เมื่อสองวันก่อนไมโครซอฟท์ได้ปล่อยคำแนะนำด้านความ ปลอดภัย MSA-980088 ที่เปิดเผยบั๊กใหม่ของ IE นับแต่เวอร์ชั่นที่ 4 เป็นต้นมาว่ามีช่องโหว่ทำให้แฮกเกอร์สามารถเข้าถึงไฟล์ในเครื่องได้โดยมี เงื่อนไขบ้าง เช่น

• ต้องเป็นไฟล์ที่แฮกเกอร์รู้ชื่อและที่อยู่ของไฟล์ล่วงหน้า
• เบราเซอร์ต้องทำงานนอก Restricted Mode หรือ Protected Mode (อันหลังมีเฉพาะ IE7/8)
• แฮกกเกอร์จะมีสิทธิ์เท่าๆ กับผู้ใช้ที่กำลังใช้เบราเซอร์อยู่ (ใครไม่เข้าเป็น Administrator บ้าง?)

พร้อมๆ กับการเปิดเผยบั๊กนี้ก็มีทางแก้ออกมาพร้อมๆ กัน แนะนำให้อัพเดตทันทีตาม ลิงก์นี้

ที่มา - ArsTechnica via lew@blognone

เพียงไม่กี่วันหลังจากพบบั๊กในมาตรฐาน TLS นักศึกษาจากตุรกีก็สามารถอาศัยช่องโหว่ดังกล่าวในการขโมยข้อมูล Cookie และข้อมูลการล็อกอินไปจากเจ้าของข้อมูลได้แล้ว

การโจมตีดังกล่าวอาศัยการแทรกข้อมูล HTTP GET ลงไปก่อนหน้าข้อมูลจริงของเหยื่อ ทำให้สามารถโอนข้อมูลจาก URL และค่าบัญชีผู้ใช้ของเหยื่อไปยังบัญชีผู้ใช้ของผู้โจมตีได้

รายงานดังกล่าวโจมตีเว็บที่ใช้ HTTP Basic Auth เช่น Twitter โดยผู้โจมตีสามารถขโมยทั้งชื่อผู้ใช้และรหัสผ่านไปได้แม้จะใช้ HTTPS ก็ตามที

ระหว่างนี้ยังไม่มีมาตรการใดนอกจากการยกเลิกฟังก์ชั่น Renegotiating

ที่มา - SecureGoose, Educated Guesswork via lew@blognone

แม้ว่าจะออกมาได้ไม่นาน แต่ก็มีคนค้นพบข้อผิดพลาดร้ายแรงของ Firefox 3.5 ที่เกิดขึ้นกับการประมวลผลของ JavaScript แล้ว โดยข้อผิดพลาดนี้นั้นเกิดขึ้นจาก Tracemonkey ตัวประมวลผล JavaScript ตัวใหม่ที่เพิ่งจะมีเพิ่มในรุ่น 3.5 เองครับ

ข้อผิดพลาดดังกล่าวนี้สามารถใช้ให้รันโค้ดอื่นๆ ที่ผู้ใช้ไม่ได้สั่งได้ และยังมีโอกาสทำให้สูญเสียข้อมูลในหน่วยความจำอีกด้วย ซึ่งบริษัทผู้เชี่ยวชาญด้านความปลอดภัย Secunia นั้นให้ระดับความรุนแรงถึงขั้น Highly critical เลยทีเดียว (รายละเอียดดูได้ในรายงานของ Secunia)

ในขณะนี้นั้นยังไม่มีแพตช์แก้ไขใดๆ จาก Mozilla แต่เราสามารถแก้ไขชั่วคราวก่อนได้ง่ายๆ โดยปิดการทำงานการประมวลผล JavaScript แบบใหม่ด้วยการเข้าไปยังหน้า about:config และแก้ไข javascript.options.jit.content ให้เป็น false (แน่นอนว่าต้องแลกมาด้วยการประมวลผลที่ช้าลงเหมือนรุ่น 3.0) ส่วนผู้ใช้ Firefox รุ่นเก่าๆ นั้นคาดว่าจะยังไม่ได้รับผลกระทบครับ

ที่มา: pawinpawin@blognone via Secunia via The Washington Post, InformationWeek, Mozilla Security Blog

หนึ่งในปัญหาใหญ่ที่ทำให้การอัพเกรดจาก Windows XP ไปเป็น Windows Vista นั้นเป็นไปได้อย่างล่าช้าคือเรื่องความเข้ากันได้ของซอฟท์แวร์โดยเฉพาะอย่าง ยิ่งสำหรับสำนักงาน แน่นอนว่าถ้าหากไว้เป็นแบบนี้ต่อไป Windows 7 ก็คงจะต้องพบกับปัญหาเดียวกัน

เมื่อเดือนที่ผ่านมา บล็อกเกอร์ชื่อดังสองคน Rafael Rivera และ Paul Thurrott ได้ถูกเชิญจากทางไมโครซอฟท์ให้ทดสอบ “ฟีเจอร์ลับ” อันหนึ่งที่จะมีใน Windows 7 ตัวเต็ม ซึ่งจะนำมาใช้แก้ไขปัญหาที่ว่านั้น ในวันนี้ก็บล็อกเกอร์ทั้งสองก็ประกาศออกมาว่า “ฟีเจอร์” ที่ว่านี้คือ Windows XP Mode for Windows 7

การทำงานของ Windows XP Mode for Windows 7 นั้นจะเป็นการรัน Windows XP ตัวเต็มอยู่ใน Virtual PC 7 (จำเป็นจะต้องใช้ CPU ที่มีการสนับสนุน virtualization) แต่จะแชร์ desktop ร่วมกันกับ host โปรแกรมที่ลงเพิ่มเติมหรือไฟล์ใหม่ที่สร้างใน XP Mode นี้จะไปอยู่ในตัวเครื่องของ host ให้เองโดยอัตโนมัติ

เจ้าตัว Windows XP Mode for Windows 7 นี้มาพร้อมกับ Windows XP SP3 ตัวเต็มพร้อม activate มาให้เรียบร้อย โดยเปิดให้ดาวน์โหลดฟรีสำหรับ ผู้ใช้ Windows 7 รุ่น Professional, Enterprise และ Ultimate ผ่านทางเว็บไซต์ของไมโครซอฟท์ในวันที่ Windows วางตลาด สำหรับคนที่อยากชมหน้าตา สามารถไปดูได้ใน gallery ของ SuperSite ครับ

ที่มา: Within Windows, SuperSite via sirn@blognone

เพิ่มเติม: ไมโครซอฟท์ประกาศอย่างเป็นทางการแล้วครับ (ขอบคุณคุณ nuntawat)