Central Provident Fund (CPF) หรือกองทุนสำรองเลี้ยงชีพแห่งชาติสิงคโปร์ประกาศเตรียมจำกัดวงเงินการถอนต่อวันเหลือ 2,000 ดอลลาร์สิงคโปร์ หรือประมาณ 50,000 บาท เพื่อสู้กับการหลอกลวงต่างๆ รวมถึงแอปดูดเงิน

นโยบายใหม่นี้มีผลวันที่ 30 พฤศจิกายนนี้และจะบังคับกับผู้ที่มีสิทธิ์ถอนเงินอายุ 55 ปีขึ้นไป การตั้งค่าเริ่มต้นอยู่ที่ 2,000 ดอลลาร์สิงคโปร์ จากนั้นผู้ใช้จะสามารถสแกนใบหน้าเพื่อปรับค่าระหว่าง 0-200,000 ดอลลาร์สิงคโปร์ได้เอง แต่หลังการสั่งปรับวงเงินแล้วจะต้องรออีก 12 ชั่วโมง คำสั่งจึงจะมีผล

กูเกิลเปิดตัวกุญแจ Titan Security Key รุ่นใหม่ รองรับ การล็อกอินด้วย Passkey ที่กูเกิลกำลังผลักดันเต็มตัว

กุญแจ Titan Security Key รุ่นใหม่มีทั้งแบบ USB-A และ USB-C โดยจะวางขายแทนกุญแจ U2F รุ่นเดิมที่วางขายในปัจจุบัน กุญแจทั้งสองรุ่นรองรับการเชื่อมต่อกับอุปกรณ์พกพาด้วย NFC และหน่วยความจำในตัวกุญแจสามารถเก็บคีย์ในระบบ Passkey ได้สูงสุด 250 คีย์ ซึ่งกูเกิลบอกว่าน่าจะครอบคลุมการใช้งานของคนทั่วไปแล้ว

ราคาขายรุ่น USB-A ตัวละ 30 ดอลลาร์ รุ่น USB-C ตัวละ 35 ดอลลาร์ ราคาต่างจากเวอร์ชันก่อนเล็กน้อย ที่เหมือนเดิมคือยังไม่มีขายในไทยอย่างเป็นทางการ

Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ Reptar (CVE-2023-23583) ที่อาศัย bit ที่ไม่ได้ใช้งานของคำสั่ง MOVSB ที่ใช้ย้ายข้อมูลเข้าไปยัง register เมื่อรันคำสั่งที่ผิดพลาดแบบนี้อย่างจงใจจะทำให้ซีพียูหลุดไปสู่สถานะที่ไม่ได้กำหนดการทำงานไว้ ส่งผลให้เครื่องแครชไปได้ทั้งเครื่อง แม้จะรันโค้ดอยู่ใน virtual machine ที่ถูกจำกัดสิทธิ์ไว้ก็ตาม

บั๊กนี้เกิดจากฟีเจอร์ Fast Short Repeat Move (FSRM) ที่เป็นฟีเจอร์สำหรับย้ายสตริงด้วยความเร็วสูง ในซีพียูที่เปิดฟีเจอร์นี้ไว้และสั่งคำสั่ง MOVSB โดยใส่ค่า prefix ของ register ให้ผิดพลาดอย่างจงใจ ซีพียูจะหลุดเข้าไปอยู่ใน state ที่ผิดพลาดและ halt หยุดการทำงานไปเลย โดย FSRM นั้นเพิ่มเข้ามาตั้งแต่ซีพียู Ice Lake ขึ้นมา

Patch Tuesday หรือธรรมเนียมการออกแพตช์ความปลอดภัยรายเดือน ทุกวันอังคารที่ 2 ของเดือน มีอายุครบ 20 ปีแล้ว หลังออกแพตช์ครั้งแรกในเดือนพฤศจิกายน 2003

ไมโครซอฟท์เริ่มแนวคิดการอัพเดตแพตช์ความปลอดภัยรายเดือนให้ระบบปฏิบัติการ จากบันทึกของบิล เกตส์ ชื่อ Trustworthy Computing ช่วงต้นปี 2002 ที่เขียนขึ้นเพื่อรับมือปัญหาช่องโหว่ความปลอดภัยระบาดบนวินโดวส์ (ในยุคนั้น)

Okta เผยรายละเอียดของ การโดนแฮ็กระบบ เมื่อปลายเดือนตุลาคม 2023 ที่ผ่านมา หลังการสอบสวนเชิงลึกเสร็จสิ้นแล้ว

