Web Security

Web Application Firewall, Web Filtering, URL Filtering

Microsoft แพตซ์อุตช่องโหว่ร้ายแรง 34 รายการแนะผู้ใช้ควรอัปเดต

Microsoft ออกแพตซ์แก้ไขช่องโหว่ประจำเดือนธันวาคมจำนวน 34 รายการ โดยแบ่งเป็นการแก้ไขช่องโหว่ระดับความเสี่ยงสูงถึง 20 รายการและ อีก 12 รายการอยู่ในระดับสำคัญ โดยผลิตภัณฑ์ที่ได้รับผลกระทบคือ IE, Microsoft Edge, Windows, Office, SharePoint และ Exchange

Read More »

พบ Keylogger บนเว็บไซต์จาก WordPress กว่า 5,500 เว็บ

พบ WordPress เว็บไซต์เกือบ 5,500 แห่งมีสคริปต์อันตรายที่คอยเก็บ Logs การพิมพ์คีย์บอร์ดและบางครั้งยังคอยโหลด Cryptocurrency Miner เข้าไปใน Browser ของผู้ใช้อีกด้วย สคริปต์อันตรายดังกล่าวถูกโหลดมาจากโดเมน ‘Cloudflare.solutions’ ซึ่งไม่ใช่บริษัทในเครือของ Cloudflare แต่อย่างใด

Read More »

Mozilla Firefox ออก Patch อุดช่องโหว่ความเสี่ยงระดับสูง

Mozilla Firefox ได้อัปเดตแพตซ์ของช่องโหว่ความเสี่ยงสูง 2 จุดในแพตซ์เวอร์ชัน 57.0.1 เมื่อวันที่ 29 พฤศจิกายนที่ผ่านมา ผลกระทบคือ Web Worker ในโหมด Private Browsing สามารถเขียนข้อมูลใน IndexDB และอีกช่องโหว่คือทำให้สามารถเข้าไปดูประวัติเพจของผู้ใช้งานได้ แนะนำผู้ใช้งานควรอัปเดต

Read More »

Chrome พร้อมบล็อกแอปพลิเคชันที่ Inject โค้ดลงในโปรเซส

มีการประกาศว่า Chrome Window ในเวอร์ชัน 68 จะป้องกันซอฟต์แวร์ในการ Inject โค้ดไปในโปรเซสของ Chrome  ซึ่งคาดว่าจะออกมาช่วงกรกฎาคมปี 2018 โดยในเวอร์ชัน 66 นี้ Chrome จะเริ่มเตือนผู้ใช้งานถึงซอฟต์แวร์ Third-party ที่มีพฤติกรรมดังกล่าว 

Read More »

พบบั๊กบน Facebook เสี่ยงถูกลบรูปถ่ายโดยไม่รู้ตัว

Pouya Darabi นักพัฒนาเว็บชาวอิหร่าน ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับสูงบนแพลตฟอร์ม Social Media ชื่อดังอย่าง Facebook ซึ่งช่วยให้แฮ็กเกอร์สามารถลบรูปภาพของใครก็ได้ที่โพสต์ลงไปในนั้น โดยไม่ต้องแฮ็กบัญชีรายชื่อแต่อย่างใด

Read More »

เมื่อไหร่ที่คุณไม่ควรเชื่อถือ Trusted Root Certificate

เป็นที่ทราบดีกันอยู่แล้วว่า Root Certificate เป็นเรื่องสำคัญสำหรับการยืนยันตัวตนและความมั่งคงปลอดภัยของซอฟต์แวร์หรือบนอินเทอร์เน็ต มันถูกออกโดย Certified Authority(CA) เพื่อใช้ในการพิสูจน์ว่าใครคือผู้อ้างความเป็นเจ้าของเว็บไซต์หรือซอฟต์แวร์นั้น เราจึงได้เลือกสรุปบทความมาให้อ่านกันว่าเมื่อใดเราจึงไม่ควรเชื่อถือ Certificate เหล่านั้น

