Breaking News

Application Security

Application Security, Secure Development Lifecycle, Secure Design, Secure Coding

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” ซึ่งปีนี้จัดงานภายใต้ธีม “The Shade of Cybersecurity Disruption, Cryptoeconomics and Privacy Compliance” ผู้ที่สนใจสามารถซื้อบัตรเข้าร่วมงานได้วันนี้พร้อมส่วนลดทันที 10% จนถึงวันที่ 26 ตุลาคมนี้

Read More »

สรุปงานสัมมนา Cyber Security in Digital Disruption & Robotic 4.0 Era โดย Bay Computing

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านระบบความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Cyber Security in Digital Disruption & Robotic 4.0 Era อัปเดตแนวโน้มด้านภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ล่าสุด พร้อมรวบรวมวิธีปฏิบัติและแนวคิดต่างๆ ที่ผสมผสานเทคโนโลยีอันล้ำสมัย เช่น Artificial Intelligence, Big Data และ Machine Learning จากเจ้าของผลิตภัณฑ์ชั้นนำระดับโลก ผู้ที่ไม่ได้เข้าร่วมงานหรือต้องการอัปเดตเทคโนโลยีใหม่ล่าสุด สามารถอ่านบทความสรุปงานสัมมนาด้านล่างนี้ได้เลยครับ

Read More »

เชิญร่วมงาน Red Team and Blue Team Collaboration in Bangkok

เชิญร่วมงาน Red Team and Blue Team Collaboration in Bangkok โดยงานนี้เป็นความร่วมมือของคนในวงการ IT Security ที่มีประสบการณ์จริงในสายความมั่นคงปลอดภัยทั้งเชิงรุกและเชิงรับ มาร่วมแชร์ประสบการณ์และ Demo Showcase: Threat Scenarios In-dept Analysis ซึ่งได้รับการสนับสนุนจากหลากหลายหน่วยงานทั้งในไทยและต่างประเทศ ร่วมกันจัดงานในครั้งนี้

Read More »

SAP ออกแพตช์ด้านความมั่นคงปลอดภัย 13 รายการแนะผู้ใช้ควรอัปเดต

เมื่อวันที่ 11 กันยายน 2018 ผู้ให้บริการซอฟต์แวร์ ERP รายใหญ่อย่าง SAP ได้ปล่อยแพตช์ด้านความมั่นคงปลอดภัยประกอบด้วยการอุตช่องโหว่ 13 รายการ ซึ่งประกอบด้วยช่องโหว่ความร้ายแรงสูงถึง 8.8 จำนวน 2 รายการที่เกิดในผลิตภัณฑ์ Business One (เวอร์ชัน 9.2 , 9.3) และ NetWeaver BI (เวอร์ชัน 7.30, 7.31, 7.40, 7.41, 7.50)

Read More »

Microsoft แพตช์เดือนกันยายนอุดช่องโหว่ร้ายแรง 17 รายการและช่องโหว่ Zero-day แนะควรอัปเดต

Microsoft ได้ทำการปล่อยแพตช์ประจำเดือนและเป็นไปตามคาดคือแก้ไข Zero-day ที่เกี่ยวกับ Task Scheduler APLC ซึ่งเริ่มมีการประยุกต์ใช้งานจริงแล้วในกลุ่มแฮ็กเกอร์ นอกจากนี้ยังมีการแก้ไขช่องโหว่ร้ายแรงอีกกว่า 17 รายการที่ส่งผลกระทบกับผลิตภัณฑ์อย่าง IE, .Net Framework, Microsoft Edge, Microsoft Office และอื่นๆ ดังนั้นแนะนำผู้ใช้ควรรีบอัปเดตด่วน

Read More »

Apple ลบแอป Adware Doctor หลังถูกจับได้ว่าเก็บข้อมูลผู้ใช้ส่งกลับจีน

นักวิจัยที่ใช้นามแฝงบนทวิตเตอร์ว่า Privacy 1st และ Patrick Wardle แห่ง Objective-see ได้ร่วมกันสังเกตและตรวจสอบพบพฤติกรรมของแอปพลิเคชันยอดนิยมที่ชื่อ Adware Doctor และพบว่ามีการแอบเก็บข้อมูลการใช้งาน Browser ไม่ว่าจะเป็น Chrome, Safari หรือ Firefox รวมถึงลิสต์รายชื่อโปรเซสที่กำลังใช้งานและข้อมูลประวัติการค้นหาใน Apple Store ส่งกลับไปยังเซิร์ฟเวอร์ที่ถูกควบคุมมาจากจีน ทั้งนี้ Adware Doctor มีผู้รีวิวกว่า 7 พันคนและได้รับคะแนนความประทับใจในระดับ 4.8 ดาว

Read More »