David Bradbury ประธานเจ้าหน้าที่ฝ่ายความมั่นคง (Chief Security Officer) เป็นผู้แถลงผ่านบล็อกของบริษัท เล่าถึงสาเหตุว่าเกิดจากพนักงานรายหนึ่งใช้โน้ตบุ๊กของบริษัท ล็อกอินบัญชี Google ส่วนตัวบน Chrome และเก็บรหัสผ่านต่างๆ ไว้ใน Chrome ทำให้โดนแฮ็กเอารหัสผ่านจากจุดนั้น ลามมายังบัญชีภายในของบริษัทต่อในภายหลัง

Mark Brand จาก Project Zero เล่าถึงฟีเจอร์ลับของ Pixel 8/Pixel 8 Pro ว่าเป็นโทรศัพท์ตัวแรกที่สามารถเปิดฟีเจอร์ Memory Tagging Extensions ฟีเจอร์ป้องกันบั๊กหน่วยความจำหลายรูปแบบ เช่น ทำให้โปรแกรมไม่สามารถใช้หน่วยความจำที่เคยคืนระบบไปแล้ว (user-after-free)

แม้จะบอกว่าเปิดใช้งานได้ แต่ก็ต้องนับว่าเป็นฟีเจอร์ลับพอสมควร เพราะผู้ที่ต้องการใช้งานต้องเปิด USB debugging เพื่อไปตั้งค่าฟีเจอร์นี้ในเคอร์เนลเอง และฟีเจอร์นี้ไม่ได้ซัพพอร์ตเป็นทางการ ข้อจำกัดอีกอย่างคือมีบางส่วนในระบบไม่สามารถใช้ฟีเจอร์นี้ได้เพราะคอนฟิก exclusion ไว้ หรือบางโปรแกรม เช่น Chrome นั้นมีระบบจัดการหน่วยความจำ PartitionAlloc ของตัวเองทำให้ไม่สามารถใช้งานฟีเจอร์นี้ได้

ซัมซุงเปิดตัวฟีเจอร์ความปลอดภัย Auto Blocker ซึ่งเป็นส่วนหนึ่งของรอม One UI 6.0 ที่ช่วยป้องกันภัยทางไซเบอร์ให้ผู้ใช้งาน

Auto Blocker มีฟีเจอร์หลายอย่างดังนี้

ก.ล.ต. สหรัฐฯ (SEC) ประกาศตั้งข้อหาแก่บริษัท SolarWinds และ Timothy G. Brown CISO ของบริษัท จากเหตุการณ์ที่บริษัทถูก แฮกฝังโค้ดในซอฟต์แวร์ ส่งผลต่อเนื่องให้ องค์กรลูกค้าถูกแฮกตามไปด้วย

SEC ระบุว่าวิศวกรของบริษัทเตือน Brown แล้วว่าเครือข่ายของบริษัทปล่อยให้มีการเข้าถึงอย่างไม่ปลอดภัยนัก และหากคนร้ายเจาะเข้ามาได้ก็ตรวจจับได้ยาก แม้ Brown จะได้รับรายงานแต่ก็ไม่แก้ไขหรือแจ้งเรื่องต่อภายในบริษัทให้มีการแก้ไข

ZachXBT บัญชีทวิตเตอร์รายงานอาชญากรรมในโลกคริปโตรายงานถึงผู้เสียหายอย่างน้อย 25 รายแจ้งเข้ามาว่าถูกขโมยเงินคริปโตไป โดยพบความเชื่อมโยงว่าทุกรายเป็นผู้ใช้ LastPass และเก็บกุญแจบัญชีคริปโตไว้ใน LastPass เช่นกัน

ความเชื่อมโยงนี้ทำให้คาดว่าคนร้ายอาศัยฐานข้อมูล LastPass ที่ รั่วออกมาปีที่แล้ว และสามารถยิงรหัสผ่านจนแกะฐานข้อมูลออกมาได้ โดยที่ผ่านมาอดีตวิศวกรของ LastPass ออกมาระบุว่า ฐานข้อมูลไม่ได้เข้ารหัสบางส่วน อาจจะเป็นสัญญาณให้คนร้ายเลือกแกะรหัสฐานข้อมูลเป้าหมายได้ง่ายขึ้น

