อัพเดตเวอร์ชั่น 11.2.202.356
ที่มา : appleinsider