Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

นักวิจัยพบช่องโหว่ Remote Code Execution บนระบบ Blockchain-based EOS Smart Contract System

นักวิจัยด้าน Security ชาวจีนสองคนจาก Qihoo 360 ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่บน EOS ซึ่งเป็นระบบ Open Source Smart Contract Platform ซึ่งเปิดให้ผู้โจมตีสามารถเข้ายึด Supernode ใน EOS Network ได้ และนำไปสู่การโจมตีต่อเนื่องเพื่อเข้ายึดเครื่องอื่นๆ ใน Network ได้อีกด้วย

Read More »

นักวิจัยพบช่องโหว่ร้ายแรงจำนวนมากบนหุ่น Pepper ของ Softbank อาจถูกนำไปใช้เป็นอาวุธได้

Alberto Giaretta นักวิจัยจาก Örebro University ได้ร่วมมือกับ Michele De Donno และ Nicola Drgoni นักวิจัยจาก Technical University of Sweden ในการค้นหาช่องโหว่ของหุ่นยนต์ Pepper จาก Softbank ซึ่งถูกนำไปใช้งานจริงในอุตสาหกรรมต่างๆ หลากหลายทั่วโลก และพบว่าตัวหุ่นยนต์นั้นมีช่องโหว่ความรุนแรงระดับสูงเป็นจำนวนมาก และอาจถูกผู้ประสงค์ร้ายเจาะโจมตีช่องโหว่เหล่านั้น เพื่อเปลี่ยนหุ่นยนต์ให้กลายเป็นอาวุธได้

Read More »

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Read More »

นักวิจัยพบช่องโหว่บน BMW หลาย Series ทั้ง i, X, 3, 5, 7

นักวิจัยด้านความมั่นคงปลอดภัยจาก Keen บริษัทสัญชาติจีนหน่วยงานวิจัยของ Tencent ได้วิเคราะห์เชิงลึกในระบบของรถยนต์ BMW และค้นพบช่องโหว่กว่า 12 รายการที่สามารถใช้งานได้จากระยะไกล คาดว่าส่งผลกระทบกับ Series ต่างๆ ของรถในรุ่น i, X, 3, 5, 7 

Read More »

Cyber Leadership Forum 2018 เปิดลงทะเบียนช่วง Early Bird แล้ว

Software Park Thailand ร่วม ACIS Professional Center ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนา Cyber Leadership Forum 2018 (CLF2018) เพื่อเปิดมุมมองวิวัฒนาการทางเทคโนโลยีนับจากอดีต ปัจจุบัน อนาคต เพื่อสร้างความพร้อมต่อการเปลี่ยนแปลงที่กำลังจะมาถึงซึ่งจะพลิกโฉมโลกใบนี้ โดยการสัมมนาจะโฟกัสที่ 5 เทคโนโลยีหลัก คือ Blockchain, Big Data Analytics, AI & ML, IoT และ Cybersecurity & Privacy ที่จัดว่าเป็น Digital Disruption Technologies

Read More »

VMware ออกแพตช์อุตช่องโหว่บน Fusion และ Workstation

เมื่อวันจันทร์ที่ผ่านมาทาง VM ได้แจ้งผู้ใช้งาน Fusion และ Workstation ให้อัปแพตช์เพื่ออุตช่องโหว่ระดับสำคัญที่สามารถทำให้เกิด DoS และ การยกระดับสิทธิ์ได้ 

Read More »

Linux Kernel ออกอัปเดตแก้ Meltdown & Spectre Variant 4 บน Intel, AMD, ARM, IBM POWER แล้ว

ทีมพัฒนา Linux Kernel ได้ออกมาประกาศอัปเดตให้ Linux Kernel รุ่น 4.9.102, 4.14.43 และ 4.16.11 สำหรับอุดช่องโหว่ Meltdown & Spectre Variant 4 บน CPU จาก Intel, AMD, ARM และ IBM POWER เรียบร้อยแล้ว

Read More »

Microsoft เตรียมบล็อก Flash บน Office 365

Microsoft ประกาศ เตรียมบล็อก Content ประเภท Flash, Shockwave และ Silverlight บน Office 365 แก้ปัญหาเรื่องการโจมตีผ่านช่องโหว่แอปพลิเคชันเหล่านั้น เริ่มตั้งแต่มกราคม 2019 เป็นต้นไป