กูเกิลประกาศขยายโครงการ VRP (Vulnerability Reward Program) ที่ให้รายงานช่องโหว่หรือบั๊ก ครอบคลุมถึงหัวข้อ Generative AI ซึ่งกูเกิลบอกว่าถือเป็นการให้ผลตอบแทนสำหรับการวิจัย ที่เกี่ยวข้องกับความปลอดภัยและความเสี่ยงของ AI เพื่อให้ AI เป็นพื้นที่ปลอดภัยของทุกคน

ตัวอย่างหัวข้อที่กูเกิลถือว่าเป็นช่องโหว่ของ Generative AI เช่น การมีอคติอย่างไม่ยุติธรรม (Unfair bias), การนำโมเดลไปดัดแปลงไม่เหมาะสม ตลอดจนการตีความข้อมูลที่ไม่ถูกต้อง กูเกิลบอกว่าการนำ Generative AI ไปใส่ในผลิตภัณฑ์ของกูเกิลนั้น มีทีมงานความปลอดภัยทดสอบความเสี่ยงด้านต่าง ๆ ที่อาจเกิดขึ้นได้อยู่แล้ว แต่การได้ความร่วมมือเพิ่มเติมจากนักวิจัยภายนอกจะช่วยให้ Generative AI ของกูเกิลปลอดภัยมากขึ้นไปอีก

Cloudflare ปล่อยโครงการโอเพนซอร์ส HAR File Sanitizer สำหรับล้างข้อมูลสำคัญก่อนแชร์ไฟล์ request จากเบราว์เซอร์ หลังเกิดช่องโหว่ในระบบซัพพอร์ตของ Okta จนมีองค์กรถูกแฮกจำนวนมาก

CloudSEK บริษัทความปลอดภัยไซเบอร์รายงานถึงแก๊งหลอกลวงเงินในอินเดียที่กำลังระบาดขึ้น โดยอาศัยระบบโอนเงินทันที UPI แบบเดียวกับ PromptPay ในไทยเป็นโครงสร้างสำคัญ

แก๊งนี้อาศัยการหลอกโฆษณาแอปปล่อยกู้ โดยหลอกเหยื่อว่าต้องจ่ายค่าธรรมเนียมก่อนจึงจะได้เงินกู้ และเมื่อได้เงินแล้วก็มักหายตัวไป โดยช่วงเวลาเพียงไม่กี่เดือนในไตรมาสสามปีนี้มีผู้เสียหายแล้วถึง 40,000 ราย มูลค่าความเสียหายอย่างน้อย 1.6 ล้านบาท

กลยุทธ์ของกลุ่มคนร้ายนี้คล้ายกับคนร้ายในไทยที่พยายามซ่อนเงินผ่านทางเครือข่ายบัญชีม้าหลายชั้น และกลุ่มใหญ่อาศัยบริการ payment gateway ของจีนที่เปิดทางให้สามารถรับเงินได้ผ่านทางหมายเลขโทรศัพท์โดยไม่มีกระบวนการป้องกันการฟอกเงินที่ดีพอ

1Password บริการเก็บรหัสผ่านรายงานเหตุความปลอดภัยไซเบอร์ โดยคนร้ายพยายามเรียกใช้ฟังก์ชั่นขอดูรายชื่อผู้ดูแลระบบบนระบบของ Okta ที่เพิ่งรายงานช่องโหว่ในระบบซัพพอร์ต เมื่อสัปดาห์ที่แล้ว

กูเกิลปรับปรุง Google Play Protect ให้สามารถสแกนแอปที่ไม่รู้จักมาก่อน โดยอาศัยการวิเคราะห์โค้ดว่ามีพฤติกรรมมุ่งร้ายหรือไม่

เดิม Google Play Protect นั้นอาศัยการตรวจสอบความเหมือนกับโปรแกรมอื่นๆ ที่อยู่ในฐานข้อมูลของกูเกิลว่าเป็นโค้ดมุ่งร้าย แต่ในช่วงหลังคนร้ายสามารถปรับแต่งโค้ดให้ต่างออกไปเล็กน้อยแต่ยังทำงานแบบเดิม (polymorphic) ทำให้การตรวจสอบความเหมือนนั้นได้ผลน้อยลง การวิเคราะห์โค้ดเพื่อคาดเดาพฤติกรรมจะปิดช่องทางนี้

ฟีเจอร์นี้จะเริ่มเปิดใช้งานบางประเทศเริ่มจากอินเดียก่อน และเมื่อผู้ใช้ติดตั้งแอปนอกสโตร์ ตัว Google Play Protect จะขอสแกนก่อนให้ติดตั้ง

