Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

Read More »

WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

Read More »

แฮ็กเกอร์ขโมย Credentials บริการของรัฐบาลในหลายประเทศปล่อยไว้ในออนไลน์

Group-IB บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยถึงการค้นพบ Credentials ของบริการรัฐบาลในหลายประเทศผ่านทางออนไลน์ระหว่างการตามรอยมัลแวร์ ซึ่งมีเหยื่อกว่า 4 หมื่นรายและเชื่อว่า Crendentials ดังกล่าวอาจถูกเร่ขายในตลาดใต้ดินของกลุ่มแฮ็กเกอร์

Read More »

Microsoft แพตช์เดือนธันวาคมแก้ไขช่องโหว่ Zero-day ที่ถูกใช้แล้ว แนะผู้ใช้รีบอัปเดต

Microsoft ได้ออกแพตช์ของเดือนธันวาคมที่แก้ไขช่องโหว่กว่า 39 รายการ โดย 10 รายการถูกจัดอยู่ในระดับความร้ายแรงสูงและหนึ่งในนั้นเป็นช่องโหว่ Zero-day ที่นำไปสู่การยกระดับสิทธิ์ที่ถูกนำไปใช้งานแล้วในมัลแวร์ ดังนั้นแนะนำผู้ใช้งานเร่งอัปเดตโดยทันที

Read More »

phpMyAdmin ออกอัปเดตฉุกเฉิน อุดช่องโหว่รุนแรงระดับสูง ควรอัปเดตทันที

ทีมพัฒนา phpMyAdmin ได้ออกอัปเดตรุ่น 4.8.4 เพื่ออุดช่องโหว่ความรุนแรงระดับสูงหลายรายการที่เปิดให้ผู้โจมตีสามารถเข้ายึดครองเว็บไซต์ได้จากระยะไกล และแนะนำให้ผู้ใช้งานทำการอัปเดตทันทีก่อนที่จะถูกโจมตี

Read More »

Google+ ประกาศปิดตัวเร็วขึ้น 4 เดือน หลังพบบั๊กใหม่ที่เข้าถึงข้อมูลผู้ใช้ 52.5 ล้านรายได้

Google+ ได้ประกาศเลื่อนวันปิดตัวเร็วขึ้นจากเดิม 4 เดือน มาเป็นเดือนเมษายน 2019 แทน หลังพบบั๊กใหม่ในระบบของตนที่ทำให้ข้อมูลส่วนตัวของผู้ใช้งานกว่า 52.5 ล้านรายถูกเข้าถึงได้โดยไม่ได้รับอนุญาต

Read More »

Adobe ออกแพตช์เร่งด่วนอุดช่องโหว่ Zero-Day บน Flash Player หลังพบถูกใช้ในรัสเซีย

Qihoo 360 ทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากจีนและ Gigamon ผู้ให้บริการโซลูชันด้านเครือข่ายได้ตรวจพบการโจมตีแบบ APT ที่ใช้ช่องโหว่บน Flash Player เกิดขึ้นกับคลีนิกเสริมความงามแห่งหนึ่งในรัสเซียที่มีลูกจ้างระดับสูงของสหภาพโซเวียตเข้าไปใช้บริการจึงคาดว่าน่าจะเป็นประเด็นทางการเมือง โดยการโจมตีครั้งนี้ถูกเรียกว่า “Operation Poison Needles”

Read More »

Kubernetes ออกอัปเดตอุดช่องโหว่ร้ายแรง ถูกโจมตีได้ง่าย เข้าถึงและควบคุมระบบได้จากระยะไกล

Kubernetes ได้ออกอัปเดตรุ่น 1.10.11, 1.11.5 และ 1.12.3 เพื่ออุดช่องโหว่ความรุนแรงระดับสูงสุดที่ได้รับรหัส CVE-2018-1002105 ซึ่งเปิดให้ผู้โจมตีสามารถทำการโจมตีได้จากระยะไกลด้วยวิธีการที่ไม่ซับซ้อน พร้อมแนะนำให้ผู้ใช้งานทำการอัปเดตทันทีเพื่อความปลอดภัย

Read More »

Cisco ออกแพตช์เพิ่มเติมปิดช่องโหว่บน WebEx Meeting

เมื่อช่วงปลายเดือนที่แล้วทาง Cisco ได้ออกแพตช์อุตช่องโหว่บนผลิตภัณฑ์ WebEx ไปแล้วแต่หลังจากที่ได้เผยแพร่โค้ด PoC ออกไป มีนักวิจัยจาก SecureAuth ได้พบว่าแพตช์ของ Cisco นั้นยังไม่สมบูรณ์จึงได้แจ้งกลับไปยัง Cisco และเป็นที่มาของแพตช์ในเวอร์ชันล่าสุดนี้

Read More »

ฟรี eBook: SecOps for Dummies โดย BMC

BMC ผู้ให้บริการซอฟต์แวร์ IT Service Management ชั้นนำ เปิดให้ดาวน์โหลด eBook เรื่อง “SecOps for Dummies” เพื่อช่วยลดความเสี่ยงด้านความมั่นคงปลอดภัยขององค์กรโดยการปิดช่องว่างด้านการติดต่อสื่อสารระหว่างทีม Security และ Operations ผู้ที่สนใจสามารถดาวน์โหลด eBook ไปศึกษาได้ฟรี

Read More »

