Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

พบช่องโหว่บนซอฟต์แวร์ Cortana เสี่ยงถูกใช้ปลดล็อก Windows 10

McAfee ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบบูรณาการ ออกมาแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Cortana ผู้ช่วยอัจฉริยะบน Windows 10 ซึ่งช่วยให้แฮ็กเกอร์สามารถปลดล็อกเข้าใช้งานระบบปฏิบัติการและลอบรันโค้ดแปลกปลอมได้

Read More »

พบช่องโหว่บน CPU Intel ผู้โจมตีอาจเข้าถึงกุญแจเข้ารหัสได้ กระทบระบบปฏิบัติการเก่าทั้ง Linux และ Windows

มีการค้นพบช่องโหว่ใหม่บน Intel Core และ Intel Xeon ที่ผู้โจมตีสามารถเข้าถึงกุญแจที่ใช้เข้ารหัสซึ่งจัดเก็บอยู่บน CPU ได้ โดยถึงแม้ช่องโหว่นี้จะไม่กระทบกับระบบปฏิบัติการล่าสุดอย่าง Linux 4.9 หรือ Windows Server 2016 แต่ช่องโหว่นี้ก็กระทบกับ Linux รุ่นก่อนหน้าหรือ Windows Server 2008

Read More »

สรุปสถานะการแพตช์ Meltdown และ Spectre บน Windows

ผ่านมา 6 เดือนแล้วที่ช่องโหว่ Meltdown และ Spectre ถูกค้นพบและเริ่มมีออกแพตช์เพื่อแก้ไขปัญหาเรื่อยมา จนกระทั่งมี Variant ใหม่ๆ ออกมาให้แพตช์แล้วแพตช์อีก ทำให้หลายคนอาจเกิดความสับสนว่า สรุปแล้วช่องโหว่ใดบ้างที่แพตช์เรียบร้อยแล้ว แพตช์ใดที่ต้องอาศัยผู้ใช้ในการดำเนินการเอง และช่องโหว่ใดที่ยังคงมีปัญหาอยู่ Microsoft จัดได้จัดทำตารางสรุปง่ายๆ ให้ได้อ่านกันครับ

Read More »

Microsoft Patch Tuesday ประจำเดือนมิถุนายน 2018 อุดช่องโหว่รวม 50 รายการ

Microsoft ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยประจำเดือนมิถุนายน 2018 ล่าสุดบนระบบปฏิบัติการ Windows อุดช่องโหว่รวมทั้งสิ้น 50 รายการ ทั้งบน Windows OS, Internet Explorer, Microsoft Edge, ChakraCore JavaScript Engine และ Microsoft Office และ Microsoft Office Services

Read More »

พบช่องโหว่ Remote Code Execution บน VMware AirWatch แนะอัปเดตด่วน

VMware ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution บน VMware AirWatch ที่ได้รับรหัส CVE-2018-6968 และมีความรุนแรงระดับสูงสุด พร้อมเตือนให้ผู้ใช้งานทำการอัปเดตเพื่อแก้ไขช่องโหว่นี้ทันที

Read More »

Adobe ออกแพตช์อุดช่องโหว่ Zero-day ที่โจมตีผ่านไฟล์ Office

Adobe ออกแพตช์ล่าสุดสำหรับอุดช่องโหว่ Zero-day บน Flash Player ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดหรือส่งมัลแวร์เข้ามาจากระยะไกลได้ เชื่อเป็นการโจมตีแบบ State-sponsored ที่มีหน่วยงานรัฐหนุนหลัง

Read More »

พบ Backdoor บน Cisco WAAS เสี่ยงถูกเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต

Aaron Blair นักวิขัยด้านความมั่นคงปลอดภัยจาก RIoT Solutions ออกมาเปิดเผยถึง Backdoor ที่นักพัฒนา Cisco เผลอเหลือทิ้งไว้ใน Cisco Wide Area Application Services (Cisco WAAS) เสี่ยงถูกผู้ไม่ประสงค์ดีใช้เข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาตได้

Read More »

นักวิจัยพบช่องโหว่ใช้ฟีเจอร์ CSS ทราบชื่อและรูปโปรไฟล์ Facebook ของผู้ใช้งาน

นาย Ruslan Habalov นักวิจัยจาก Google และ Dario Weißer พบช่องโหว่ที่ระดับ Browser อย่าง Chrome และ Firefox ที่รองรับฟีเจอร์ ‘mix-blend-node’ ของ Cascading Style Sheet 3 (CSS3) หรือเทคโนโลยีที่ใช้ในการสร้างเว็บเพจ ส่งผลให้ผู้โจมตีสามารถได้รับข้อมูลชื่อผู้ใช้งาน ภาพโปรไฟล์ Facebook และชื่อไซต์ที่ถูกกดไลค์

Read More »

Apple แพตช์อุตช่องโหว่ macOS iOS Safari และผลิตภัณฑ์อื่นๆ

Apple ได้แพตช์อุตช่องโหว่หลายรายการบนผลิตภัณฑ์อย่าง macOS, iOS, watchOS, iTunes บน Windows, tvOS และ iCloud สำหรับ Windows และ Safari โดยมีช่องโหว่ 2 รายการที่มีผลกระทบกับ Kernel กับหลายผลิตภัณฑ์

Read More »

ผู้เชี่ยวชาญพบสามารถลัดผ่าน reCAPTCHA ด้วย HTTP Parameter Pollution

Andres Riancho ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้แจ้งพบช่องโหว่ที่ช่วยให้ผู้โจมตีลัดผ่านกระบวนการ Google reCAPTCHA ในเว็บแอปพลิเคชันที่มีการเรียกใช้งานอย่างไม่ปลอดภัย (/recaptcha/api/siteverify) โดยใช้วิธีการ Http Parameter Pollution ซึ่งนักวิจัยได้ค่าตอบแทนจาก Google ไปประมาณ $500 เหรียญสหรัฐ

