Google collects Android users’ locations even when location services are disabled

กูเกิลเก็บข้อมูลที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์แม้ฟีเจอร์เก็บข้อมูลจะถูกปิด

Quartz ได้มีการเปิดเผยรายงานสำคัญซึ่งระบุว่ากูเกิลมีการเก็บข้อมูลที่เป็นที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์ (location) ซึ่งข้อมูลดังกล่าวจะถูกส่งกลับไปยังกูเกิลทันทีเมื่ออุปกรณ์มีการต่ออินเตอร์เน็ตแม้ว่าอุปกรณ์ที่ใช้งานดังกล่าวจะถูกปิดฟีเจอร์ Location Service ไม่มีการใช้งานแอปใดๆ หรือแม้กระทั่งไม่มีการใส่ซิมการ์ด

Quartz ระบุว่าข้อมูลเกี่ยวกับที่อยู่ปัจจุบันของผู้ใช้งานมีการเริ่มต้นเก็บและส่งกลับไปให้ทางกูเกิลตั้งแต่ต้นปี 2017 โดยวิธีการหนึ่งที่กูเกิลใช้ในการหาที่อยู่ปัจจุบันของผู้ใช้งานแม้ว่าผู้ใช้งานจะปิดฟีเจอร์ Location Service ไปแล้วนั้นคือการอาศัยการเก็บข้อมูลจากเสาส่งสัญญาณที่อยู่บริเวณนั้นจนระบุพิกัดของผู้ใช้งานได้

ทางกูเกิลได้ออกมายืนยันกับ Quartz ว่าการเก็บข้อมูลดังกล่าวเกิดขึ้นจริง โดยยืนยันว่าการเก็บข้อมูลดังกล่าวนั้นถูกนำไปใช้เพื่อช่วยพัฒนาประสิทธิภาพของผลิตภัรฑ์ ไม่มีการนำข้อมูลออกจากเครือข่ายหรือใช้ร่วมกับบริการอื่นโดยที่ไม่แจ้งผู้ใช้ล่วงหน้า กูเกิลยังระบุว่าการเก็บข้อมูลดังกล่าวจะถูกหยุดและจะไม่มีการส่งข้อมูลใดๆ มาอีกหลังจากปลายเดือนนี้

ที่มา : QUARTZY

MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware

เผยเทคนิคใหม่ข้ามผ่านการบล็อคมาโครสคริปต์เพื่อแพร่กระจายมัลแวร์ ทำได้กับ Micosoft Office ทุกเวอร์ชัน

นักวิจัยด้านความปลอดภัยชาวอิตาลี Lino Antonio Buono จากบริษัท InTheCyber ได้เปิดเผยเทคนิคใหม่ที่อาจช่วยให้มัลแวร์สามารถแพร่กระจายตัวเองภายใต้การทำงานของมาโครสคริปต์ได้แม้ว่า Microsoft Office จะบล็อคการรันสคริปต์เป็นค่าเริ่มต้น โดยเทคนิคใหม่นี้อาศัยการแก้ไขการตั้งค่าเพียงเล็กน้อยและสามารถใช้งานได้กับ Microsoft Office ในทุกๆ เวอร์ชัน

โดยปกตินั้น Microsoft Office จะมีการตั้งค่า "Trust access to the VBA project object model" ซึ่งช่วยนักพัฒนาในการพัฒนามาโครสคริปต์ หากมีการกำหนดการตั้งค่านี้ให้ทำงาน การรันโค้ดหรือมาโครสคริปต์ (ที่เป็นอันตราย) จากเอกสารจะไม่ถูกบล็อคหรือมีการแจ้งเตือนใดๆ แสดงให้ผู้ใช้งานเห็น

Buono กล่าวว่าปัญหาของการตั้งค่านี้คือมันสามารถแก้ไขการตั้งค่าได้อย่างอิสระโดยไม่ต้องอาศัยสิทธิ์ของผู้ดูแลระบบหรือสิทธิ์ที่สูงมากนักผ่านทางการแก้ไขค่าในรีจิสทรี ซึ่งหมายความว่าแม้ว่า Microsoft Office จะไม่มีการเปิดการตั้งค่านี้มาตั้งแต่ต้น แต่เพียงแค่รันสคริปต์เพื่อแก้ไขการตั้งค่ารีจิสทรีในจุดดังกล่าวแล้ว การรันโค้ดหรือมาโครสคริปต์ที่เป็นอันตรายต่อจากนั้นจะไม่ถูกบล็อคหรือมีการแจ้งเตือนใดๆ ทันที

ในขณะนี้มีการตรวจพบมัลแวร์ที่มีการใช้เทคนิคนี้แล้วคือมัลแวร์เรียกค่าไถ่ qkG ทีแพร่กระจายผ่านทางมาโครสคริปต์ข้างในไฟล์เอกสารที่มากับอีเมลสแปม