Read More »

Firefox ออกฟีเจอร์ใหม่ แจ้งเตือนการใช้งานเว็บไซต์ที่เคยเกิด Data Breach

ทีมงานวิศวกรของ Mozilla กำลังสร้างระบบแจ้งเตือนที่แสดงต่อผู้ใช้งานเมื่อเยี่ยมชมเว็บไซต์ที่เคยเกิดเหตุการณ์ข้อมูลรั่วไหล โดยใช้ข้อมูลที่ได้รับจาก Have I Been Pwned ? ที่เผยแพร่รายชื่อของเว็บไซต์ที่มีเหตุการณ์ข้อมูลรั่วไหลต่อสาธรณะเพื่อให้ผู้ใช้งานดูรายละเอียดได้ สืบเนื่องจากปัจจุบันที่เราได้ยินข่าวการรั่วไหลของข้อมูลอยู่บ่อยครั้ง

Read More »

WordPress มัลแวร์ ‘Wp-Vcd’ กลับมาโจมตีอีกครั้งแล้ว

คงจะปฏิเสธไม่ได้ว่า WordPress เป็นเครื่องมือยอดฮิตที่เปิดโอกาสให้ผู้คนที่สนใจสร้างเว็บเป็นของตนเองพัฒนาเว็บได้อย่างง่าย แม้ไม่มีทักษะด้านเขียนโปรแกรมเลยก็ตาม อย่างไรก็ดีมันก็ยังมีภัยร้ายซ่อนอยู่ ผู้ใช้งานจึงควรระมัดระวังตัวเพิ่มขึ้นเนื่องจากมัลแวร์ wp-vcd กลับมาโจมตีผู้ใช้งานอีกครั้งหนึ่ง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ปกติของ WordPress จากนั้นจะเพิ่มผู้ใช้งานสิทธิ์ผู้ดูแลอย่างลับๆ และยกระดับการเข้าควบคุมเว็บที่ติดมัลแวร์ตัวนี้ นั่นอาจทำให้ธุรกิจของคุณได้รับผลกระทบอย่างไม่คาดคิด

Read More »

รายงานพบการขโมยใช้ Browser เพื่อ Cryptocurrency Mining กว่า 8 ล้านครั้งต่อวัน

การขโมยทรัพยากรเพื่อ Cryptocurrency Mining ผ่านหน้า Browser นับวันยิ่งเลวร้ายขึ้นเรื่อยๆ โดยมีสาเหตมาจากผู้สร้างเว็บตั้งใจทำขึ้นหรือถูกแฮ็กหน้าเว็บก็ตาม Malwarebytes เจ้าของผลิตภัณฑ์ Anti-malware จีงได้เพิ่มความช่วยเหลือเพื่อบล็อกการใช้งาน Script และพบว่ามีการใช้งาน Browser เพื่อทำ Cryptocurrency Mining เกิดขึ้นกว่า 8 ล้านครั้งต่อวัน

Read More »

พบช่องโหว่ ‘TORMOIL’ บน Tor Browser ระดับความรุนแรงสูงเตือนควรอัปเดต

Tor Project ออกแพตซ์อุดช่องโหว่ที่ทำให้ IP จริงของผู้ใช้งาน Tor Browser เวอร์ชัน 7.0.8 บน macOS และ Linux รั่วไหลออกสู่สาธารณะ เตือนให้ผู้ใช้งานอัปเดต Browser เวอร์ชันล่าสุดโดยด่วน

Read More »

พบช่องโหว่ในเว็บ T-Mobile ที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ

พบช่องโหว่ในเว็บของ T-Mobile ผู้ให้บริการด้านการสื่อสารที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ โดยสิ่งที่แฮ็กเกอร์จะได้รับคือ อีเมล ชื่อผู้ใช้งาน เลขที่บัญชีที่ชำระเงิน เลข IMSI ผ่านทางช่องโหว่นี้

Read More »