Wireshark ออกแพตช์อุดช่องโหว่ DoS หลังโค้ดโจมตีถูกเผยสู่สาธารณะ

Cisco Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึงช่องโหว่หลายรายการบน Wireshark ซอฟต์แวร์วิเคราะห์ Packet และแก้ปัญหาระบบเครือข่ายแบบ Open-source ซึ่งเสี่ยงถูกทำให้เกิดเงื่อนไข Denial of Service (DoS) จนระบบล่มได้ แนะนำให้ผู้ให้รีบอัปเดตแพตช์ล่าสุดโดยเร็ว

Read More »

พบอีกหนึ่งช่องโหว่สุ่มเดาชื่อ Username บน OpenSSH ยังไม่มีแพตช์ให้แก้ไข

หลังจากที่ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Qualys ออกมาเปิดเผยถึงช่องโหว่การสุ่มเดาชื่อ Username เมื่อสัปดาห์ที่ผ่านมา ล่าสุดทีมนักวิจัยได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกันบน OpenSSH เวอร์ชันหลังปี 2011 ซึ่งขณะนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่

Read More »

ยังไม่แพตช์ให้รีบทำ !! แฮ็กเกอร์เริ่มโจมตีช่องโหว่ Apache Struts 2 แล้ว

หลังจากที่สัปดาห์ก่อน Semmle Security Research Team ได้ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 รหัส CVE-2018-11776 ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บแอปพลิเคชันที่ใช้ Apache Struts ได้แล้ว ล่าสุดพบว่าเริ่มมีกลุ่มผู้ไม่ประสงค์ดีโจมตีเหยื่อผ่านช่องโหว่ดังกล่าว ผู้ดูแลระบบเว็บควรรีบอัปเดตแพตช์โดยด่วน

Read More »

พบช่องโหว่บนแอป Fortnite บน Android เสี่ยงถูกแฮ็กเกอร์ใช้ติดตั้งมัลแวร์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Google ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับสูงบนตัว Install ของเกม Fortnite บน Android ซึ่งช่วยให้แอปพลิเคชันอื่นที่ติดตั้งอยู่บนอุปกรณ์ดังกล่าวสามารถก่อกวนกระบวนการติดตั้งแอปพลิเคชัน และโหลดมัลแวร์เข้ามาติดตั้งแทน Fortnite APK ได้

Read More »

Facebook สั่งหยุดแอปหลายร้อยเพื่อสืบสวนการใช้งานข้อมูล

Facebook ได้ประกาศว่าได้หยุดแอปพลิเคชันกว่า 4 ร้อยไว้ก่อนเพื่อสืบสวนถึงการใช้งานข้อมูลส่วนบุคคล โดยนาย Archibong ผู้ดำรงตำแหน่งรองประธานพันธมิตรของผลิตภัณฑ์กล่าวถึงเรื่องแอปพลิเคชันที่ถูกหยุดไว้ว่า “เป็นความกังวลเกี่ยวกับนักพัฒนาที่สร้างแอปขึ้นหรือวิธีการที่ผู้คนเลือกแชร์ข้อมูลกับแอปอาจถูกนำไปใช้“

Read More »

พบช่องโหว่บน GhostScript ยังไม่มีแพตช์ป้องกันและอาจตกเป็นเป้าหมายการโจมตีได้

นาย Tavis Ormandy นักวิจัยจาก Google Project Zero ได้ค้นพบช่องโหว่ใหม่บน Ghostscript หรือตัว Intepreter ของ Adobe PostScript (เป็นภาษาที่ใช้ในการปริ้นต์เอกสารแต่สามารถประยุกต์ใช้สร้างรูปภาพได้) และภาษา PDF Page Description โดย Ghostscript มีอยู่ในหลายร้อยชุดซอฟต์แวร์ รวมถึงไลบรารี่ของโค้ดด้วยเพื่ออนุญาตให้ซอฟต์แวร์ของทั้งเดสก์ท็อปและเว็บเซิร์ฟเวอร์สามารถจัดการ PostScript และเอกสาร PDF ได้ เช่น ถูกใช้ในการแก้ไขเอกสารหรือดู PDF ต่างๆ เป็นต้น

Read More »

Adobe แพตช์ช่องโหว่ร้ายแรงใน Photoshop แนะผู้ใช้ควรอัปเดต

Adobe ได้อัปเดตแพตช์เพื่ออุตช่องโหว่ใน Photoshop CC บน macOS และ Windows เพื่อแก้ไขช่องโหว่ระดับร้ายแรงจำนวน 2 รายการที่่ส่งผลกระทบให้เกิด Remote Code Execution ได้

Read More »

