Breaking News

Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

พบช่องโหว่ระดับ Critical บน Cisco Small Business Switch ยังไม่มีแพตช์

Cisco ผู้ให้บริการโซลูชันเครือข่ายและ Data Center ชั้นนำของโลก ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บน Cisco Small Business Switches หลายรุ่น ซึ่งช่วยให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตนและเข้าควบคุมอุปกรณ์ด้วยสิทธิ์ Admin ได้ จนถึงตอนนี้ยังไม่มีแพตช์สำหรับแก้ปัญหา

Read More »

ผู้เชี่ยวชาญพบช่องโหว่บน Firmware ของชิป WiFi ยอดนิยมคาดกระทบอุปกรณ์หลายล้านชิ้น

Denis Selianin ผู้เชี่ยวชาญจาก Embedi ได้ค้นพบช่องโหว่บนบน ThreadX หรือ Real-time Operating System (RTOS) ยอดนิยมที่ถูกพัฒนาโดย Express Logic ซึ่งบริษัทอ้างว่าซอฟต์แวร์ได้ถูกนำไปใช้กับชิป WiFi มาแล้วกว่า 6,200 ล้านชิ้น โดยนักวิจัยได้ทำวีดีโอสาธิตการใช้ช่องโหว่มาให้ชมกันด้วย

Read More »

พบช่องโหว่บนแอปพลิเคชัน ES File Explorer ผู้ใช้กว่าร้อยล้านตกอยู่ในความเสี่ยง

Robert Baptiste นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่บนแอปพลิเคชัน ES File Explorer หรือโปรแกรมจัดการไฟล์ในฝั่งแอนดรอยด์ที่มียอดดาวน์โหลดกว่า 100 ล้านครั้ง โดยช่องโหว่ทำให้แฮ็กเกอร์สามารถโหลดข้อมูลจากอุปกรณ์และ SD Card ของเหยื่อออกมาได้ นอกจากนี้นักวิจัยได้จัดทำวีดีโอสาธิตไว้ด้วย

Read More »

นักวิจัยเตือนพบอีเมลและรหัสผ่านผู้ใช้หลายร้อยล้านถูกเร่ขายอยู่ในเครือข่ายแฮ็กเกอร์

Troy Hunt นักวิจัยด้านความมั่นคงปลอดภัยและผู้สร้างเว็บ Have I Been Pwned ได้เปิดเผยถึงการค้นพบข้อมูลขนาด 87 GB ที่ภายในมีรายชื่ออีเมลของผู้ใช้งานกว่า 773 ล้านอีเมล (ไม่ซ้ำกันเลย) รวมถึงรหัสผ่าน 21,222,975 ตัวที่ไม่ซ้ำกันถูกโปรโมตอยู่ในกลุ่มของแฮ็กเกอร์

Read More »

พบช่องโหว่ระดับ Implementation อายุ 36 ปีบน SCP Client

Harry Sintonen ที่ปรึกษาด้านความมั่นคงปลอดภัยอาวุโสจาก F-Secure ออกมาเปิดเผยถึงช่องโหว่อายุกว่า 36 ปีบน Secure Copy Protocol (SCP) ในระดับ Implementation ซึ่งช่วยให้เซิร์ฟเวอร์สามารถเขียนทับไฟล์บน SCP Client เป้าหมายได้อย่างไม่มีสิทธิ์ ทั้ง OpenSSH, PuTTY และ WinSCP ต่างได้รับผลกระทบทั้งหมด

Read More »

นักวิจัยพบช่องโหว่บนระบบ Access Control ยอดนิยมที่ใช้ในอาคาร

Tenable ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ร่วมกับ US-CERT เปิดเผยถึงช่องโหว่ 4 รายการบนระบบ Access Control ของอาคารจาก IDenticard ผู้ให้บริการยอดนิยมซึ่งมีลูกค้าหลายหมื่นรายทั่วโลกในหลายกลุ่ม เช่น บริษัททั่วไป สถาบันการศึกษา ศูนย์การแพทย์ โรงงาน และหน่วยงานรัฐบาล เป็นต้น โดยช่องโหว่ที่จัดได้ว่าน่ากังวลคือระบบมีการฝังรหัสผ่านของผู้ดูแลเอาไว้ ทั้งนี้ปัจจุบันผู้ผลิตยังเพิกเฉยต่อการแจ้งเตือนจากนักวิจัยอีกด้วย

Read More »

โหลดฟรี eBook: Advanced Penetration Testing – Hacking the World’s Most Secure Networks ก่อน 22 มกราคมนี้

