Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

บายพาสระบบป้องกัน ASLR ด้วยโค้ด JavaScript แบบง่ายๆ

ทีมนักวิจัยจาก Vrije University ประเทศเนเธอร์แลนด์ ประสบความสำเร็จในการบายพาสระบบป้องกัน ASLR บนสถาปัตยกรรม Microprocessor มากถึง 22 ราย ไม่ว่าจะเป็น Intel, AMD, ARM, Allwinner, Nvidia และอื่นๆ โดยใช้โค้ดภาษา JavaScript ง่ายๆ เท่านั้น เรียกการโจมตีนี้ว่า ASLR⊕Cache หรือ AnC

Read More »

อัปเดตด่วน!! WordPress กว่า 67,000 ไซต์ถูกแฮ็ค จากช่องโหว่ที่ถูกอุดแบบเงียบๆ

สัปดาห์ที่ผ่านมา WordPress แอบออกแพทช์เวอร์ชัน 4.7.2 อุดช่องโหว่ Zero-day ได้แก่ Content Injection และ Privilege Escalation แบบเงียบๆ โดยให้เหตุผลว่าเป็นช่องโหว่อันตรายที่ไม่ควรเผยให้สาธารณะรับทราบ เพราะแฮ็คเกอร์อาจนำไปใช้โจมตีเว็บไซต์ WordPress กว่าล้านเว็บทั่วโลกได้ และวันนี้ ความกลัวนั้นเป็นจริงแล้ว

Read More »

สรุปรายงาน Cybersecurity Report ประจำปี 2017 จาก Cisco

Cisco ผู้ให้บริการโซลูชันระบบเครือข่ายและ Data Center ชื่อดัง ออกรายงาน Cisco 2017 Annual Cybersecurity Report (ACR) ซึ่งเป็นผลการวิเคราะห์รูปแบบภัยคุกคามและแนวโน้มประจำปี 2016 รวมไปถึงผลสำรวจจากผู้เชี่ยวชาญทั่วโลกกว่า 2,900 คน พร้อมให้คำแนะนำถึงวิธีการรักษาความมั่นคงปลอดภัยในปี 2017 ซึ่งสามารถสรุปได้ดังนี้

Read More »

Cloud-AI: ระบบปัญญาประดิษฐ์ที่หาช่องโหว่บน LinkedIn ได้ถึง 10 รายการ

Artificial Intelligence (AI) และ Machine Learning กำลังถูกนำมาใช้เพื่อสนับสนุนระบบความมั่นคงปลอดภัยมากยิ่งขึ้น การค้นหาและตรวจสอบช่องโหว่ระบบ IT ที่นับวันจะมีขนาดใหญ่โตขึ้นเรื่อยๆ กลายเป็นความท้าทายของทีมรักษาความมั่นคงปลอดภัย หลายบริษัทจึงเริ่มคาดหวังที่จะนำระบบ AI และ Machine Learning เข้ามาช่วยค้นหาช่องโหว่และวิเคราะห์โค้ดโปรแกรมก่อนที่แฮ็คเกอร์จะหาเจอ

Read More »

พบช่องโหว่ Zero-Day บนโปรโตคอล SMB ชี้ Windows หลายเวอร์ชันได้รับผลกระทบ

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ออกมาเปิดเผยถึง Security Advisory สำหรับรับมือกับช่องโหว่ Zero-day บนโปรโตคอล SMBv3 ซึ่งส่งผลกระทบต่อผู้ใช้ระบบปฏิบัติการ Windows หลายเวอร์ชัน ไม่เว้นแม้แต่เวอร์ชันใหม่ๆ อย่าง Windows 10 และ Server 2016

Read More »

WordPress ออกแพทช์อุดช่องโหว่ Zero-day Content Injection แบบเงียบๆ

WordPress ผู้ให้บริการ CMS ชื่อดัง แอบออกอัปเดตแพทช์เพื่ออุดช่องโหว่ Zero-day บน WordPress REST API ประกอบด้วยช่องโหว่ Content Injection และ Privilege Escalation ซึ่งช่วยให้แฮ็คเกอร์สามารถแก้ไขหรือลบ Pages และ Posts บน WordPress ได้โดยที่ผู้ใช้ไม่รู้ตัว

