Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

Adobe ปล่อยแพทช์อุดช่องโหว่ Zero-Day บน Flash Player แล้ว

ตามที่ Adobe เคยได้ออกมาประกาศเอาไว้ว่าจะออกแพทช์สำหรับอุดช่องโหว่ Zero-day บน Flash Player ล่าสุด Adobe ได้ปล่อยแพทช์มาให้อัพเดทกันแล้ว พร้อมทั้งอุดช่องโหว่อื่นๆบน Flash Player อีก 25 ตัวด้วยกัน

Read More »

PornHub เว็บ 18+ ชื่อดังเปิด Bug Bounty Program เจอช่องโหว่รับเงินรางวัลสูงสุดเกือบ 900,000 บาท

ในปัจจุบันนี้ที่การโจมตีไซเบอร์และการเจาะระบบเพื่อขโมยข้อมูลเป็นสิ่งที่เกิดขึ้นไม่เว้นในแต่ละวัน หลายบริษัทเริ่มเปิดให้มี Bug Bounty Program เพื่อสนับสนุนให้แฮ็คเกอร์หรือนักวิจัยด้านความมั่นคงปลอดภัยรายงานช่องโหว่ที่ตนเองค้นพบเพื่อรับเงินรางวัล แทนที่จะนำช่องโหว่นั้นไปใช้โจมตีต่อ … ซึ่งไม่เว้นแม้แต่เว็บ 18+ สำหรับผู้ใหญ่

Read More »

Microsoft ออก Patch 16 รายการ 8 รายการเป็นเคสร้ายแรงสูงสุด

สำหรับ Patch รอบเดือนพฤษภาคมของ Microsoft เองก็ได้ออกมาด้วยกัน 16 รายการ ซึ่งครอบคลุมถึงช่องโหว่ 37 ช่องโหว่ โดย 8 รายการนั้นถูกจัดระดับความรุนแรงให้อยู่ในขั้นร้ายแรงสูงสุด โดยหนึ่งในนั้นกำลังถูกใช้โจมตีเป็นวงกว้างอยู่ในปัจจุบัน

Read More »

Adobe ออก Patch อุด 97 ช่องโหว่ใน Acrobat และ Reader ส่วนช่องโหว่ใน Flash Player จะอุดอีกรอบปลายสัปดาห์

Patch รอบเดือนพฤษภาคมนี้ ทาง Adobe ได้ออกมาประกาศถึงการอุด 97 CVE สำหรับ Adobe Acrobat และ Adobe Acrobat Reader แล้ว และยังแจ้งให้ผู้ใช้งานทุกคนเตรียม Patch Adobe Flash Player เพื่ออุดช่องโหว่ที่ถูกใช้โจมตีอย่างกว้างขวางอยู่ในช่วงปลายสัปดาห์นี้ด้วย

Read More »

OpenSSL ออก Patch อุดช่องโหว่ความรุนแรงระดับสูง แนะนำให้ Patch ทันที

สัปดาห์ที่แล้วทาง OpenSSL ได้ออกมาประกาศถึงการตรวจพบช่องโหว่บน OpenSSL 1.0.1 และ 1.0.2 จนในวันนี้ก็ได้ปล่อย Patch ออกมาอุดช่องโหว่เหล่านั้นด้วยกันทั้งสิ้น 6 ช่องโหว่เป็นที่เรียบร้อยแล้ว ซึ่งผู้ใช้งาน OpenSSL ทุกท่านก็ควร Patch ทันที

Read More »

Pentest Box: เครื่องมือทดสอบเจาะระบบแบบพกพาสำหรับ Windows

แนะนำเครื่องมือสำหรับ Pen Tester และ Security Expert ครับ นั่นคือ Pentest Box เป็นเครื่องสำหรับใช้ทดสอบเจาะระบบแบบ Portable สำหรับระบบปฏิบัติการ Windows ซึ่งพร้อมใช้งานได้ทันทีโดยไม่จำเป็นต้องลง Driver หรือรันผ่าน Virtual Machine แต่อย่างใด มาพร้อมกับเครื่องมือสำหรับเจาะระบบแบบครบวงจร

Read More »

พบช่องโหว่บน Network Time Protocol เตือนผู้ใช้งานทำการ Patch โดยด่วน

Cisco ตรวจพบช่องโหว่บน Network Time Protocol daemon (ntpd) และได้ทำการแจ้งไปยัง Core Infrastructure Initiative เรียบร้อยแล้ว ล่าสุด NTP ได้ออกอัพเดท 4.2.8p7 เพื่อแก้ไขปัญหาทั้งหมด

Read More »

