News

Adobe Warns of Critical Zero-Day Flaw in Reader and Acrobat

พบช่องโหว่ร้ายแรงที่เป็น Zero-Day ใน Adobe Acrobat และ Adobe Rader โดยจะทำให้ผู้ไม่หวังดีสามารถรันคำสั่งอันตรายบนเครื่องของเหยื่อได้ ซึ่งมีการโจมตีโดยใช้ช่องโหว่นี้เกิดขึ้นแล้ว

ช่องโหว่นี้พบใน Adobe Reader X (10.1.1) และ Adobe Acrobat X (10.1.1) สำหรับระบบปฏิบัติการวินโดวส์และแมคอินทอชรวมถึงเวอร์ชั่นก่อนหน้า Adobe Reader 9.4.6 และ Adobe Reader 9.x สำหรับระบบปฏิบัติการยูนิกซ์ แต่เนื่องจาก Adobe Reader X มีการป้องกันไว้ด้วยเทคโนโลยีที่เรียกว่า sandbox จึงรอดพ้นจากการโจมตีช่องโหว่นี้ไปได้

ทาง Adobe จะทำการออกแพทช์สำหรับ Adobe Reader 9.x และ Adobe Acrobat 9.x สำหรับระบบปฏิบัติการวินโดวส์ในสัปดาห์หน้า และจะทำการออกแพทช์สำหรับเวอร์ชั่นอื่นๆจะออกตามมาในรอบการอัพเดทถัดไป ซึ่งทาง Adobe ให้เหตุผลที่รีบออกแพทช์สำหรับระบบปฏิบัติการวินโดวส์ก่อนว่า โดยส่วนใหญ่แล้ววินโดวส์เป็นระบบปฏิบัติการที่เป็นเป้าหมายของแฮ้กเกอร์เป็นอันดับแรกเนื่องจากมีผู้ใช้งานเป็นจำนวนมากนั่นเอง

ที่มา: threatpost

XSS Vulnerability On Twitter Found by 15 Years Old Expert

Belmin Vehabovic เด็กชายผู้ซึ่งเป็น Ethical Hacker ด้วยวัยเพียง 15 ปี พบช่องโหว่ XSS บน Twitter ซึ่งเขาได้แจ้ง Report ไปยัง Twitter พร้อมกับโพสช่องโหว่ดังกล่าวบน Twitter ของเขา ปัจจุบันช่องโหว่ดังกล่าวได้ถูกแก้ไขแล้ว

นอกจากนั้นเขายังพบช่องโหว่บน Facebook และ Paypal โดย Tweet บนหน้า Twitter ของเขา และยังได้รับเงิน 700 USD จาก Facebook ตอบแทนการพบช่องโหว่บน Facebook อีกด้วย

ที่มา: thehackernews

Android Bloatware, Another Serious Android Privacy Issue

ทีมนักวิจัยจากมหาวิทยาลัยนอร์ทแคโรไลน่าสเตทพบช่องโหว่ด้านความปลอดภัยจากสมาร์ทโฟนที่เป็น Android โดยให้ทีมแฮ้คเกอร์ที่เป็น Black Hat ทดสอบโจมตีช่องโหว่ต่างๆ ซึ่งผลที่ได้สามารถเข้าถึงข้อมูลการใช้โทรศัพท์, ลบข้อมูลในโทรศัพท์, โทรศัพท์หรือส่งข้อความไปยังหมายเลขที่มีค่าบริการสูง, อ่านข้อความส่วนตัวและอีเมล รวมไปถึงลบสิทธิ์ของเจ้าของสมาร์ทโฟนนั้นๆออกไปได้

โดยสามารถดูรายละเอียดเพิ่มเติมและคลิปการทดสอบได้จากลิงค์ที่มาได้ครับ

ที่มา: thehackernews

Phishing scam threatens to delete Facebook accounts in 24 hours

มีการส่งอีเมลปลอมถึงผู้ใช้งาน Facebook ในอเมริกาว่าแอคเคาท์ของผู้ใช้มีการใช้งานที่ละเมิด Policies โดยการทำให้ผู้อื่นรำคาญหรือสบประมาทผู้อื่น ซึ่งจะมีการแจ้งเตือนในลักษณะนี้จนกว่าระบบจะทำการระงับการใช้งานแอคเคาท์ของผู้ใช้ภายใน 24 ชั่วโมงถ้าไม่ทำการตอบกลับ

ถ้าผู้ใช้ทำการกรอกข้อมูลส่วนตัว ข้อมูลทางการเงิน ซึ่งรวมถึงข้อมูลบัตรเครดิตของผู้ใช้และตอบอีเมลกลับไป แฮ้กเกอร์จะสามารใช้ข้อมูลเหล่านี้ในการขโมยแอคเคาท์ของผู้ใช้และทำการเปลี่ยนพาสเวิด Facebook และอีเมล Facebook ของผู้ใช้ได้ นั่นหมายความว่าแอคเคาท์ของผู้ใช้ถูกยึดโดยสมบูรณ์นั่นเอง

ที่มา: nakedsecurity.

Backdoor Trojan pushed via versatile Facebook campaign

พบการแพร่กระจายโทรจัน Backdoor ใน Facebook ซึ่งเป็นโทรจันที่เป็น Keylogger แพร่กระจายโดยการใช้ข้อความที่เป็น Scam ในลักษณะล่อลวงเหยื่อให้คลิกลิงค์ที่แนบมา โดยลิงค์ดังกล่าวเป็นหน้าปลอมซึ่งทำเหมือน Youtube และบังคับให้ดาวน์โหลดไฟล์ “Video Embed ActiveX Object” เวอร์ชั่นใหม่เพื่อให้สามารถเล่นไฟล์วีดีโอได้ แต่ทว่าไฟล์ setup.

Why WAF?

Over the past decade or so, the Web has simplified our hectic social and working lives to a staggering degree. The possibilities of the Web seem limitless, and even the process of arranging a dinner with a friend has been revolutionized. We can easily search for a great restaurant on review sites, find directions on Google Maps and can even make appointments with friends through social networking sites, and not make a phone call as we may have in the past.