Read More »

OpenSSL ออกแพทช์ใหม่ อุดช่องโหว่ DoS

เมื่อเช้าที่ผ่านมา OpenSSL ประกาศออกแพทช์อัปเดตใหม่ สำหรับแก้ไขบั๊ก Denial-of-service 3 รายการ ดังนี้

Read More »

Cisco ออกแพทช์ WebEx Plug-in เวอร์ชัน 1.0.7 แก้ช่องโหว่ Remote Code Execution

หลังจากที่สัปดาห์ก่อน Tavis Ormandy นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่บน WebEx Plug-in สำหรับ Google Chrome ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดแปลกปลอมเข้ามารันบนเครื่องจากระยะไกลได้ วันนี้ Cisco ได้ออกแพทช์สำหรับ WebEx Plug-in เวอร์ชัน 1.0.7 ยืนยัน อุดช่องโหว่ได้ 100%

Read More »

พบช่องโหว่บน Cisco WebEx Plug-in เสี่ยงดาวน์โหลดมัลแวร์มาติดตั้งโดยไม่รู้ตัว

Tavis Ormandy นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเตือนภัยถึงช่องโหว่บน Cisco WebEx Extension ที่ติดตั้งบน Google Chrome ส่งผลให้ผู้ใช้ระบบปฏิบัติการ Windows กว่า 20 ล้านคนอาจถูกโจมตีแบบ Remote Code Execution เมื่อเข้าถึงเว็บไซต์อันตรายที่แฮ็คเกอร์เตรียมไว้ได้

Read More »

Apple ออกแพทช์อุดช่องโหว่บน macOS, iOS และผลิตภัณฑ์อื่นๆ กว่า 50 รายการ

วันที่ 23 มกราคมที่ผ่านมา Apple ออกแพทช์อัปเดตสำหรับ macOS, iOS, Safari, tvOS, iCloud และ watchOS เพื่ออุดช่องโหว่ด้านความมั่นคงปลอดภัยรวม 56 รายการ ซึ่ง 29 รายการในนั้นเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution เพื่อลอบส่งโค้ดแปลกปลอมไปรันบนเครื่องของเหยื่อได้

Read More »

ผ่านมา 3 ปี กว่า 200,000 เว็บไซต์ยังคงมีช่องโหว่ Heartbleed

Shodan ผู้ให้บริการ Search Engine สำหรับอุปกรณ์​ IoT ออกรายงานฉบับล่าสุด ระบุว่า หลังจากที่ช่องโหว่ Heartbleed บน OpenSSL ถูกค้นพบเมื่อเกือบ 3 ปีก่อน จนถึงตอนนี้ยังคงมีเว็บไซต์ที่มีช่องโหว่ดังกล่าวมากถึง 199,500 เว็บไซต์

Read More »

เตรียมเปิดตัว Kali Linux Certified Professional ใบรับรองผู้เชี่ยวชาญ Kali Linux

Kali Linux Distribution ฉลองครบรอบ 10 ปีด้วยการประกาศเตรียมเปิดตัว Certificate สำหรับผู้เชี่ยวชาญการใช้ Kali Linux คือ Kali Linux Certified Professional (KLCP) ภายในงาน Black Hat USA 2017 ที่จะจัดขึ้นในเดือนกรกฎาคมนี้

Read More »

พบบั๊กบน iPhone ทำเครื่องแครชง่ายๆ เพียงส่งไอคอน Emoji

ไม่กี่วันที่ผ่านมา หลายสำนักข่าวและหลาย Blog ได้นำเสนอถึงการค้นพบบั๊กบนระบบปฏิบัติการ Apple iOS ซึ่งช่วยให้ผู้ใช้สามารถแกล้งคนอื่นได้ด้วยการส่งข้อความไอคอน Emoji ไปทาง iMessage ส่งผลให้อุปกรณ์​ iPhone หรือ iPad ของผู้รับเกิดการแครชและรีสตาร์ทตัวเองใหม่

Read More »