ทาง Buono ได้แจ้งการค้นพบที่เกิดขึ้นแก่ไมโครซอฟต์ อย่างไรก็ตามทางไมโครซอฟต์ปฏิเสธที่จะมองการใช้ฟังก์ชันนี้เป็นช่องโหว่ด้านความปลอดภัย จึงทำให้ไม่มีการแก้ไขใดๆ เกิดขึ้น

สำหรับคำแนะนำที่เหมาะสมในตอนนี้คือการควบคุมตั้งแต่ระดับผู้ใช้งานให้ไม่ดาวโหลดหรือเปิดไฟล์ที่ต้องสงสัยหรือน่าจะเป็นอันตราย ซึ่งน่าจะมีประสิทธิภาพในการป้องกันภัยคุกคามได้ดีที่สุด

ที่มา : Thehackernews

systemd Vulnerability Leads to Denial of Service on Linux

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

Exim-ergency! Unix mailer has RCE, DoS vulnerabilities

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister

Windows 8 and later fail to properly randomize every application if system-wide mandatory ASLR is enabled via EMET or Windows Defender Exploit Guard

CERT/CC ออกประกาศได้ความปลอดภัย VU#817544 เมื่ออาทิตย์ที่ผ่านมาหลังจากมีการค้นพบข้อผิดพลาดใน Windows 8 หรือใหม่กว่าซึ่งเป็นผลการทำงานของฟังก์ชันด้านความปลอดภัยหนึ่งไม่สมบูรณ์ และอาจส่งผลต่อความปลอดภัยของระบบในภาพรวมได้

ฟังก์ชันหรือฟีเจอร์ด้านความปลอดภัยนี้มีชื่อว่า ASLR ซึ่งเริ่มใช้งานตั้งแต่ Windows Vista เป็นต้นมา ฟังก์ชันนี้ช่วยป้องกันการโจมตีแบบ code-reuse หรือที่รู้จักกันในชื่อ Return-oriented programming (ROP) ได้โดยการทำให้โมดูลหรือไลบรารีที่ถูกโหลดขึ้นมานั้นอยู่ในตำแหน่งแบบสุ่มแทนที่จะอยู่ในตำแหน่งที่คาดเดาได้จากผู้โจมตี

ตั้งแต่ Windows 8 เป็นต้นมา โปรแกรม EMET (หรือ Windows Defender Exploit Guard) เข้ามามีส่วนสำคัญในการอิมพลีเมนต์ ASLR ให้กับแอปพลิเคชันอื่นๆ อย่างไรก็ตามมีการค้นพบการอิมพลีเมนต์ ASLR โดยโปรแกรม EMET หรือ Windows Defender Exploit Guard ไม่สมบูรณ์และอาจทำให้โปรแกรมไม่ได้ถูกปกป้องโดย ASLR อย่างที่ผู้ใช้งานคาดหวังได้

Recommendation สำหรับวิธีการแก้ปัญหาในเบื้องต้น (workaround) นั้น ผู้ใช้งานสามารถดำเนินแก้ไขข้อผิดพลาดนี้ได้โดยการแก้ไขค่ารีจิสทรีตามข้อมูลจากแหล่งที่มา อย่างไรก็ตามเราแนะนำให้ผู้ใช้งานและผู้ดูแลระบบคอยตรวจสอบวิธีการในการแก้ไขปัญหาอย่างเป็นทางการจากทางไมโครซอฟต์อีกครั้ง

ที่มา : KB.Cert

Samba needs two patches, unless you’re happy for SMB servers to dance for evildoers

แจ้งเตือนช่องโหว่ร้ายแรงบน Samba กระทบ SMB บนลินุกซ์หลายดิสโทร

ลินุกซ์หลายดิสโทร อาทิ Red Hat, Ubuntu, Debian และอื่นๆ ได้มีการปล่อยแพตช์ช่องโหว่ use-after-free ซึ่งมีผลกระทบซอฟต์แวร์ SAMBA ตั้งแต่เวอร์ชัน 4.0 เป็นต้นมา (และมีอีกช่องโหว่ที่กระทบตั้งแต่ 3.6.0) โดยอาจส่งผลให้เกิดการรั่วไหลของข้อมูลที่อยู่ในหน่วยความจำได้

ในการโจมตีผู้โจมตีจะต้องอาศัยเพียงการส่งแพ็คเกตบนโปรโตคอล SMBv1 ไปที่ซอฟต์แวร์ที่มีช่องโหว่ แม้ว่าการปิดการใช้งาน SMBv1 อาจช่วยได้ส่วนหนึ่ง แต่ก็มีผลิตภัณฑ์อีกหลายรายการที่ซัพพอร์ตเพียงแค่ SMBv1

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบและดาวโหลดแพตช์ได้จากลิงค์ต่อไปนี้
http://www.

