Application Security

Application Security, Secure Development Lifecycle, Secure Design, Secure Coding

Adobe ออกแพตช์อุดช่องโหว่ความรุนแรงระดับ Critical บน Flash, Acrobat Reader และ Media Encoder

Adobe ประกาศออกแพตช์ประจำเดือนพฤษภาคม 2019 อุดช่องโหว่ด้านความมั่นคงปลอดภัยรวม 87 รายการบน Adobe Acrobat and Reader, Flash Player และ Media Encoder ซึ่งช่องโหว่ส่วนใหญ่ช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมหรือดำเนินการโจมตีที่หนักกว่านั้นได้

Read More »

WhatsApp เตือนให้ผู้ใช้อัปเดตแพตช์หลังพบการใช้ช่องโหว่ติดตั้งเครื่องมือสอดแนม

ทีมงาน Facebook ได้ค้นพบช่องโหว่บน Whatsapp หมายเลข CVE-2019-3568 ซึ่งเป็นช่องโหว่ Buffer Overflow ที่สามารถนำไปสู่การทำ Remote Code Execution โดยปัจจุบันได้ค้นพบว่ามีการนำไปใช้เพื่อติดตั้งเครื่องมือสอดแนมที่ได้รับการสนับสนุนจากรัฐ

Read More »

Best Practice สำหรับ Office 365 โดยหน่วยงานรัฐบาลสหรัฐฯ

Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการออกรายงาน Best Practice เพื่อช่วยองค์กรลดความเสี่ยงจากการย้ายบริการของตนไปใช้ Office 365 ซึ่งได้แนะนำเรื่องของแนวทางปฏิบัติที่จำเป็นหลังพบว่าระยะหลังมีองค์กรจำนวนมากจ้าง Third-party เพื่อทำการ Migrate บริการสู่ Office 365 แต่ไม่ได้ใส่ใจด้านความมั่นคงปลอดภัยมากนัก

Read More »

ผู้เชี่ยวชาญเตือนพบการโจมตี SharePoint Server หลายแห่งแนะนำรีบอัปเดตแพตช์

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ทั้งจากแคนนาดาและซาอุต่างออกมาเตือนถึงการค้นพบการใช้งานช่องโหว่ของเซิร์ฟเวอร์ Microsoft SharePoint หมายเลขอ้างอิง CVE-2019-0604 ที่เพิ่งมีการแพตช์อัปเดตไปช่วง กุมภาพันธ์ – เมษายน ที่ผ่านมา

Read More »

เตือน Exploits 2 ชุดถูกเผยแพร่สู่สาธารณะ ผู้ใช้ SAP ทั่วโลกเสี่ยงถูกโจมตี

Onapsis ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของแอปพลิเคชัน SAP ออกมาแจ้งเตือนถึงชุดคำสั่งโจมตี (Exploits) 2 ชุดบน SAP ที่ถูกเปิดเผยสู่สาธารณะภายในงานประชุม OPCDE ที่ประเทศดูไบเมื่อปลายเดือนเมษายนที่ผ่านมา บริษัทที่ใช้งาน SAP กว่า 50,000 แห่งทั่วโลกอาจตกอยู่ในความเสี่ยง

Read More »

ผู้เชี่ยวชาญพบแฮ็กเกอร์ใช้ TeamViewer แทรกซึมเข้าสู่เครือข่ายรัฐบาลหลายประเทศ

Check Point ได้รายงานเตือนถึงปฏิบัติการของแฮ็กเกอร์ที่ใช้เทคนิค DLL Side-loading กับโปรแกรมรีโมตเดสก์ท็อปยอดนิยมอย่าง TeamViewer เพื่อแทรกซึมเข้าไปในเครือข่ายของรัฐบาลหลายประเทศ

Read More »

Microsoft เปิดใช้ API ของ Windows Defender ATP ได้แล้ว

Microsoft ได้ประกาศว่าผู้ใช้งานจะสามารถสร้างแอปพลิเคชันของตนและใช้ความสามารถของ Windows Defender ATP ผ่าน API ได้แล้ว

Read More »

Oracle ออก Critical Patch Update เดือนเมษายนอุดช่องโหว่เกือบ 300 รายการ

Oracle ผู้ให้บริการซอฟต์แวร์เชิงธุรกิจและระบบ Cloud ชื่อดัง ออก Critical Patch Update ประจำไตรมาสที่ 2 ของปี 2019 อุดช่องโหว่ด้านความมั่นคงปลอดภัยรวม 297 รายการบน Database Server, Fusion Middleware, Enterprise Manager, E-Business Suite, PeopleSoft และ Siebel CRM รวมไปถึง Java SE, Oracle Virtualization, MySQL และผลิตภัณฑ์จาก Sun Systems

Read More »

Adobe ออกแพตช์ประจำเดือนเมษายน 2019 อุดช่องโหว่บน Flash, Acrobat Reader, Shockwave และอื่นๆ

Adobe ออกแพตช์ประจำเดือนเมษายน 2019 อุดช่องโหว่บน Flash Player, Acrobat and Reader, Shockwave Player, Dreamweaver และผลิตภัณฑ์อื่นๆ รวมทั้งสิ้น 40 รายการ ไม่ว่าจะเป็น Arbitrary Code Execution, Information Disclosure และ Remote Code Execution

Read More »

พบช่องโหว่บนแอปพลิเคชัน WordPress บน iOS แนะผู้ใช้ควรอัปเดต

Automattic เจ้าของแพลตฟอร์มบล็อกชื่อดังอย่าง WordPress ได้ออกประกาศแพตช์ในแอปพลิเคชัน iOS ที่พบช่องโหว่ซึ่งทำให้เกิดการเปิยเผย Security Token กับเว็บไซต์ Third-party ได้

Read More »