MIT เปิดตัว Bug Bounty Program ของตัวเอง

ปฏิเสธไม่ได้ว่า Bug Bounty Programs ของหลายๆบริษัทที่ได้จัดขึ้นนั้น ได้รับการตอบรับจากเหล่าแฮ็คเกอร์เป็นอย่างดี ไม่ว่าจะเป็น Uber ที่ประกาศว่ามีการจ่ายเงินรางวัลเป็นจำนวน 10,000 เหรียญ สำหรับ Critical Bugs ที่พบแล้ว ไปจนถึงหน่วยงานขนาดใหญ่อย่างกระทรวงกลาโหมของสหรัฐฯ ที่เคยประกาศ Cyber Bug Bounty Program ออกมา ภายใต้ชื่อ “Hack the Pentagon” เพื่อเชื้อเชิญเหล่าแฮ็คเกอร์เข้ามาร่วมนั่นเอง ล่าสุดถึงคิวของสถาบันการศึกษาชื่อดังอย่าง Massachusetts Institute of Technology หรือ MIT ได้ออกมาประกาศ Bug Bounty Program เพื่อค้นหาช่องโหว่ภายในเว็บไซท์ของตัวเองบ้างแล้ว

Read More »

พบแฮ็คเกอร์ติดตั้ง Backdoor บน Facebook Server นักล่าช่องโหว่รับรางวัลกว่า 350,000 บาท

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยชาวไต้หวันจากบริษัท Devcore ค้นพบช่องโหว่บนเซิร์ฟเวอร์ของบริษัท Facebook หลังเข้าร่วม Bug Bounty Program เพียง 2 เดือน แต่ที่น่าตกใจคือ ภายในช่องโหว่เหล่านั้นกลับมีสคริปต์ Backdoor แฝงตัวอยู่ ซึ่งเป็นไปได้ที่จะมีแฮ็คเกอร์เคยเข้ามาโจมตีก่อนแล้ว หลังจากรายงานเหตุการณ์ดังกล่าวแก่ Facebook ส่งผลให้ Tsai ได้รับเงินรางวัลถึง $10,000 เหรียญ หรือประมาณ 350,000 บาท

Read More »

Cisco ออก Patch อุดช่องโหว่ DoS บน WLAN Controller, Firewall, IOS XE และระบบ Collaboration

Cisco ได้ประกาศออก Patch มาด้วยกัน 5 ตัว อุดช่องโหว่ DoS บน Cisco WLC, Cisco ASA, Cisco IOS XE และระบบ Cisco Collaboration  โดยแต่ละช่องโหว่มีรายละเอียดดังนี้

Read More »

Oracle ออก Critical Patch Update รอบเดือนเมษายน 121 ตัว เตรียมอัพด่วน

ในรอบ Critical Patch Update ครั้งนี้ Oracle ได้ออก Patch อุดช่องโหว่มาด้วยกัน 121 ชุด สำหรับผลิตภัณฑ์ต่างๆ ของ Oracle เองมากมาย ซึ่งผู้ดูแลระบบทุกท่านที่กำลังใช้งาน Oracle อยู่ก็ควรรีบอัพเดตกันทันที

Read More »

Review: งานสัมมนา Black Hat Asia 2016 คุ้มค่าที่ไปหรือไม่

สืบเนื่องจากหนึ่งในทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงานสัมมนา Black Hat Asia 2016 ซึ่งเป็นงานสัมมนาระดับนานาชาติที่จัดขึ้นที่สิงคโปร์เมื่อปลายเดือนมีนาคมที่ผ่านมา ทีมงานจึงถือโอกาสนี้เขียนรีวิวการไปร่วมงานและตอบข้อสงสัยของใครหลายคนที่ว่า งานสัมมนารูปแบบนี้ เช่น Black Hat หรือ RSA Conference มีลักษณะเป็นอย่างไร เนื้อหาในงานสัมมนามีอะไรบ้าง และที่สำคัญคือ คุ้มค่าที่จะเสียเงินไปเข้าร่วมไหม

Read More »

Microsoft ออก Patch ความปลอดภัยล่าสุด 6 จาก 13 อัพเดตในนั้นอยู่ในระดับ Critical

สำหรับ Patch เสริมความปลอดภัยในรอบเดือนเมษายน 2016 นี้ Microsoft ได้ประกาศออกมาด้วยกันทั้งสิ้น 13 รายการ โดย 6 รายการในนั้นถูกระบุว่าอยู่ในระดับ Critical ซึ่งใน Patch ทั้งหมดนี้ได้รวมถึง Zero-day, Remote Code Execution และ Badlock ด้วย

Read More »

[Black Hat Asia 2016] SecBee เครื่องมือสำหรับสแกนช่องโหว่อุปกรณ์ Internet of Things

Tobias Zillner, Senior IS Auditor จาก Cognosec บริษัทที่ปรึกษาด้าน IT Security ชื่อดังจากประเทศออสเตรีย แนะนำเครื่องมือแบบ Open-source ที่ออกมาแบบเพื่อตรวจสอบช่องโหว่ของอุปกรณ์ Internet of Things ที่ใช้โปรโตคอล ZigBee ในการติดต่อสื่อสารโดยเฉพาะ เรียกว่า SecBee ภายในงานสัมมนา Black Hat Asia 2016 ที่เพิ่มจัดไปเมื่อสัปดาห์ที่ผ่านมา