IBM Security Bulletin: Vulnerability in OpenSSH affects AIX (CVE-2017-15906)

OpenSSH มีช่องโหว่ Denial of Service ซึ่งเกิดจากข้อผิดพลาดในฟังก์ชัน process_open () เมื่ออยู่ในโหมด read-only ผู้โจมตีจากระยะไกลที่สามารถ Authenticate ตนเองได้แล้ว จะสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างไฟล์ที่เป็น zero-length และทำให้เกิด Denial of Service ได้ ช่องโหว่นี้ได้รับรหัส CVE-2017-15906 มีคะแนน CVSS 6.5 ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ ได้แก่ IBM i 7.1, 7.2 และ 7.3

ผู้ใช้สามารถแก้ไขปัญหาได้โดยใช้ PTF กับ IBM i โดยมีหมายเลข IBM i PTF คือ:
รุ่น 7.1 - SI66253
รุ่น 7.2 & 7.3 - SI66254

ทาง IBM แนะนำให้ผู้ใช้ทุกรายที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบหรือใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้ว ทำการอัพเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุน และเวอร์ชั่นใหม่ที่ได้รับการแก้ไขแล้ว

ที่มา: IBM

Lenovo Security Advisory: LEN-17420 WPA2 Protocol Vulnerabilities

Lenovo ได้สรุปรายการอุปกรณ์ของตนเองที่ได้รับผลกระทบ และไม่ได้รับผลกระทบจากช่องโหว่ WPA2 (LEN-17420) หรือที่รู้จักกันในชื่อ "KRACK" นอกจากนี้ได้แนะนำเกี่ยวกับการใช้งาน Wi-Fi สาธารณะ ต้องคำนึงอยู่เสมอว่า Wi-Fi ที่ใช้อยู่นั้นอาจจะไม่ปลอดภัย เนื่องจากหากจะให้ปลอดภัยจากช่องโหวนี้จำเป็นจะต้องได้รับการ Patch ทั้งฝั่งที่เป็น Endpoint และ Access Point วิธีการป้องกันตัวเองที่ดีที่สุด คือ การใช้ VPN, HTTPS, SSH หรือวิธีการอื่นๆที่ต้องมีการ Verify ที่เครื่อง Endpoint หรือมีการเข้ารหัสข้อมูลที่ถูกส่ง

สามารถตรวจสอบอุปกรณ์ต่างๆ ได้ตามรายละเอียดใน link ที่มาด้านล่าง

ที่มา: Lenovo

Wp-Vcd WordPress Malware Campaign Is Back

มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.

Malaysian Police Identifies Suspects Behind Massive 46.2 Million Data Breach

ทางการมาเลเซียประกาศว่ามีการละเมิดข้อมูลจำนวนมากเมื่อเดือนปลายเดือนตุลาคมที่ผ่านมา ทำให้ข้อมูลส่วนบุคคลของชาวมาเลเซีย 46.2 ล้านรายถูกนำไปขายในตลาดมืด และหลังจากที่มีการเผยแพร่เรื่องนี้ออกไป ข้อมูลเหล่านี้ต่างเป็นที่ต้องการของแฮกเกอร์อย่างมากและถูกแพร่กระจายไปอย่างรวดเร็วในฟอรั่มใต้ดิน
ข้อมูลที่ถูกขโมยไปคือข้อมูลของผู้ใช้งานโทรศัพท์จากผู้ให้บริการโทรศัพท์เกือบทั้งหมดของมาเลเซียรวมแล้ว 46.2 ล้านเลขหมาย ได้แก่ Altel, Celcom, DiGi, Enabling Asia, Friendimobile, Maxis, MerchantTradeAsia, PLDT, RedTone, TuneTalk, Umobile และ XOX โดยข้อมูลที่รั่วไหลออกไปประกอบด้วย หมายเลขโทรศัพท์ และชื่อผู้ใช้งาน, หมายเลขบัตรประชาชน, ที่อยู่, IMSI, IMEI, และหมายเลข SIM ข้อมูลที่รั่วไหลออกมายังรวมถึงข้อมูลส่วนบุคคลกว่า 80,000 ราย จากสภาการแพทย์ของมาเลเซีย, สมาคมแพทย์แห่งมาเลเซีย และสมาคมทันตกรรมแห่งมาเลเซีย ซึ่งน่าจะเป็นข้อมูลตั้งแต่เดือนกรกฎาคม 2014
ทั้งนี้ตำรวจเชื่อว่าพนักงานของบริษัทน่าจะมีส่วนเกี่ยวข้องกับการขโมยข้อมูล อย่างไรก็ตามกรมคุ้มครองข้อมูลส่วนบุคคล (JPDP) ได้เข้าแทรกแซงและบล็อกเว็บไซต์ที่ถูกจัดตั้งโดยนักวิจัยด้านความปลอดภัยของมาเลเซีย(Keith Rozaria) ซึ่งได้เปิดให้เหยื่อตรวจสอบข้อมูลที่รั่วไหลของตนเอง (SayaKenaHack.