Read More »

Intel เผยรายละเอียด Meltdown & Spectre Variant 4 และ 3a กระทบ CPU กว่า 40 ตระกูล

ใน Security Advisory ของ Intel ได้มีการรบะุถึงรายละเอียดช่องโหว่ Meltdown และ Spectre Variant 4 และ 3a ซึ่งถูกรายงานโดย Google และ Microsoft โดยส่งผลกระทบต่อ CPU ของ Intel มากกว่า 40 ตระกูล ทั้ง PC, Notebook และ Server โดยมีรายละเอียดที่น่าสนใจดังนี้

Read More »

เตรียมตัว! พบ Spectre Variant ใหม่อีก 2 รายการ กระทบทั้ง IBM, Intel, AMD, ARM

นักวิจัยด้านความมั่นคงปลอดภัยจาก Google และ Microsoft พบการโจมตี Spectre แบบใหม่โดยจัดให้เป็น Variant 3 และ 4 เนื่องจาก Bug ที่เกิดขึ้นทำงานคล้ายกับ Meltdown และ Spectre ก่อนหน้า ซึ่งส่งผลกระทบกับ CPU ของ AMD, ARM, IBM และ Intel โดย Bug นี้ถูกเรียกว่า ‘SpectreNG’

Read More »

TechTalk Webinar: Web Security 101 รู้จักภัยคุกคามและวิธีปกป้องเว็บแอปพลิเคชันเบื้องต้น โดยผู้เชี่ยวชาญจาก CAT cyfence

CAT cyfence ที่ปรึกษาด้านความปลอดภัยไอทีชั้นนำของไทย ร่วมกับ TechTalkThai ขอเรียนเชิญผู้ที่สนใจด้านการรักษาความปลอดภัยบนเว็บไซต์เข้าร่วมฟังบรรยายในหัวข้อเรื่อง “Web Security 101 รู้จักภัยคุกคามและวิธีปกป้องเว็บแอปพลิเคชันเบื้องต้น” โดย CAT cyfence ในวันพฤหัสบดีที่ 31 พฤษภาคม 2561 ผ่านช่องทาง TechTalk Webinar ฟรี ไม่มีค่าใช้จ่าย

Read More »

Cisco ออกอัปเดตแก้ช่องโหว่หลายรายการ มี Hardcoded Root Account ใน Cisco DNA ด้วย

Cisco Security Advisories and Alerts ในรอบล่าสุดนี้ได้มีการแจ้งเตือนช่องโหว่บนผลิตภัณฑ์ด้วยกัน 16 รายการ โดยในนั้นมี 3 ช่องโหว่บน Cisco DNA ที่มีความรุนแรงระดับสูงสุด รวมถึงยังมีช่องโหว่ Hardcoded Password ด้วย

Read More »

แฮ็กเกอร์เตรียมใช้ช่องโหว่ Zero-day แต่ถูกจับได้ก่อน แนะผู้ใช้ควรอัปเดต

นักวิจัยจาก ESET หรือผลิตภัณฑ์ Antivirus ที่เรารู้จักกันดี ได้บังเอิญพบกับชิ้นส่วนของมัลแวร์ที่แฮ็กเกอร์พลาดเพราะดันไปอัปโหลตส่วนของ PDF ไฟล์ที่สร้างขึ้นและหวังใช้ช่องโหว่ Zero-day 2 รายการไปบนกลไกตัวสแกนมัลแวร์สาธารณะ ฝ่ายนักวิจัยจึงรีบแจ้งไปยัง Adobe และ Microsoft เพื่อทำแพตช์ป้องกัน

Read More »

พบช่องโหว่ความรุนแรงสูงสุดบน Red Hat Linux DHCP Client เปิดให้ผู้โจมตีเข้าถึงสิทธิ์ Root ได้

นักวิจัยด้าน Security จาก Google ได้ค้นพบช่องโหว่ Remote Command Injection บนระบบ DHCP Client ของ Red Hat Linux ที่ส่งผลกระทบต่อ Linux ตระกูลอื่นๆ ที่เกี่ยวข้องอย่างเช่น Fedora ด้วย

Read More »