Read More »

Splunk ออก Patch อุดช่องโหว่ DROWN ใน OpenSSL

Splunk ได้ประกาศออก Patch ล่าสุดสำหรับอุดช่องโหว่ DROWN ใน OpenSSL ให้องค์กรต่างๆ สามารถทำการวิเคราะห์ข้อมูลได้อย่างปลอดภัย

Read More »

Ubuntu ออก Patch อุดช่องโหว่ Code Execution และ DoS บน Kernel

Ubuntu ได้ออก Patch อุดช่องโหว่บน Kernel ด้วยกันถึง 4 จุด เพื่อแก้ปัญหาการถูกโจมตีแบบ Code Execution และ DoS ใน Ubuntu 14.04 LTS

Read More »

พบช่องโหว่ร้ายแรงบน Cisco FirePower และ Snort! เตือนผู้ใช้งาน Update ด่วน

นักวิจัยด้านความปลอดภัยจาก Check Point Security ได้ออกมาเปิดเผยถึงช่องโหว่บน Cisco FirePower และ Snort ที่ทำให้ผู้โจมตีสามารถส่ง Malware เข้าไปยังระบบสำคัญในเครือข่ายได้โดยที่ไม่ถูกตรวจจับโดย IDS/IPS ชั้นนำทั้งสองตัวนี้ ซึ่งทาง Cisco ก็ได้ออก Patch และชี้แจงวิธีการแก้ไขมาเป็นที่เรียบร้อยแล้ว

Read More »

[Black Hat Asia 2016] บทสัมภาษณ์ผู้เชี่ยวชาญจาก Cisco, Singtel และ Barclay Simpson เกี่ยวกับสายงานและ Certificate ด้าน Security

บทความนี้เป็นสรุปบทสัมภาษณ์พิเศษจากผู้เชี่ยวชาญด้าน Security และด้านบริหาร 3 ท่านภายในงานสัมมนา Black Hat Asia 2016 ที่เพิ่งจบลงไปเมื่อวานนี้ ได้แก่ Freddy Tan, Business Development Director จาก Singtel / (ISC)2 Russell Bunker, Director – Asia Pacific จาก Barclay Simpson Meng-chow Kang, PhD, CISSP, CISA, Director of Information Security จาก Cisco / Board Director จาก (ISC)2 ในหัวข้อเรื่อง “Advancing Your Career as a Security Pro” ซึ่งเนื้อหาจะประกอบไปด้วยแนวโน้มทิศทางการทำงานด้าน Cyber Security ความสำคัญของ Certificate และการปรับแต่ง Resume …

Read More »

สรุปงานสัมมนา Westcon Connect 2016 ตอบรับกระแส Digital Transformation

Westcon Solutions บริษัทที่ปรึกษาด้านเน็ตเวิร์คและความมั่นคงปลอดภัย จัดงานสัมมนา Westcon Connect 2016 ภายใต้หัวข้อ “คุณตามทันหรือไม่กับการเปลี่ยนแปลงยุคดิจิทัล” เมื่อกลางเดือนมีนาคมที่ผ่านมา ซึ่งภายในงานมีการอัพเดทผลิตภัณฑ์และโซลูชันด้านระบบเครือข่ายและความมั่นคงปลอดภัยมากมาย รวมถึงมีการเสวนากลุ่มย่อยเรื่อง “ความมั่นคงปลอดภัยในยุค Internet of Things” สำหรับผู้ที่ไม่ได้ไปร่วมงาน หรือต้องการอัพเดทเทคโนโลยีใหม่ๆ สามารถอ่านบทความสรุปด้านล่างได้เลย

Read More »

[Review] คอร์ส Advanced Penetration Tester โดย ACIS Professional

พอดีหนึ่งในทีมงาน TechTalkThai ได้มีโอกาสไปเข้าคอร์สอบรม Advanced Pentration Tester ของทาง ACIS Professional บริษัทที่ปรึกษาและศูนย์อบรมชื่อดังด้าน Security ของประเทศไทย เลยถือโอกาสเขียนรีวิวการเรียนการสอน เผื่อใครสนใจทางด้าน Ethical Hacking หรือต้องการมาสายทำ Penetration Testing และกำลังหาคอร์สอบรมภาษาไทยลงเรียนอยู่ จะได้เห็นภาพชัดๆ ขึ้นครับว่า คอร์ส Pen Test เหล่านี้เรียนอะไรกันบ้าง คุ้มค่าที่ลงเรียนไหม และจบคอร์สแล้วจะแฮ็ค เอ้ย ตรวจสอบช่องโหว่ของระบบเป็นไหม

Read More »