นักวิจัยเผยโค้ด PoC ช่องโหว่บน IE และ Edge สู่สาธารณะ

James Lee นักวิจัยด้านความมั่นคงปลอดภัยได้เผยโค้ดช่องโหว่ Bypass กระบวนการป้องกันของ Same-origin policy (SOP) บนผลิตภัณฑ์ IE และ Edge หลังจากที่ไม่ได้รับการตอบกลับและยังไม่แก้ไขเมื่อแจ้งปัญหาเข้าไปนานถึง 10 เดือน

Read More »

NVIDIA แพตช์อุดช่องโหว่รุนแรงสูงบน GeForce Experience

NVIDIA ได้ออกแพตช์อุดช่องโหว่ระดับความรุนแรงสูงบนซอฟต์แวร์ GeForce Experience บน Windows ที่สามารถก่อให้เกิดการยกระดับสิทธิ์เพื่อเข้าลอบรันโค้ดและนำไปสู่การทำ Denial-of-service

Read More »

ASUS Live Update ถูกฝัง Backdoor คาด Supply Chain ถูกโจมตี

Kaspersky ได้ออกมาเตือนถึงปฏิบัติการ Advance Persistent Threat (APT) ที่ถูกตั้งชื่อว่า ‘ShadowHammer’ ซึ่งเกิดกับซอฟต์แวร์ ASUS Live Update ที่พบมี Backdoor อยู่ภายใน โดยคาดว่ากระทบผู้ใช้งานมากกว่า 1 ล้านราย

Read More »

รถยนต์ Tesla ถูกเจาะสำเร็จ ในงาน Pwn2Own 2019

นักวิจัยทางด้านความปลอดภัยสามารถแฮ็ครถยนต์ Tesla Model 3 สำเร็จ ในวันสุดท้ายของงาน Pwn2Own 2019 ที่กำลังจัดขึ้นที่แวนคูเวอร์ ประเทศแคนาดา Credit: Pwn2Own

Read More »

[CYBERSEC 2019] 5 คุณสมบัติสำคัญสำหรับสถาปัตยกรรมด้านความมั่นคงปลอดภัยยุคใหม่

ภายใน CYBERSEC 2019 Presented by iThome ที่กำลังจัดขึ้น ณ เมืองไทเป ประเทศไต้หวันในขณะนี้ Cisco ได้นำเสนอสถาปัตยกรรมด้านความมั่นคงปลอดภัยยุคใหม่ ที่ซึ่ง Workload ถูกกระจายออกไปทั้งสำนักงานใหญ่ สำนักงานสาขา และระบบ Cloud รวมไปถึงอัปเดตเทรนด์ภัยคุกคามไซเบอร์ล่าสุด

Read More »

[CYBERSEC 2019] สรุป 6 ประเด็นด้าน Cybersecurity ล่าสุดโดย Bruce Schneier

ภายใน CYBERSEC 2019 Presented by iThome ที่กำลังจัดขึ้น ณ เมืองไทเป ประเทศไต้หวันในขณะนี้ Bruce Schneier, CTO จาก IBM Resilient และเป็นผู้เชี่ยวชาญด้าน Cryptography และ Privacy ได้ออกมาบรรยายถึงปัญหาและความท้าทายด้าน Cybersecurity ในยุคปัจจุบันที่อุปกรณ์และผู้ใช้เชื่อมต่อหากันหมด ซึ่งสามารถสรุปประเด็นที่น่าสนใจได้ดังนี้

Read More »

Google ลบแอปมุ่งโฆษณาบนแอนดรอยด์กว่า 210 รายการที่ถูกดาวน์โหลดแล้วกว่า 150 ล้านครั้ง

Google ได้ทำการลบแอปพลิเคชันแอนดรอยด์ไปกว่า 210 รายการที่ทำให้คนร้ายสามารถแสดงโฆษณา ติดตั้งแอปพลิเคชัน และเปิดเว็บไซต์ได้เมื่อเครื่องเริ่มทำงาน โดยทั้งหมดมียอดดาวน์โหลดรวมกันแล้วกว่า 150 ล้านครั้งเลยทีเดียว

Read More »

พบเซิร์ฟเวอร์เกม Counter Strike 1.6 กว่า 39% ใช้ช่องโหว่บน Client แพร่กระจายมัลแวร์

นักวิจัยจาก Dr. Web หรือโซลูชัน Antivirus ชื่อดังของรัสเซียได้เผยถึงการค้นพบเครือข่ายเซิร์ฟเวอร์เกม Counter Strike 1.6 ซึ่งเป็นเกมที่ได้รับความนิยมมานานได้ใช้ช่องโหว่ Remote Code Execution ของตัว Client เพื่อแพร่กระจายมัลแวร์ที่ชื่อ Belonard

Read More »

Adobe ออกแพตช์ประจำเดือนมีนาคม อุดช่องโหว่บน Photoshop CC และ Digital Editions

Adobe ออกแพตช์ประจำเดือนมีนาคม อุดช่องโหว่ Arbitrary Code Execution ความรุนแรงระดับสูง 2 รายการบน Adobe Photoshop CC และ Adobe Digital Edition ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมและเข้าควบคุมระบบเป้าหมายได้

Read More »

NSA ปล่อย GHIDRA 9.0 ซอฟต์แวร์ทำ Reverse Engineering ให้ใช้ฟรี

National Security Agency (NSA) เปิดให้ดาวน์โหลด GHIDRA เวอร์ชัน 9.0 ซึ่งเป็นเครื่องมือสำหรับทำ Reverse Engineering ให้เหล่านักวิจัยด้านความมั่นคงปลอดภัยสามารถนำไปใช้ค้นหา Security Bug บนซอฟต์แวร์และแอปพลิเคชันได้ฟรี

Read More »