เชิญร่วมงานสัมมนา Transforming Data into Answers with Rapid7

Rapid7 ผู้ให้บริการซอฟต์แวร์วิเคราะห์ด้านความมั่นคงปลอดภัยชื่อดัง จัดงานสัมมนา Transforming Data into Answers with Rapid7 พร้อมอัปเดตเทคนิคการบริหารจัดการช่องโหว่ด้านความมั่นคงปลอดภัยและการทำ Incident Response อย่างมีประสิทธิภาพ ในวันพุธที่ 23 พฤษภาคมนี้ ผู้ที่สนใจสามารถลงทะเบียนเข้าร่วมงานได้ฟรี

Read More »

Adobe แพตช์อุตช่องโหว่ระดับร้ายแรง 24 รายการแนะผู้ใช้ควรอัปเดต

เมื่อวันจันทร์ที่ผ่านมา Adobe ได้ออกอัปเดตแพตช์อุตช่องโหว่ 47 รายการในผลิตภัณฑ์บน MacOS และ Windows อย่าง Acrobat DC (Consumer และ Classic 2015), Acrobat Reader DC (Consumer และ Classic 2015), Acrobat 2017 และ Acrobat Reader โดยช่องโหว่ร้ายแรงหลายรายการทำให้เกิด Code Execution ได้

Read More »

พบช่องโหว่ Cross-Site Scripting บน Electron อาจกระทบความปลอดภัของ Application ชื่อดังจำนวนมาก

Brendan Scarvell นักวิจัยด้าน Security จาก Trustwave ได้ค้นพบช่องโหว่ Cross-Site Scripting (XSS) บน Electron ซึ่งเป็น Framework ชื่อดังที่ Application จำนวนมากเลือกใช้ เช่น Microsoft Skype, Microsoft Visual Studio Code, GitHub Atom, Signal, Twitch, Discord, Basecamp, Slack, Ghost, WordPress และอื่นๆ โดยช่องโหว่นี้อาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้

Read More »

พบช่องโหว่บน PGP และ S/MIME เสี่ยงถูกแอบอ่านเมลที่เข้ารหัส

Sebastian Schinzel อาจารย์ด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์จาก Münster University of Applied Sciences ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูง PGP และ S/MIME Encryption Tools เสี่ยงถูกลอบอ่านอีเมลที่เข้ารหัส แม้แต่อีเมลที่เคยส่งไปแล้วในอดีตก็ไม่เว้น

Read More »

vpnMentor ช่วยทำแพตช์อุตช่องโหว่บน Dasan เราเตอร์

หลังจากที่ vpnMentor ได้ค้นพบช่องโหว่บน Dasan เราเตอร์และแจ้งไปยังบริษัทแล้วแต่ไม่มีการตอบสนองใดๆ จากเจ้าของผลิตภัณฑ์จนกระทั่งตอนนี้มีข่าวมัลแวร์ที่หันมาใช้ช่องทางนี้เล่นงานผู้ใช้งานเรียบร้อยแล้ว ซึ่งมีเราเตอร์งานจำนวนมากพร้อมเป็นเหยื่อสังเวยกับเหตุการณ์ในครั้งนี้ โดยสามารถเช็คจากแพลตฟอร์มการค้นหาว่ามีเราเตอร์ตัวไหนได้รับผลกระทบ (เช่น Shodan.io) อย่างไรก็ตามทาง vpnMentor ได้ส่งอีเมลมาหาทางทีมงานว่าพวกเขาได้พัฒนาแพตช์ขึ้นมาในการณ์นี้เพื่อช่วยเหลือผู้ใช้งาน

Read More »

ผลสำรวจชี้ 26% ของบริษัทไม่แก้ช่องโหว่เพราะไม่มีเวลา

Outpost24 บริษัทด้านความมั่นคงปลอดภัยจากสวีเดน เผยผลสำรวจจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยภายในงานสัมมนา RSA Conference 2018 ที่เพิ่งจัดไป ระบุมีเพียง 47% ของบริษัทเท่านั้นที่อัปเดตแพตช์เพื่ออุดช่องโหว่ทันทีที่ทราบข่าว ในขณะที่ 26% ไม่ดำเนินการใดๆ เนื่องจากไม่มีเวลา

Read More »