มีการค้นพบการโจมตีด้วย CSS ส่งผลให้ระบบปฏิบัติการ iOS ทำการ restart หรือ respring (การเรียกใช้งานหน้าจอ Home ของ iPhone ใหม่อีกรอบ) และระบบปฏิบัติการ macOS ค้าง เพียงแค่เข้าไปชมเว็บไซต์ที่มี CSS และ HTML ที่เป็นอันตราย ผู้ใช้ Windows และ Linux ไม่ได้รับผลกระทบจากปัญหานี้

การโจมตีนี้ค้นพบโดย Sabri Haddouche นักวิจัยด้านความปลอดภัยของ Wire การโจมตีใช้จุดอ่อนในคุณสมบัติ webkit-backdrop- filter CSS การโจมตีนี้มีผลกับเบราว์เซอร์ทั้งหมดบน iOS เช่นเดียวกับ Safari และ Mail ใน macOS เพราะทั้งหมดใช้เครื่องมือการแสดงผล WebKit จากการทดสอบพบว่าหากเป็น iOS 12 อุปกรณ์จะทำการ reboot แต่ใน iOS 11.4.1 จะเกิดเพียงแค่การ respring และสำหรับ macOS การโจมตีจะทำให้เมล์และซาฟารีหยุดทำงานเป็นเวลาสองวินาทีและทำให้คอมพิวเตอร์ทำงานช้าลง

ทั้งนี้นักวิจัยได้มีการโพสต์ CSS และ HTML ที่ใช้ทดสอบดังกล่าวไว้ในหน้า GitHub ของเขา โดยผู้ที่สนใจจะต้องใช้ความระมัดระวังอย่างสูงในการทดสอบ เนื่องจากหากเผลอคลิกลิงค์ จะส่งผลทำให้ iOS เกิดปัญหาขึ้นหรือทำให้เกิดปัญหากับ Mac อย่างรวดเร็ว

ที่มา:bleepingcomputer

OpenSSL project ได้เปิดตัว OpenSSL 1.1.1 ซึ่งเป็นไลบรารีการเข้ารหัส ที่ได้รับความนิยมมากที่สุดที่เข้ารหัสผ่านโปรโตคอล TLS (Transport Layer Security) และ Secure Sockets Layer (SSL)

การเปิดตัว OpenSSL 1.1.1 ที่สำคัญที่สุดคือการสนับสนุนโปรโตคอล TLS 1.3 ใหม่ที่เปิดตัวออกมาเมื่อเดือนมีนาคม ส่งผลให้ลดการใช้งานอัลกอริทึมการเข้ารหัสลับที่เก่าหรือไม่ปลอดภัย และขยายการสนับสนุน Long-Term Support (LTS) สำหรับอัลกอริทึมที่ใหม่กว่า ซึ่งจะได้รับการแก้ไขข้อบกพร่องและการอัปเดตด้านความปลอดภัยสำหรับปีต่อ ๆ ไป

OpenSSL 1.1.1 จะรองรับอัลกอริทึมการเข้ารหัสลับแบบใหม่ 11 แบบ เช่น SHA3, SHA512/224, SHA512/256, EdDSA (Ed25519 และ Ed448), X448, Multi-Prime RSA, SM2, SM3, SM4, SipHash และ ARIA พร้อมทั้งมีการปรับปรุง Random Number Generator (RNG) ที่ถือว่าเป็นส่วนประกอบสำคัญสำหรับไลบรารีทั้งหมดเนื่องจากอัลกอริธึมการเข้ารหัสทั้งหมดขึ้นอยู่กับตัวเลขแบบสุ่มนี้ นอกจากนี้ยังสนับสนุนการปรับปรุงความปลอดภัยสำหรับการป้องกันการโจมตี side-channel attacks

OpenSSL เวอร์ชัน 1.0.2 จะได้รับการแก้ไขข้อบกพร่องจนถึงสิ้นปี 2018 และการแก้ปัญหาด้านความปลอดภัยจนถึงสิ้นปี 2019 OpenSSL 1.1.0 จะได้รับการแก้ไขปัญหาด้านความปลอดภัยจนถึงเดือนกันยายน 2019 อีกหนึ่งปีต่อจากนี้

ที่มา:zdnet

การหลอกลวงโดยการแอบอ้างเป็นบุคคลอื่นทางอีเมลหรือที่เรียกว่า Business Compromise Email (BEC) มีจำนวนเพิ่มขึ้น 58% ในปีนี้และมีแนวโน้มเพิ่มขึ้นเรื่อยๆ เนื่องจากแฮกเกอร์สามารถเข้าถึงบัญชีอีเมลทางธุรกิจได้ง่าย และใช้มันในการปลอมเป็นเจ้าของบัญชีเพื่อหลอกลวงพนักงานบริษัท, ลูกค้า หรือบริษัทคู่ค้า (partners)

ตามข้อมูลของ Lloyds Bank พบว่าธุรกิจตั้งแต่ขนาดเล็กจนถึงขนาดใหญ่ในสหราชอาณาจักรสูญเสียเงินโดยเฉลี่ยแล้วประมาณ 27,000 ปอนด์ (ประมาณ 35,160 เหรียญสหรัฐ) จากการโจมตีประเภทนี้ และพบว่า 1 ใน 5 ของเหยื่อถูกบังคับให้ต้องไล่พนักงานออกไป เพราะการตกเป็นเหยื่อของการหลอกลวงประเภทนี้อาจเป็นเรื่องร้ายแรง เนื่องจากไม่ได้ส่งผลกระทบเพียงแค่การเงินเท่านั้น

ปัญหาส่วนหนึ่งคือการขาดการฝึกอบรมเกี่ยวกับความปลอดภัยในโลกไซเบอร์ของพนักงาน (Awareness Training) พนักงาน 37% กล่าวว่าพวกเขาไม่ทราบว่าควรจะต้องระวังอะไรในการตรวจสอบอีเมลที่หลอกลวง หรือไม่มีมาตรการป้องกันด้านความปลอดภัยในองค์กร

รายงานระบุว่ากว่าครึ่งหนึ่งของพนักงานที่ได้รับการสำรวจ กล่าวว่าพวกเขาพบการหลอกลวงแอบอ้างเป็นเจ้านายของพวกเขาและอีกครึ่งหนึ่งกล่าวว่าพวกเขามีประสบการณ์ในการถูกหลอกในฐานะซัพพลายเออร์ด้วยการปลอมใบแจ้งหนี้ซึ่งกลายเป็นอีกหนึ่งเทคนิคที่เป็นที่นิยม ซึ่งผลการวิจัยเหล่านี้ชี้ให้เห็นว่าอีเมลไม่ถือเป็นวิธีการสื่อสารทางธุรกิจที่ปลอดภัยนัก

ที่มา:techrepublic