Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

Cisco ออกแพตช์อุดช่องโหว่ใน ASR 9000, WLAN Controller และซอฟต์แวร์ IOS/IOS XE แนะนำเร่งอัปเดต

Cisco ได้ประกาศออกแพตช์ช่องโหว่ในผลิตภัณฑ์ต่างๆ รวม 31 รายการประกอบด้วย 2 รายการเป็นช่องโหว่ระดับร้ายแรง (CVE 9.8) 6 รายการเป็นระดับรุนแรงสูงและสุดท้าย 23 รายการเป็นระดับปานกลาง โดยช่องโหว่รุนแรงเกิดกับซอฟต์แวร์ IOS หรือ IOS XE และเราเตอร์ ASR 9000 จึงแนะนำผู้ใช้รีบอัปเดต

Read More »

Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถแฮ็กเว็บไซต์ที่ใช้ Drupal ได้ แนะนำให้ผู้ดูแลระบบอัปเดตแพตช์โดยเร็ว

Read More »

พบช่องโหว่บนไดร์ฟเวอร์ Wi-Fi จาก Broadcom คาดกระทบอุปกรณ์จำนวนมาก

Hugues Anguelkov นักวิจัยด้านความมั่นคงปลอดภัยได้รายงานช่องโหว่ 5 รายการที่เกิดบนไดร์ฟเวอร์ชิป Wi-Fi จาก Broadcom โดยสามารถนำไปสู่การโจมตีแบบ DoS และ Remote Code Execution ได้

Read More »

Cisco Talos รายงานเตือน DNS Hijacking ผ่านปฏิบัติการ ‘Sea Turtle’

Cisco Talos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกรายงานเตือนเหตุการณ์ DNS Hijacking ครั้งใหญ่ที่เกิดขึ้นในแถบตะวันออกกลางและแอฟริกาเหนือที่กำลังดำเนินอยู่ โดยปฏิบัติการครั้งนี้ถูกขนานนามว่า ‘Sea Turtle’ ที่คาดว่าจะได้รับการสนับสนุนจากรัฐเพื่อมุ่งเน้นการขโมย Credentials อีกทั้งตรวจจับได้ยากผ่านเทคนิคซับซ้อน

Read More »

Apache Tomcat ออกแพตช์อุดช่องโหว่ Remote Code Execution

Apache Software Foundation (ASF) ออกแพตช์อุดช่องโหว่ความรุนแรงระดับ Important บน Apache Tomcat ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมจากระยะไกลและเข้าควบคุมเซิร์ฟเวอร์เป้าหมายได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

Read More »

Tenable Research Advisories อัปเดตช่องโหว่น่าสนใจวันที่ 2019-04-14

ทาง Tenable ได้ออกมาสรุปช่องโหว่ใน Tenable Research Advisories รอบประจำวันที่ 2019-04-14 โดยมีช่องโหว่จาก Palo Alto Networks, Citrix, Verizon, MikroTik และ Advantech ดังนี้

Read More »

US-CERT เตือน ระบบ VPN ของ Cisco, Palo Alto, F5 และ Pulse มีช่องโหว่ และบางรายยังไม่มี Patch

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ภายใต้ Department of Homeland Security (DHS) แห่งสหรัฐอเมริกาได้ออกมาเตือนถึงช่องโหว่ภายในระบบ VPN ของผู้ผลิตชั้นนำอย่าง Cisco, Palo Alto Networks, F5 Networks และ Pulse Secure ที่อาจถูกใช้โจมตีได้

Read More »

Juniper ออก Patch แก้ Hardcoded Password ใน Data Center Switch

สำหรับผู้ที่ใช้งาน Juniper Networks ใน Data Center นั้นก็อาจต้องวางแผน Patch กันแล้ว เมื่อ Juniper ออก Patch มาแก้ไข Hardcoded Password ใน Switch ของตนเอง

Read More »

