Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

Cisco ออกแพทช์อุดช่องโหว่ความรุนแรงระดับ Critical และ High บนระบบ Wireless

Cisco ผู้ให้บริการโซลูชันระบบเครือข่ายและ Data Center แบบครบวงจร ออกแพทช์สำหรับอุดช่องโหว่บนระบบ Wireless ไม่ว่าจะเป็น Wireless LAN Controller หรือ Aironet 1830/1850 Series รวม 5 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์หรือโจมตีแบบ DoS เพื่อหยุดการทำงานได้

Read More »

Intel Security เปิดให้ลูกค้าใช้ McAfee Cloud Visibility – Community Edition ฟรี !!

Intel Security (McAfee) ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง เปิดตัวบริการ McAfee Cloud Visibility – Community Edition ซึ่งเป็นบริการสำหรับตรวจสอบและเฝ้าระวังการใช้ Cloud Applications สำหรับองค์กร เพื่อป้องกันปัญหาข้อมูลรั่วไหลและ Shadow IT โดยมอบสิทธิ์การใช้บริการฟรีให้กับลูกค้าที่ใช้ McAfee DLP, Encryption และ Web Protection โดยเฉพาะ

Read More »

[Black Hat Asia 2017] สรุป Keynote วันที่ 2 เรื่อง “ความจริง 7 ประการด้านความมั่นคงปลอดภัย” โดย Saumil Shah

บทความนี้เป็นสรุปเนื้อหาของเซสชัน Keynote วันที่ 2 ของงานประชุม Black Hat Asia 2017 โดย Saumil Shah ผู้ก่อตั้งและประธานบริษัท Net Square ซึ่งบรรยายในหัวข้อ “THE SEVEN AXIOMS OF SECURITY” เกี่ยวกับความจริง 7 ประการในการพัฒนากลยุทธ์สำหรับการป้องกันเชิงรุก เพื่อรับมือกับภัยคุกคามไซเบอร์ในอนาคต

Read More »

[Black Hat Asia 2017] สรุปเซสชัน Keynote วันแรกของงาน Black Hat Asia 2017 โดย Halvar Flake

ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”

Read More »

Apple ออกอัปเดตล่าสุด อุดช่องโหว่กว่า 223 รายการบน macOS, iOS, Safari, watchOS และ tvOS

เวลา Apple ออกอัปเดตอะไรเรามักจะสนใจ Feature ใหม่ๆ กันเป็นหลัก แต่อัปเดตล่าสุดของ Apple นี้ก็ได้อุดช่องโหว่ด้านความมั่นคงปลอดภัยไปกว่า 223 รายการ บนทั้ง macOS, iOS, Safari, watchOS และ tvOS ไปเรียบร้อย

Read More »

VMware ออก Patch อุดช่องโหว่ความรุนแรงสูงสุดบน ESXi, Workstation, Fusion ที่ถูกเจาะในงาน Pwn2Own แล้ว

VMware ได้ประกาศออก Patch อุดช่องโหว่ในระดับความรุนแรงสูงสุดบนทั้ง VMware ESXi, VMware Workstation และ VMware Fusion ที่ถูกทีม 360 Security จาก Qihoo และทีม Sniper จาก Tencent Security ใช้ในการโจมตีในงานแข่งขัน Pwn2Own ซึ่งจัดโดย Zero Day Intiative (ZDI) เป็นที่เรียบร้อยแล้ว โดยช่องโหว่หลักๆ ที่ได้อุดไปในครั้งนี้แบ่งออกเป็น 3 ส่วนด้วยกัน ได้แก่

Read More »

พบช่องโหว่ใน browser extension ล่าสุดของ LastPass เตือนผู้ใช้ระวังการใช้งาน

สุดสัปดาห์ที่ผ่านมา Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Project Zero ได้ค้นพบช่องโหว่ client-side ใน browser extension ล่าสุดของ LastPass ซอฟต์แวร์จัดการรหัสผ่านชื่อดัง

Read More »

พบช่องโหว่บน Symantec API เสี่ยงถูกขโมย Private Key

Chris Byrne ที่ปรึกษาด้านความมั่นคงปลอดภัยจาก Cloud Harmonics ออกมาเปิดเผยถึงปัญหาสำคัญในการออกใบรับรอง SSL ของ Symantec จากตัวแทนจำหน่ายและช่องโหว่บน API ในการส่งมอบและบริหารจัดการใบรับรอง SSL ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูล Certificate ออกไปได้ ไม่ว่าจะเป็น Private Key หรือ Public Key รวมไปถึงสามารถออกใบรับรองใหม่และเพิกถอนใบรับรองเหล่านั้นได้

Read More »

TechTalk Webinar: วิดีโอย้อนหลังเรื่อง “Intelligence-led Security” โดย FireEye ประเทศไทย

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “Intelligence-led Security: How FireEye Transforms Security Operations” โดย FireEye ประเทศไทย ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Read More »

พบช่องโหว่ Eject บน Ubuntu หลายรุ่น ผู้โจมตียกระดับสิทธิ์ตัวเองเป็น Root ได้ มี Patch แก้แล้ว

Ubuntu ได้ประกาศออก Patch เพื่ออุดช่องโหว่ Eject บน Ubuntu 16.10, 16.04 LTS, 14.04 LTS และ 12.04 LTS ที่เปิดให้ผู้โจมตีบน Local สามารถเข้าถึงสิทธิ์ Root ของเครื่องได้