ไมโครซอฟท์ประกาศแผนการระยะยาวของ Windows ที่ต้องการลดการล็อกอินระยะไกลผ่าน NT LAN Manager (NTLM) ที่ใช้มายาวนานตั้งแต่ยุค Windows NT เปลี่ยนมาใช้โปรโตคอลที่ใหม่กว่าคือ Kerberos แทน

NTLM เป็นโปรโตคอลเก่าแก่ที่ใช้กันมานาน มีข้อดีเรื่องใช้ง่าย แต่ก็ถือว่าล้าสมัยแล้วตามมาตรฐานปัจจุบัน ขาดฟีเจอร์ด้านความปลอดภัยและการต่อขยายหลายอย่าง

Cisco เตือนภัยช่องโหว่ระดับวิกฤต (critical) ในระบบปฏิบัติการ IOS XE ที่ใช้กับอุปกรณ์เครือข่ายของตัวเอง เปิดทางให้แฮ็กเกอร์สามารถควบคุมเครื่องได้เต็มรูปแบบ (full control) และพบการโจมตีจริงแล้ว

IOS XE เป็นระบบปฏิบัติการย่อยตัวหนึ่งของ Cisco IOS ( ระบบปฏิบัติการทั้งหมดของ Cisco ) โดยเวอร์ชัน XE พัฒนาอยู่บนเคอร์เนลลินุกซ์ และใช้กับอุปกรณ์เครือข่ายตระกูล Catalyst, ASR, ISR บางรุ่นย่อย

ที่ผ่านมา การลงทุนด้านความปลอดภัยมักเป็นหนึ่งในประเด็นที่ผู้บริหารองค์กรจำนวนไม่น้อยไม่ค่อยให้ความสำคัญมากนัก แม้จะให้ความสำคัญด้านการลงทุนเทคโนโลยีและนวัตกรรมใหม่ๆ ก็ตาม ซึ่งก็อาจนำไปสู่การตัดสินใจไม่ลงทุนเลย โดยจากการสำรวจของ HPE Aruba Networking กับผู้บริหารองค์กรใหญ่ๆ พบว่า 64% ของผู้บริหาร มองว่าความตั้งใจที่จะลงทุนด้านเทคโนโลยี มักจะถูกขัดขวางด้านความกังวลด้านความปลอดภัย

อย่างไรก็ตาม Aruba ก็พบว่า 64% ของผู้บริหารเช่นกันมองว่า ระบบเน็ตเวิร์คองค์กรมีส่วนสำคัญในการป้องกันภัยคุกคามไซเบอร์ และมองการลงทุนด้านนี้เป็นส่วนหนึ่งของการ transformation และเลือกโซลูชันใหม่ๆ ที่ตอบโจทย์พร้อมกันอย่างระบบ Security Service Edge (SSE) หรือ Secure Access Service Edge (SASE) ของ Aruba

ผู้ให้บริการคลาวด์รายใหญ่นัดกันเปิดเผยข้อมูลช่องโหว่ DDoS ใน HTTP/2 CVE-2023-44487 เรียกชื่อว่า Rapid Reset อาศัยฟีเจอร์ stream ใน HTTP/2 ที่เปิดทางให้ไคลเอนต์สามารถขอเปิดสตรีมใหม่แล้วยกเลิกได้อย่างรวดเร็ว ทำให้ botnet ขนาดไม่ใหญ่มากก็สามารถสร้างรีเควสจำนวนมหาศาล

Docker ร่วมกับ BastionZero สร้างโครงการ OpenPubkey ที่เปิดโอกาสให้ผู้ใช้ที่ล็อกอินผ่านทาง OpenID Connect (OIDC) อยู่แล้ว สามารถสร้างกุญแจ public/private ของตัวเองเพื่อนำไปเซ็นเอกสารหรือไฟล์อื่นๆ ได้

โครงการ curl ไคลเอนต์ HTTP ยอดนิยมประกาศเตรียมปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงสูง โดยระบุวันปล่อยแพตช์ล่วงหน้าเป็นวันที่ 11 ตุลาคมนี้ พร้อมกับระบุว่าเป็นช่องโหว่ที่รุนแรงที่สุด "ในห้วงเวลาที่ยาวนาน" แพตช์นี้มีช่องโหว่สองรายการ คือ CVE-2023-38545 ที่ร้ายแรงสูง กระทบทั้งไลบรารีและคำสั่ง curl เองและ CVE-2023-38546 ความร้ายแรงต่ำ กระทบเฉพาะไลบรารี