Wiley และเว็บไซต์ The Hacker News เปิดให้ดาวน์โหลด eBook เรื่อง Advanced Penetration Testing – Hacking the World’s Most Secure Networks ฟรี ก่อนวันที่ 22 มกราคม 2019 นี้ ผู้ที่สนใจเทคนิคการเจาะระบบขั้นสูงนอกเหนือจากการใช้อุปกรณ์ Scanner ทั่วไป และวิธีป้องกันการโจมตีเหล่านั้นสามารถดาวน์โหลดไปศึกษาได้ทันที

Read More »

นักวิจัยเผย 3 ช่องโหว่บน ‘Systemd’ ของ Linux ชี้ยังไม่มีแพตช์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Qualys ได้เผยถึง 3 ช่องโหว่บน ‘Journald’ ที่เป็นส่วนประกอบหนึ่งของ Systemd บนระบบปฏิบัติการ linux โดยผลกระทบคือนำไปสู่การเกิด Memory Corruption และ Out-of-bounds Error

Read More »

Zerodium พร้อมจ่าย 65 ล้านบาท ให้แก่ผู้ที่สามารถทำ Remote Jailbreak iPhone ได้

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ประกาศอัปเดตข้อเสนอใหม่ พร้อมจ่ายเงินรางวัลสูงสุดถึง $2,000,000 (ประมาณ 65 ล้านบาท) ให้แก่ผู้ที่ค้นพบช่องโหว่ Remote Jailbreak บน iPhone รวมไปถึงเพิ่มเงินรางวัลสูงสุด 2 เท่าให้แก่ผู้ที่รายงานช่องโหว่ Zero-day อื่นๆ แก่บริษัทแทนที่จะแจ้งเจ้าของผลิตภัณฑ์

Read More »

Adobe ออกแพตช์อัปเดตประจำเดือนมกราคม 2019 ไม่พบช่องโหว่ใหม่บน Flash Player

Adobe ออกแพตช์อัปเดตประจำเดือนมกราคม 2019 อุดช่องโหว่บน Adobe Connect และ Adobe Digital Editions ในขณะที่ Flash Player นั้นมีการอัปเดต แต่เป็นการแก้ปัญหาเรื่องประสิทธิภาพและบั๊ก ไม่มีการอุดช่องโหว่ด้านความมั่นคงปลอดภัยใหม่แต่อย่างใด

Read More »

Microsoft ออกแพตช์เดือนมกราคม 2019 จำนวน 50 รายการแนะผู้ใช้รีบอัปเดต

Microsoft ออกแพตช์อุดช่องโหว่ถึง 50 รายการท่ามกลางหลายผลิตภัณฑ์ เช่น Hyper-V, Edge และ DHCP ซึ่งครั้งนี้มีช่องโหว่ขั้นรุนแรง 7 รายการรวมอยู่ด้วย ดังนั้นแนะนำผู้ใช้สามารถไปหาอัปเดตกันได้

Read More »

นักวิจัยเผย Side-channel Attack ที่ใช้ได้บน Windows และ Linux

ทีมนักวิจัยได้ตีพิมพ์ผลงานการโจมตีแบบ Side-channel ที่ไม่ขึ้นกับฮาร์ดแวร์โดยสนใจที่ส่วน Page Cache ของระบบปฏิบัติการ ทั้งนี้การโจมตีสามารถทำได้กับ Windows และ Linux ซึ่งผลลัพธ์ทำให้สามารถทราบว่าพิมพ์อะไรเข้ามาหรือใช้เพื่อลัดผ่าน Sandbox ได้ด้วย

Read More »

รวมสุดยอด 25 รหัสผ่านที่แย่ที่สุดตั้งแต่ปี 2011 – 2018

บทความนี้ได้รวบรวมสุดยอด 25 รหัสผ่านยอดแย่ที่เคยจัดอันดับมาตั้งแต่ปี 2011 - 2018 โดย SplashData ผู้ให้บริการซอฟต์แวร์สำหรับบริหารจัดการรหัสผ่านชื่อดัง ถ้าใครใช้รหัสผ่านตรงกับที่ปรากฏบนบทความนี้ แนะนำว่าให้รีบเปลี่ยนรหัสผ่านใหม่โดยเร็ว

Read More »