Oracle ออก Patch ประจำไตรมาสแรกปี 2017 อุดช่องโหว่รวม 270 รายการ

Oracle ผู้ให้บริการโซลูชันฐานข้อมูลและแอพพลิเคชันเชิงธุรกิจบนระบบ Cloud ชื่อดัง ออก Critical Patch Update ประจำไตรมาสแรกของปี 2017 อุดช่องโหว่บนผลิตภัณฑ์ทั้งหมดรวม 270 รายการ ซึ่งมากกว่า 100 รายการเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถทำอันตรายระบบจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนได้

Read More »

US-CERT แนะ Admin ใช้ Firewall ปิด Windows SMB

US Computer Emergency Readiness Team หรือ US-CERT ออกมาแนะนำให้ผู้ดูแลระบบขององค์กรยกเลิกการใช้โปรโตคอล Windows SMB เวอร์ชันเก่า และใช้ Firewall ในการควบคุมการเข้าถึง File Server หลังจากที่มีความเป็นไปได้ว่า Zero-day Exploit ของกลุ่มแฮ็คเกอร์ Shadow Brokers จะถูกเผยแพร่สู่สาธารณะเร็วๆ นี้

Read More »

7 เทคนิคที่ช่วยให้ Security Awareness Training มีความน่าสนใจ

Security Awareness Training เป็นสิ่งสำคัญสำหรับทุกองค์กรในการปูพื้นฐานความและสร้างความตระหนักด้าน Cyber Security ให้แก่พนักงาน อย่างไรก็ตาม หลายองค์กรอาจประสบปัญหาการอบรมไม่มีประสิทธิผล ไม่ว่าจะเป็น เกิดความรู้สึกเบื่อหน่าย ไม่มีส่วนร่วมในการอบรม หรือเลวร้ายที่สุดคือไม่สนใจฟัง ทางเว็บ CSO Online จึงได้ออกคำแนะนำ 7 ประการเพื่อให้ Security Awareness Training มีความน่าสนใจและได้ประสิทธิภาพมากยิ่งขึ้น

Read More »

Google Brazil ถูกแฮ็คเปลี่ยนหน้าเว็บนานกว่า 30 นาที

เมื่อบ่ายวันอังคารที่ผ่านมา (ตามเวลาท้องถิ่น) แฮ็คเกอร์นาม “Kuroi’SH” ได้แฮ็คโดเมนของ Google ประเทศบราซิล พร้อมเปลี่ยนหน้าเว็บไซต์ใหม่ ด้านแฮ็คเกอร์ระบุ ต้องการโชว์ให้โลกเห็นว่าไม่มีสิ่งใดที่มั่นคงปลอดภัย 100%

Read More »

NIST ออกเอกสาร SP 800-184 คู่มือแนะนำวิธีการกู้คืนระบบหลังเกิดเหตุการณ์การโจมตีไซเบอร์

สถาบันมาตรฐานและเทคโนโลยแห่งชาติสหรัฐฯ (NIST) ออกเอกสาร Special Publication 800-184 หัวข้อ “Guide for Cybersecurity Event Recovery” ซึ่งเป็นคู่มือแนะนำวิธีการกู้คืนระบบหลังเกิดเหตุการณ์การโจมตีไซเบอร์ รวม 53 หน้า ผู้ที่สนใจสามารถดาวน์โหลดไปศึกษาได้ฟรี

Read More »

12 เหตุการณ์ด้าน Cybersecurity ที่สำคัญในปี 2016 ที่ผ่านมา

ใกล้สิ้นปี 2016 เข้าไปทุกทีแล้ว บทความนี้ทีมงาน TechTalkThai เลยรวบรวมเหตุการณ์ทางด้าน Cyber Security สำคัญๆ จากทั่วโลกที่เกิดขึ้นตลอดปีที่ผ่านมา มาสรุปให้อ่านกันครับ

Read More »

พบช่องโหว่ร้ายแรงบน PHPMailer กระทบเว็บไซต์จำนวนมากทั่วโลก แนะนำให้อัปเดตด่วน

พบช่องโหว่ร้ายแรงบน PHPMailer ระบบ Open Source PHP Library สำหรับใช้ส่ง Email เปิดโอกาสให้ผู้โจมตีสามารถทำ Remote Code Execution ได้

Read More »