Daniel Stenberg ผู้ดูแลโครงการ curl ระบุว่าไม่สามารถให้ข้อมูลใดๆ ได้ในตอนนี้ รวมถึงไม่สามารถบอกว่าได้ช่องโหว่นี้กระทบเวอร์ชั่นใดบ้าง แต่บอกเพียงว่าบั๊กนี้กระทบ curl ใน "ช่วงหลายปีที่ผ่านมา"

Progress ผู้พัฒนา WS_FTP แจ้งเตือนช่องโหว่ WS_FTP Server ว่ามีช่องโหว่ร้ายแรงสูงหลายรายการ และผู้ใช้ควรเร่งอัพเดตเป็นเวอร์ชั่น 8.7.4 และ 8.8.2 หรือปรับคอนฟิกเพื่อปิดโมดูลที่มีช่องโหว่

ช่องโหว่ร้ายแรงสองรายการ ได้แก่

กูเกิลอัพเดต Chrome เวอร์ชัน 117.0.5938.132 แก้ไขช่องโหว่ Zero-Day CVE-2023-5217 เกี่ยวกับ heap buffer overflow ของ libvpx ซึ่งกูเกิลใช้เวลา 2 วัน หลังจากมีการเปิดเผยช่องโหว่นี้ออกมา และเป็นการแก้ไขช่องโหว่ Zero-Day ครั้งที่ห้าของปีนี้ ผู้ใช้งานควรอัพเดตทันที

ทั้งนี้กูเกิลยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว โดยจะเผยแพร่เมื่อมีผู้ใช้งานส่วนใหญ่ได้อัพเดต Chrome เป็นเวอร์ชันล่าสุดแล้ว

Chrome เวอร์ชันนี้ยังอัพเดตแก้ไขช่องโหว่อีกสองรายการคือ CVE-2023-5186 และ CVE-2023-5187 ด้วย

Mozilla ก็ออกอัพเดต Firefox เพื่อแก้ไขช่องโหว่นี้เช่นกันใน Firefox เวอร์ชัน 118.0.1 สำหรับเดสก์ท็อป รวมถึงในแพลตฟอร์มอื่นด้วย

Retool ผู้ให้บริการแพลตฟอร์ม low-code ชื่อดังรายงานถึงเหตุคนร้ายเข้าถึงระบบภายในได้บางส่วน จากการส่งอีเมล phishing หลอกพนักงาน และโทรศัพท์มาขอ OTP โดยปลอมเสียงเป็นพนักงานจนคนร้ายเข้าถึงบัญขี Google ของพนักงานได้

แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่ เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง

ช่วงสัปดาห์ที่ผ่านมา เครือคาสิโนใหญ่ในเมืองลาสเวกัสถึงสองเครือ คือ MGM Resorts และ Caesars ถูกแฮกในเวลาไล่เรี่ยกัน

เครือ MGM นั้นถูกแฮกโดยกลุ่ม ALPHV ทาง vx-underground บัญชีทวิตเตอร์ที่เปิดเผยข่าวแฮกเกอร์ใต้ดินต่อเนื่องระบุว่า ALPHV อาศัยการหลอก help desk เพื่อล็อกอินเข้าระบบ และหลังจากเข้าระบบได้แล้วก็วางตัวดักรหัสผ่านจาก Okta Agent และวางมัลแวร์กระจายไปยังเซิร์ฟเวอร์ ESXi กว่า 100 ตัว

ทาง ALPHV ระบุว่าพยายามติดต่อ MGM ให้มาเจรจาจ่ายค่าไถ่แต่ทาง MGM ก็ไม่ได้เข้ามาเจรจา

สัปดาห์ที่ผ่านมา Citizen Lab รายงานถึงช่องโหว่ที่ใช้เจาะ iPhone ผ่านทาง iMessage ได้โดยเหยื่อไม่ต้องคลิกใดๆ ตอนนี้แอปเปิลก็พบว่าช่องโหว่นี้ที่จริงแล้วเป็นช่องโหว่ heap overflow ของ libwebp ซึ่งกระทบเบราว์เซอร์อื่นๆ ด้วย ตอนนี้ทั้ง Chrome ก็ออกแพตช์แก้ไขช่องโหว่นี้แล้ว ในเวอร์ชั่น 116.0.5845.187 และ 116.0.5845.188

แพตช์เดียวกันถูกส่งเข้า Firefox แล้ว คาดว่าจะออกเป็นเวอร์ชั่น 117.0.1 ภายในเร็วๆ นี้