Black Hat Asia 2019 เปิดลงทะเบียน Early Bird แล้ว

Black Hat เตรียมจัดงานประชุมทางด้าน Security ระดับนานาชาติ “Black Hat Asia 2019” ณ ประเทศสิงคโปร์ในวันที่ 26 - 29 มีนาคมนี้ พร้อมเปิดลงทะเบียนช่วง Early Bird ในราคาพิเศษ ผู้ที่สนใจสามารถใช้โค้ดส่วนลดเพิ่มอีกทันที 15% เมื่อลงทะเบียนผ่าน TechTalkThai

Read More »

นักวิจัยเผยสามารถใช้ขี้ผึ้งสร้างมือปลอม เพื่อยืนยันตัวตนผ่านระบบที่ใช้เส้นเดือดดำบนฝ่ามือได้

ในงานสัมมนา Chaos Communication Congress เมื่อปลายปี 2018 ที่ผ่านมา Jan Krissler และ Julian Albrecht นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาเล่าถึงวิธีการในการขโมยข้อมูลเส้นเลือดดำบนฝ่ามือจากระยะไกลได้จากกล้องถ่ายรูปที่ผ่านการดัดแปลง และสร้างมือปลอมขึ้นมาจากขี้ผึ้งเพื่อใช้ยืนยันตัวตนผ่านระบบที่ใช้เส้นเลือดดำบนฝ่ามือด้วยตัวตนของเหยื่อได้

Read More »

พบช่องโหว่กว่า 10 รายการบน CleanMyMacX แนะผู้ใช้ควรอัปเดต

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco Talos ได้เผยถึงช่องโหว่บน CleanMyMac X หรือโปรแกรมสำหรับผู้ใช้งาน macOS สำหรับค้นหาและลบไฟล์ที่ไม่จำเป็นเพื่อเพิ่มพื้นที่ว่าง โดยช่องโหว่ 13 รายการประกอบด้วย ช่องโหว่การยกระดับสิทธิ์ถึง 12 รายการที่ทำให้แก้ไขเปลี่ยนแปลงไฟล์ของระบบได้ และอีก 1 รายการเป็นช่องโหว่ DoS

Read More »

สรุป OWASP Top 10 Internet of Things ปี 2018 (ภาษาไทย)

OWASP (Open Web Application Security Project) องค์กรไม่แสวงหาผลกำไรที่เน้นวิจัยทางด้าน Web Application Security ออกเอกสาร OWASP Top 10 ทางด้าน Internet of Things ฉบับปี 2018 เพื่อให้ผู้ผลิตและนักพัฒนาที่สนใจทางด้าน IoT Security ได้ดาวน์โหลดไปศึกษาฟรีๆ ครับ

Read More »

พบช่องโหว่บน Huawei Router รุ่นใหญ่ เผยข้อมูลว่าใช้ Default Password อยู่

Ankit Anubhav หัวหน้าทีมนักวิจัยจาก NewSky Security ออกมาแจ้งเตือนถึงช่องโหว่บน Huawei Router ระดับ Carrier-grade ที่ใช้ใน ISP ซึ่งช่วยให้แฮ็กเกอร์สามารถทราบได้ว่าอุปกรณ์ดังกล่าวใช้รหัสผ่านดั้งเดิมที่มาจากโรงงานหรือไม่ เพียงแค่สแกนผ่าน ZoomEye หรือ Shodan เท่านั้น

Read More »

พบบั้ก Clickjacking ทำให้สามารถโพสต์ Facebook ของ เหยื่อได้

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยรายหนึ่งแสดงวิธีการที่คนร้ายทำการโพสต์สแปมบนหน้า Wall ของ Facebook เหยื่อได้ โดยอาศัยบั้กที่ชื่อว่า Clickjacking ที่ถูกรายงานเข้าไปนานแล้วแต่ทาง Facebook ไม่ยอมแก้เพราะอ้างว่าไม่ได้กระทบกับการเปลี่ยนแปลงสถานะของบัญชีผู้ใช้

Read More »

Fortinet คาดการณ์ Machine Learning และ AI จะถูกใช้เป็นกลยุทธ์ในการโจมตีในอนาคต

ในขณะที่อุตสาหกรรมด้านความมั่นคงปลอดภัยต่างเริ่มนำเทคโนโลยี Machine Learning และ Artificial Intelligence (AI) เข้ามาสนับสนุนการค้นหา ตรวจจับ และวิเคราะห์ด้านความมั่นคงปลอดภัยเพื่อรับมือกับภัยคุกคามระดับสูง ฝั่งอาชญากรไซเบอร์เองก็เริ่มนำเทคโนโลยีดังกล่าวมาใช้เพื่อค้นหาช่องโหว่และโจมตีเป้าหมายด้วยเช่นกัน

Read More »