266/68 (IT) ประจำวันพุธที่ 23 กรกฎาคม 2568
ExpressVPN ผู้ให้บริการ VPN รายใหญ่ระดับโลกได้ออกอัปเดตแพตช์เร่งด่วนเพื่อแก้ไขช่องโหว่บนซอฟต์แวร์ Windows Client หลังมีรายงานว่าการใช้งาน Remote Desktop Protocol (RDP) อาจทำให้ทราฟฟิกบางส่วนหลุดออกนอก VPN tunnel ส่งผลให้ผู้ไม่หวังดี เช่น ผู้ให้บริการอินเทอร์เน็ต (ISP) หรือผู้ใช้งานในเครือข่ายเดียวกันสามารถมองเห็นหมายเลข IP จริงของผู้ใช้งาน และปลายทางที่กำลังเชื่อมต่ออยู่ได้ ทั้งที่ข้อมูลดังกล่าวควรถูกปกปิดภายในระบบ VPN เพื่อความเป็นส่วนตัว โดยช่องโหว่นี้ไม่กระทบต่อระบบการเข้ารหัสของ VPN tunnel แต่ถือเป็นช่องโหว่สำคัญในด้านการปกปิดตัวตน
ช่องโหว่ดังกล่าวถูกรายงานเมื่อวันที่ 25 เมษายน 2025 โดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อ “Adam-X” ผ่านโครงการ Bug Bounty ของบริษัท และตรวจพบว่าเกิดจากโค้ด debug ที่ใช้สำหรับทดสอบภายในซึ่งหลงเหลืออยู่ในเวอร์ชันที่เปิดให้ผู้ใช้ทั่วไปใช้งาน (ตั้งแต่เวอร์ชัน 12.97 จนถึง 12.101.0.2-beta) ทำให้การรับส่งข้อมูลผ่านพอร์ต 3389 ซึ่งเป็นของ RDP ไม่ถูกกำหนดเส้นทางผ่าน VPN ตามปกติ ExpressVPN ได้ออกแพตช์แก้ไขในเวอร์ชัน 12.101.0.45 เมื่อวันที่ 18 มิถุนายน 2025 พร้อมยืนยันว่าจำนวนผู้ใช้ที่ได้รับผลกระทบมีเพียงส่วนน้อย เนื่องจาก RDP มักใช้งานในองค์กรหรือโดยผู้ดูแลระบบมากกว่าผู้ใช้งานทั่วไป
บริษัทระบุว่าได้ยกระดับกระบวนการตรวจสอบเวอร์ชันก่อนนำไปใช้งานจริง โดยปรับปรุงขั้นตอนการพัฒนาให้มีความรอบคอบและแม่นยำมากยิ่งขึ้นผ่านระบบอัตโนมัติ (automation) เพื่อลดความผิดพลาดที่อาจเกิดขึ้นในอนาคต พร้อมแนะนำให้ผู้ใช้งาน ExpressVPN บน Windows ทุกคนอัปเดตเป็นเวอร์ชันล่าสุดโดยทันที โดยที่ผ่านมาในอดีต ExpressVPN เคยพบปัญหาในลักษณะใกล้เคียงกันจากการรั่วไหลของ DNS request เมื่อเปิดใช้งานฟีเจอร์ split tunneling ซึ่งบริษัทได้สั่งปิดฟีเจอร์ดังกล่าวชั่วคราวและออกแพตช์แก้ไขในเวลาต่อมา โดยยังคงยืนยันแนวนโยบายด้านความเป็นส่วนตัวอย่างเคร่งครัด ด้วยการไม่จัดเก็บ log และการใช้เซิร์ฟเวอร์แบบ RAM-only ที่ผ่านการตรวจสอบจากภายนอกแล้ว