Read More »

พบช่องโหว่ระดับร้ายแรงใน IBM QRadar แนะนำควรอัปเดต

Pedro Ribeiro นักวิจัยด้านความมั่นคงปลอดภัยได้รายงาน 3 ช่องโหว่ของ IBM QRadar ซึ่งมีผลเมื่อใช้ประกอบกันทำให้ผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนจากทางไกลสามารถลัดผ่านกระบวนการพิสูจน์ตัวตนและลอบรันค่ำสั่งด้วยสิทธิ์ระดับผู้ดูแลได้

Read More »

Chrome 67 พร้อมใช้งานแล้วทั้ง Mac linux Windows

Google ได้ปล่อย Chrome เวอร์ชัน Stable มาให้ผู้ใช้งานกันแล้วในหมายเลข v67.0.3396.62 ซึ่งจาก Release Note มีความสามารถใหม่ๆ ที่เพิ่มขึ้นมา เช่น  API สนับสนุนเรื่อง AR และ VR เพิ่มความสามารถ API ของ Generic Sensors รองรับโปรโตคอล Passwordless เป็นต้น

Read More »

EOS Blockchain Node เริ่มถูก Scan เพื่อเจาะช่องโหว่บน API

GreyNoise ผู้พัฒนาระบบ Threat Intelligence ได้ออกมาแจ้งเตือนถึงการค้นพบพฤติกรรมการค้นหา EOS Blockchain Node บน IP Address จริง เพื่อมุ่งเป้าโจมตีช่องโหว่บน EOS RPC API โดยเฉพาะ

Read More »

นักวิจัยพบช่องโหว่ Remote Code Execution บนระบบ Blockchain-based EOS Smart Contract System

นักวิจัยด้าน Security ชาวจีนสองคนจาก Qihoo 360 ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่บน EOS ซึ่งเป็นระบบ Open Source Smart Contract Platform ซึ่งเปิดให้ผู้โจมตีสามารถเข้ายึด Supernode ใน EOS Network ได้ และนำไปสู่การโจมตีต่อเนื่องเพื่อเข้ายึดเครื่องอื่นๆ ใน Network ได้อีกด้วย

Read More »

นักวิจัยพบช่องโหว่ร้ายแรงจำนวนมากบนหุ่น Pepper ของ Softbank อาจถูกนำไปใช้เป็นอาวุธได้

Alberto Giaretta นักวิจัยจาก Örebro University ได้ร่วมมือกับ Michele De Donno และ Nicola Drgoni นักวิจัยจาก Technical University of Sweden ในการค้นหาช่องโหว่ของหุ่นยนต์ Pepper จาก Softbank ซึ่งถูกนำไปใช้งานจริงในอุตสาหกรรมต่างๆ หลากหลายทั่วโลก และพบว่าตัวหุ่นยนต์นั้นมีช่องโหว่ความรุนแรงระดับสูงเป็นจำนวนมาก และอาจถูกผู้ประสงค์ร้ายเจาะโจมตีช่องโหว่เหล่านั้น เพื่อเปลี่ยนหุ่นยนต์ให้กลายเป็นอาวุธได้

Read More »

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Read More »

นักวิจัยพบช่องโหว่บน BMW หลาย Series ทั้ง i, X, 3, 5, 7

นักวิจัยด้านความมั่นคงปลอดภัยจาก Keen บริษัทสัญชาติจีนหน่วยงานวิจัยของ Tencent ได้วิเคราะห์เชิงลึกในระบบของรถยนต์ BMW และค้นพบช่องโหว่กว่า 12 รายการที่สามารถใช้งานได้จากระยะไกล คาดว่าส่งผลกระทบกับ Series ต่างๆ ของรถในรุ่น i, X, 3, 5, 7 

Read More »

Cyber Leadership Forum 2018 เปิดลงทะเบียนช่วง Early Bird แล้ว

Software Park Thailand ร่วม ACIS Professional Center ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนา Cyber Leadership Forum 2018 (CLF2018) เพื่อเปิดมุมมองวิวัฒนาการทางเทคโนโลยีนับจากอดีต ปัจจุบัน อนาคต เพื่อสร้างความพร้อมต่อการเปลี่ยนแปลงที่กำลังจะมาถึงซึ่งจะพลิกโฉมโลกใบนี้ โดยการสัมมนาจะโฟกัสที่ 5 เทคโนโลยีหลัก คือ Blockchain, Big Data Analytics, AI & ML, IoT และ Cybersecurity & Privacy ที่จัดว่าเป็น Digital Disruption Technologies

Read More »

VMware ออกแพตช์อุตช่องโหว่บน Fusion และ Workstation

เมื่อวันจันทร์ที่ผ่านมาทาง VM ได้แจ้งผู้ใช้งาน Fusion และ Workstation ให้อัปแพตช์เพื่ออุตช่องโหว่ระดับสำคัญที่สามารถทำให้เกิด DoS และ การยกระดับสิทธิ์ได้ 

Read More »

Linux Kernel ออกอัปเดตแก้ Meltdown & Spectre Variant 4 บน Intel, AMD, ARM, IBM POWER แล้ว

ทีมพัฒนา Linux Kernel ได้ออกมาประกาศอัปเดตให้ Linux Kernel รุ่น 4.9.102, 4.14.43 และ 4.16.11 สำหรับอุดช่องโหว่ Meltdown & Spectre Variant 4 บน CPU จาก Intel, AMD, ARM และ IBM POWER เรียบร้อยแล้ว

Read More »