ผู้เชี่ยวชาญเผยโค้ด PoC ช่องโหว่ยกระดับสิทธิ์ที่ Microsoft แพตช์ล่าสุดสู่สาธารณะ

Nabeel Ahmed หนึ่งในนักวิจัยด้านความมั่นคงปลอดภัยจาก Dimension Data ผู้ค้นพบช่องโหว่การยกระดับสิทธิ์หมายเลข CVE-2019-0841 ที่ทาง Microsoft เพิ่งออกแพตช์ไปเมื่อวันอังคารได้ออกมาเปิดเผยโค้ดสู่สาธารณะแล้ว

Read More »

พบช่องโหว่ใหม่บน WPA3 ‘Dragonblood’

นักวิจัยกลุ่มเดิมที่ค้นพบช่องโหว่ KRACK บนมาตรฐาน WPA2 ได้ค้นพบช่องโหว่บนมาตรฐานใหม่อย่าง WPA3 แล้ว โดยให้ชื่อว่า ‘Dragonblood’ ที่ภายในมีช่องโหว่ย่อย 5 รายการคือ DoS, Downgrade Attack และ Side-channel Attack ซึ่งช่องโหว่ทำให้ผู้โจมตีที่อยู่ภายในระยะสัญญาณสามารถ Recover รหัสผ่านและเจาะเข้าไปยังเครือข่ายของเหยื่อได้

Read More »

Adobe ออกแพตช์ประจำเดือนเมษายน 2019 อุดช่องโหว่บน Flash, Acrobat Reader, Shockwave และอื่นๆ

Adobe ออกแพตช์ประจำเดือนเมษายน 2019 อุดช่องโหว่บน Flash Player, Acrobat and Reader, Shockwave Player, Dreamweaver และผลิตภัณฑ์อื่นๆ รวมทั้งสิ้น 40 รายการ ไม่ว่าจะเป็น Arbitrary Code Execution, Information Disclosure และ Remote Code Execution

Read More »

Microsoft แพตช์ประจำเดือนเมษายน 2019 อุดช่องโหว่ความมั่นคงปลอดภัยกว่า 74 รายการ

ถึงเวลาแล้วสำหรับแพตช์ประจำเดือนจาก Microsoft ซึ่งครั้งนี้มีการแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยกว่า 74 รายการ โดย 15 รายการถูกจัดอยู่ในระดับรายแรงและมี 2 รายการถูกใช้โจมตีจริงแล้ว ดังนั้นแนะนำผู้ดูแลระบบควรอัปเดต

Read More »

นักวิจัยโชว์วีดีโอหลอกเซนเซอร์ลายนิ้วมือของ Galaxy S10 ได้สำเร็จ

นักวิจัยได้โพสต์แสดงวีดีโอสาธิตการใช้แผ่นพิมพ์ลายนิ้วมือเจ้าของอุปกรณ์ Samsung Galaxy S10 ที่ได้จากเครื่องพิมพ์ 3 มิติซึ่งสามารถผ่านการตรวจสอบลายนิ้วมือของเครื่องได้อย่างง่ายดาย

Read More »

[BHAsia 2019] Trend Micro พบช่องโหว่หลายรายการบนรีโมตควบคุมเครื่องจักรยอดนิยม 7 ยี่ห้อ

Philippe Lin และ Akira Urano 2 นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ออกมาแจ้งเตือนถึงช่องโหว่หลายรายการบนรีโมตควบคุมเครื่องจักรผ่านสัญญาณวิทยุยอดนิยม 7 ยี่ห้อที่ใช้ในสถานที่ก่อสร้างและโรงงาน ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องจักรได้ พร้อมสาธิตการโจมตีจริงภายในงานประชุม Black Hat Asia 2019 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา

Read More »