Read More »

Cisco แจ้งเตือนช่องโหว่ X.509 Certificate บน Apple iOS และ macOS แนะอัปเดต Patch ด่วน

Cisco Talos ได้ออกมาเตือนถึงช่องโหว่ภายในระบบ X.509 Certificate Validation บน Apple macOS Sierra 10.12.3 และ Apple iOS 10.2.1 ซึ่งจะเปิดให้ผู้โจมตีสามารถทำ Remote Code Execution เพื่อขโมยข้อมูลออกไปได้

Read More »

มหาวิทยาลัย Carnegie Mellon จัดแข่งแฮ็คออนไลน์ picoCTF ผู้ที่สนใจเข้าร่วมได้ฟรี

มหาวิทยาลัย Carnegie Mellon หรือ CMU ประกาศจัดงาน picoCTF ซึ่งเป็นเกมการแข่งแฮ็คออนไลน์แบบ Capture the Flag โดยมุ่งเป้าเชิญชวนนักศึกษาระดับมัธยมปลายและมหาวิทยาลัยให้มาแสดงทักษะความสามารถ รวมไปถึงเป็นช่องทางให้บริษัทด้าน IT Security ดึงตัวผู้ที่มีพรสวรรค์ไปร่วมงาน

Read More »

เตือนช่องโหว่บน Moodle ระบบ e-Learning ยอดนิยม พบสาเหตุมาจาก “ตรรกะ”​ ผิดพลาด

Netanel Rubin นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงช่องโหว่บน Moodle ระบบ CMS สำหรับบริหารจัดการ e-Learning ยอดนิยม ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเว็บไซต์โดยมีสิทธิ์เป็น Admin รวมไปถึงลอบส่งโค้ด PHP เข้ามารันบน Web Server ได้ แนะนำให้สถานศึกษารีบอัปเดตแพทช์โดยทันที

Read More »

Cisco ออกแพทช์ อุดช่องโหว่ DoS และ Command Injection บน Cisco IOS/IOS XE

Cisco ผู้ให้บริการโซลูชันระบบเครือข่ายและ Data Center แบบครบวงจร ออก Security Advisories ล่าสุด สำหรับให้คำแนะนำการอุดช่องโหว่ระดับความรุนแรงสูงบนซอฟต์แวร์ Cisco IOS และ Cisco IOS XE รวม 5 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ DoS หรือลอบส่งโค้ดแปลกปลอมเข้ามารันบนอุปกรณ์ได้

Read More »

สรุปผลสำรวจความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ในเขตภูมิภาคเอเชียตะวันออกเฉียงใต้โดย Intel Security

Intel Security ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดังออกมาเปิดเผยถึงผลสำรวจความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Awareness Study) ในภูมิภาคเอเชียตะวันออกเฉียงใต้ พบคนไทย 1 ใน 3 รู้สึกว่าการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์มีความซับซ้อนมากขึ้นเรื่อยๆ

Read More »

พบช่องโหว่ Zero-day บน Apache เสี่ยงถูกโจมตีแบบ Remote Code Execution

สัปดาห์ที่ผ่านมา Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Apache Struts2 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) ผ่านทางพารามิเตอร์ Content-Type ได้ ล่าสุดนักวิจัยจาก HPE ขยายผลช่องโหว่ พบว่าสามารถโจมตีผ่านพารามิเตอร์อื่นได้ด้วยเช่นกัน

Read More »

Cisco แจงช่องโหว่รุนแรงสูงสุดบน Switch กว่า 300 รุ่น ที่ CIA ใช้โจมตี พร้อมทางแก้ไขเบื้องต้น

ผู้ที่ใช้งาน Cisco IOS และ Cisco IOS XE อยู่ภายในองค์กร ควรอ่านเพื่อทำความรู้จักกับช่องโหว่นี้ และวิธีการแก้ไขทันที

Read More »

US-CERT ชี้ผลิตภัณฑ์ HTTPS Interception ก่อความเสี่ยงแก่ความมั่นคงปลอดภัย

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ออกประกาศแจ้งเตือนไปยังองค์กรทั่วสหรัฐฯ ระบุว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยประเภท HTTPS Interception อาจก่อให้เกิดความเสี่ยงต่อการรักษามั่นคงปลอดภัยโดยรวมขององค์กรได้

Read More »

พบช่องโหว่บนผลิตภัณฑ์ Ubiquiti เสียงถูกแฮ็คเกอร์เข้าควบคุมอุปกรณ์ผ่าน CSRF

SEC Consult บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ Command Injection บนผลิตภัณฑ์ของ Ubiquiti ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งมารันผ่านทางหน้าเว็บบริหารจัดการของ Admin โดยใช้สิทธิ์เป็น Root ได้ อย่างไรก็ตาม แฮ็คเกอร์จำเป็นต้องพิสูจน์ตัวตนเข้ามาก่อน

Read More »

เตือนช่องโหว่ Privilege Escalation บน Linux Kernal จากปี 2009

Alexander Popov นักวิจัยด้านความมั่นคงปลอดภัยจาก Positive Technologies ออกมาแจ้งเตือนถึงช่องโหว่บน Linux Kernel ที่แฝงตัวอยู่ตั้งแต่ปี 2009 ซึ่งช่วยให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ตัวเองเป็น Root หรือโจมตีแบบ Denial of Service ได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพทช์โดยเร็ว

Read More »