SAP แพตช์ช่องโหว่ด้านความมั่นคงปลอดภัยประจำเดือนสิงหาคม

เมื่อวันอังคารที่ผ่านมา SAP เจ้าของผลิตภัณฑ์ ERP รายใหญ่ได้ออกแพตช์อุตช่องโหว่ด้านความมั่นคงปลอดภัยกว่า 27 รายการ อย่างไรก็ตามในแพตช์ชุดนี้ไม่มีช่องโหว่ระดับร้ายแรง

Read More »

‘Man-in-the-disk’ การโจมตีรูปแบบใหม่บน Android

ทีมนักวิจัยจาก Check Point ได้สาธิตวิธีการโจมตีใหม่บน Android ที่ให้ชื่อว่า ‘Man-in-the-disk’ ซึ่งสามารถทำให้แอปพลิเคชัน Third-party สามารถเข้าไปดูและแก้ไขข้อมูลของแอปพลิเคชันอื่นที่มีการใช้พื้นที่บน External Storage ได้นำไปสู่การทำให้แอปพลิเคชันนั้นทำงานผิดพลาดหรือรันโค้ดอันตราย

Read More »

4 ขั้นตอนลดความเสี่ยงต่อการถูกโจมตีแอปพลิเคชัน ERP

ระบบ ERP ถือเป็นระบบหลักและมีความสำคัญกับบริษัทอย่างมากจึงตกเป็นเป้าหมายของแฮ็กเกอร์ ไม่ว่าจะเป็นแอปพลิเคชันแบบ Cloud และ On-premise ก็ล้วนตกเป็นเป้าไม่ต่างกันเพราะแฮ็กเกอร์ก็ได้พัฒนาวิธีการและเทคนิคใหม่เพื่อสู้กับระบบการป้องกันแบบเดิม เช่น การบริการจัดการตัวตนและการแบ่งหน้าที่กัน วันนี้เราจึงได้เลือกบทความจาก SecurityWeek ที่นำเสนอวิธีการลดความเสี่ยงของการโจมตีเหล่านี้มาให้ได้อ่านกัน

Read More »

G Suite เตรียมออกฟีเจอร์ติดตามกิจกรรมต้องสงสัย

อีกไม่นานผู้ดูแล G Suite จะติดตามกิจกรรมต้องสงสัยในการใช้งานของผู้ใช้งานได้แล้ว อีกทั้งยังสามารถตั้งค่าเพื่อรับการแจ้งเตือนเมื่อพบกิจกรรมสุ่มเสี่ยงอีกด้วย

Read More »

ความมั่นคงปลอดภัยของ API

ปัจจุบันวิธีการพัฒนาแอปพลิเคชันเปลี่ยนโฉมไปมากโดยการใช้ประโยชน์จาก API เพื่อตอบโจทย์ความรวดเร็วและแยกการบริหารจัดการเป็นส่วนๆ ซึ่งกลายมาเป็นดาบสองคมที่แฮ็กเกอร์ใช้ความซับซ้อนที่เพิ่มขึ้นตรงนี้เข้ามา เราจึงได้พบบทความที่จะนำเสนอถึงคำถามที่ว่าจะป้องกันความมั่นคงปลอดภัยของ API อย่างไรไม่ให้รบกวนประโยชน์ของการใช้งานสรุปมาให้อ่านกัน

Read More »

กระทรวงกลาโหมสหรัฐสร้างบัญชีดำผู้ให้บริการซอฟต์แวร์จากจีน รัสเซีย

กลายเป็นประเด็นร้อนแรงอย่างต่อเนื่องเมื่อกระทรวงกลาโหมสหรัฐได้ประกาศกับสื่อเมื่อวันศุกร์ที่ผ่านมาว่ากำลังทำลิสต์รายชื่อของบริษัทที่ใช้ซอฟต์แวร์จากจีนและรัสเซียเพื่อทำการไม่สนับสนุนการซื้อขายกับบริษัทเหล่านี้ โดยทางแพนตากอนได้ตั้งรายชื่อลิสต์ตั้งแต่หกเดือนที่แล้วและแจกให้กับตัวแทนของรัฐบาลแต่ไม่ได้บังคับใช้หรือปฏิบัติอย่างเป็นทางการ

Read More »

เตือน! พบแอปพลิเคชันและ Extension แอบเก็บข้อมูลใช้งาน Browser

AdGuard ผู้ให้บริการแพลตฟอร์มการบล็อกโฆษณาได้เผยถึง Extension บน Chrome และ Firefox และแอปพลิเคชันทั้ง iOS และ Android ที่แอบเก็บข้อมูลส่วนบุคคลของผู้ใช้งานด้วยเทคนิคที่หลากหลาย อย่างไรก็ตาม AdGuard ชี้ว่าเบื้องหลังของแอปพลิเคชันและ Extension เหล่านี้มาจากบริษัทที่ชื่อ Big Star Labs

Read More »