Atrium Health ถูกโจมตีฐานข้อมูลกระทบลูกค้ากว่า 2.65 ล้านราย

Atrium Health ผู้ปฏิบัติการเครือข่ายโรงพยาบาลรายใหญ่ในอเมริกาได้แจ้งเตือนลูกค้าถึงความเสี่ยงว่าอาจมีการทำข้อมูลรั่วไหลจากผู้รับเหมาที่ดูแลโซลูชันด้านเทคโนโลยีให้บริษัทที่ชื่อ AccuDoc

Read More »

พบไลบรารี JavaScript ยอดนิยมถูกฝังโค้ดอันตรายขโมย Bitcoin

มีรายงานพบไลบรารี JavaScript ชื่อ ‘Event-Stream’ ที่ถูกดาวน์โหลดไปแล้วหลายล้านครั้งได้ถูกแฮ็กเกอร์ฝังโค้ดอันตรายเข้ามาเพื่อมุ่งขโมย Bitcoin และ Bitcoin Cash จากแอปพลิเคชันกระเป๋าเงิน Bitcoin ที่ชื่อ Copay

Read More »

Microsoft เผยสาเหตุบริการ Multi-Factor Authen ใช้ไม่ได้วันที่ 19 ไม่ทันไรร่วงซ้ำอีกเมื่อวาน

Microsoft ได้ออกมาเผยรายละเอียดเรื่อง Multi-factor Authentication (MFA) บนคลาวด์ที่มีปัญหาใช้งานไม่ได้กว่าครึ่งวันเมื่อวันที่ 19 พฤศจิกายนแล้ว แต่ไม่ทันไรเมื่อวานนี้มีผู้ใช้งานบางส่วนรายงานพบปัญหาใช้งานไม่ได้เข้ามาอีกถือเป็นปัญหาเดิมครั้งที่ 2 ในรอบไม่ถึง 10 วันแล้ว

Read More »

CDIC 2018: สรุปแนวโน้มด้านภัยคุกคามและประเด็นด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุดในไทย

ทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงาน “Cyber Defense Initiative Conference (CDIC) 2018” ซึ่งเป็นงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทย จึงได้สรุปเนื้อหาในเซสชัน Keynote ไม่ว่าจะเป็นเรื่องแผนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ, อัปเดตร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ล่าสุด และแนวโน้มด้านภัยคุกคามไซเบอร์ในปี 2019 มาให้ได้อ่านกันครับ

Read More »

พบมัลแวร์ตัวใหม่ฟีเจอร์ครบครันมุ่งโจมตีผู้ใช้งาน Linux

Dr.Web ผู้ให้บริการ Antivirus จากรัสเซียได้พบมัลแวร์โทรจันตัวใหม่ที่มีความสามารถหลากหลายและโจมตีอยู่บนระบบปฏิบัติการ Linux อย่างไรก็ตามยังไม่มีการตั้งชื่อเรียกอย่างเป็นทางการเพียงแต่ให้ชื่อติดตามว่า ‘LinuxBtcMine174’ โดยจุดประสงค์คือการฝังตัวและขุดเหมืองบนเครื่องผู้ใช้งาน อีกทั้งยังสามารถสแกนหาเครื่องที่เชื่อมต่อกันผ่านทาง SSH ได้อีกด้วย

Read More »

พบ 3 ช่องโหว่บน Safari เปิดเว็บปุ๊บ ถูกแฮ็กเลย

เมื่อต้นสัปดาห์ที่ผ่านมา ทีมนักพัฒนาของ Dropbox ออกมาเปิดเผยถึง 3 ช่องโหว่ความรุนแรงระดับสูงบนระบบปฏิบัติการ Apple macOS ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมบนเครื่อง Mac ได้ทันที เพียงแค่หลอกให้เหยื่อเปิดหน้าเว็บไซต์ของตนเท่านั้น

Read More »

แฮ็ก Facebook และ Instagram ได้ รับไปเลย 1,300,000 บาท

Facebook ประกาศเพิ่มเงินรางวัลสำหรับผู้ที่ค้นพบช่องโหว่บนเว็บไซต์และแอปพลิเคชันบนสมาร์ตโฟนที่ช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมบัญชีของผู้ใช้ได้ผ่านทาง Bug Bounty Program โดยจะมอบเงินรางวัลให้โดยเฉลี่ยสูงถึง $40,000 หรือประมาณ 1,300,000 บาท

Read More »

Dell EMC และ VMware แพตช์อุตช่องโหว่หลายรายการแนะควรอัปเดต

TSS บริษัทด้านความมั่นคงปลอดภัยสัญชาติออสเตรเลียได้รายงานพบช่องโหว่หลายรายการบนผลิตภัณฑ์ Avamar และ Integration Data protection Appliance (IDPA) นอกจากนี้ยังส่งผลกระทบไปถึงผลิตภัณฑ์ vSphere Data Protection (VDP) ที่มีพื้นฐานมากจาก Avamar Virtual Edition จึงต้องออกแพตช์มาด้วย

Read More »

เตือน 3 ช่องโหว่ RCE บน Atlantis Word Processor เสี่ยงถูกแฮ็กคอมพิวเตอร์

Cisco Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูง 3 รายการบน Atlantis Word Processor ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมจากระยะไกลและเข้าควบคุมระบบคอมพิวเตอร์ได้

Read More »

พบช่องโหว่บน AMP WordPress Plugin แนะผู้ใช้รีบอัปเดต

Sybre Waaijer นักพัฒนา Plugin บน WordPress ได้ค้นพบช่องโหว่ใน AMP for WP หรือ Plugin ตัวหนึ่งที่มีผู้ใช้กว่าแสนคนซึ่งทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธิ์เข้าถึงในระดับผู้ดูแลไปยังเว็บไซต์ได้

Read More »