เตือนผู้ใช้ Xiaomi เสี่ยงถูกแฮ็กผ่านแอป Antivirus ที่ติดตั้งมากับตัวเครื่องได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ออกมาแจ้งเตือนผู้ใช้สมาร์ตโฟน Xiaomi หลังพบว่าแอปพิลเคชันด้านความมั่นคงปลอดภัยที่ติดตั้งมาจากโรงงานรวมแล้วกว่า 150 ล้านเครื่องมีช่องโหว่ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถแฮ็กอุปกรณ์จากระยะไกลได้

Read More »

พบช่องโหว่บนแอปพลิเคชัน WordPress บน iOS แนะผู้ใช้ควรอัปเดต

Automattic เจ้าของแพลตฟอร์มบล็อกชื่อดังอย่าง WordPress ได้ออกประกาศแพตช์ในแอปพลิเคชัน iOS ที่พบช่องโหว่ซึ่งทำให้เกิดการเปิยเผย Security Token กับเว็บไซต์ Third-party ได้

Read More »

นักวิจัยเผยโค้ด PoC ช่องโหว่บน IE และ Edge สู่สาธารณะ

James Lee นักวิจัยด้านความมั่นคงปลอดภัยได้เผยโค้ดช่องโหว่ Bypass กระบวนการป้องกันของ Same-origin policy (SOP) บนผลิตภัณฑ์ IE และ Edge หลังจากที่ไม่ได้รับการตอบกลับและยังไม่แก้ไขเมื่อแจ้งปัญหาเข้าไปนานถึง 10 เดือน

Read More »

Apache ออก Patch อุดช่องโหว่เข้าถึงสิทธิ์ Root เตือนผู้ให้บริการ Hosting ควรอัปเดตโดยด่วน

ทีมพัฒนา Apache HTTP Server ได้ออกอัปเดต Patch อุดช่องโหว่บน Apache HTTP Server 2.4 ซึ่งทำให้ผู้โจมตีซึ่งอยู่ในเครื่องนั้นๆ สามารถเข้าถึงสิทธิ์ระดับ Root ได้ นั่นแปลว่าธุรกิจ Hosting ใดก็ตามที่ใช้ Apache HTTP Server รุ่นที่มีช่องโหว่ดังกล่าว อาจถูกผู้ใช้งานภายในเครื่องนั้นๆ เข้าถึงสิทธิ์ Root ได้นั่นเอง ทำให้ทีมพัฒนาต้องออกมาเตือนถึงประเด็นนี้กันโดยเฉพาะ และย้ำให้ผู้ใช้งานทำการ Patch ให้เป็นรุ่น 2.4.39 โดยด่วน

Read More »

เตือนช่องโหว่ SQL Injection บน Magento อาจถูกใช้โจมตีเป็นวงกว้างในไม่ช้า ควรเร่ง Patch ทันที

หลังจากที่สัปดาห์ที่แล้ว Adobe ได้ออกมาประกาศ Patch ล่าสุดให้กับ Magento ระบบ E-Commerce ที่ได้รับความนิยมสูงทั่วโลก เพื่ออุดช่องโหว่ SQL Injection ไป ตอนนี้ก็เริ่มมีเหล่าผู้เชี่ยวชาญด้าน Security ออกมาแจ้งเตือนกันแล้วว่าช่องโหว่ดังกล่าวอาจถูกใช้ในการโจมตีทั่วโลกในไม่ใช้านี้ และแนะนำให้ธุรกิจต่างๆ ที่ใช้งาน Magento อยู่นั้นรีบอัปเดต Patch อุดช่องโหว่กันทันที

Read More »

พบช่องโหว่ XSS ในไลบรารี่ JavaScript กระทบ Search และผลิตภัณฑ์อื่นของ Google

Masato Kinugawa นักวิจัยความมั่นคงปลอดภัยชาวญี่ปุ่นได้ค้นพบช่องโหว่ XSS บนไลบรารี่ JavaScript ซึ่งถูกใช้ใน Google Search และผลิตภัณฑ์อื่นๆ จาก Google ด้วย

Read More »