เตือนแคมเปญ Phishing บน Facebook หลอกคลิกลิงค์คล้าย YouTube

F-Secure ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึงแคมเปญ Phishing ที่มุ่งหวังในการขโมยชื่อบัญชีและรหัสผ่านของ Facebook และ YouTube จากผู้ใช้งาน Android และ Apple iOS จนถึงตอนนี้พบว่ามีผู้ที่อาจตกเป็นเหยื่อแล้วมากถึง 200,000 ราย

Read More »

Equifax ได้รับการแจ้งเตือนถึงช่องโหว่ 6 เดือนก่อนถูกแฮ็ก

ก่อนเกิดเหตุข้อมูลรั่วไหลถึง 6 เดือน Equifax ได้รับคำเตือนถึงช่องโหว่จากนักวิจัยด้านความมั่นคงปลอดภัย ทำให้หลายฝ่ายเกิดคำถามถึงมาตรฐานการรักษาความมั่นคงปลอดภัยของ Equifax ถึงการเกิดเหตุการณ์ครั้งนี้

Read More »

Microsoft เผยช่องโหว่บายพาส SOP บน Chrome ผู้ใช้ควรทำการอัพเดต

Microsoft ได้ออกมาเปิดเผยถึงรายละเอียดช่องโหว่บน Chrome ที่ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Remote Code Execution ได้ โดยช่องโหว่นี้ถูกค้นพบโดยทีมงานของ Microsoft เอง อย่างไรก็ตาม Google ได้ออกมาแพตซ์ช่องโหว่นี้เมื่อเดือนที่แล้วในเวอร์ชัน 61 ผู้ใช้ควรอัปเดตทันที

Read More »

เผยเบื้องหลัง C&C Infrastructure ของกลุ่ม Lazarus โดย Kaspersky Lab

ภายในงาน Cyber Security Weekend APAC 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Seongsu Park นักวิจัยด้านความมั่นคงปลอดภัยอาวุโสจาก Global Research & Analysis Team (GReAT) ของ Kaspersky Lab ได้ออกมาเปิดเผยถึงข้อมูลเชิงลึกของ C&C Infrastructure ที่ Lazarus ใช้โจมตีเหยื่อทั่วโลก

Read More »

Google เผยแผนบล็อคการขุด Cryptocurrency บนเว็บไซต์แทนการโฆษณา

แนวโน้มของเว็บไซต์ต่างๆ ได้เริ่มฝัง Script เพื่อบังคับให้เหล่าผู้เยี่ยมชมเว็บไซต์ต้องใช้ CPU ของตนขุด Cryptocurrency สร้างรายได้ให้แก่เจ้าของเว็บไซต์แทนโฆษณา ทาง Google ได้ออกมาแสดงความไม่เห็นด้วยและวางแผนบล็อคบริการเหล่านี้แล้ว

Read More »

Google Chrome เตรียมเพิ่ม Permission สำหรับหยุดการขุดเหมืองเงินดิจิทัลผ่านเบราเซอร์

ทีมวิศวกรของ Google Chrome กำลังเตรียมหารือกันเพื่อเพิ่ม Permission ใหม่ลงไปในเว็บเบราเซอร์สำหรับควบคุมการขโมยทรัพยากรจากเครื่องผู้ใช้เพื่อแอบขุดเหมืองเงินดิจิทัลโดยไม่ได้รับอนุญาต หลังพบว่าการขุดเหมืองเงินดิจิทัลบนเว็บเบราเซอร์กำลังเป็นกระแสมากขึ้นเรื่อยๆ

Read More »

หน่วยข่าวกรองของสหราชอาณาจักรเก็บข้อมูล Social Media ของประชาชน

กลุ่ม Privacy International อ้างว่าหน่วยข่าวกรองของสหราชอาณาจักรอาจทำการเก็บข้อมูลการใช้งานสังคมออนไลน์ของประชาชนชาวอังกฤษมานานกว่าทศวรรษและยังแชร์ให้กับหน่วยงานลับของต่างชาติ หลายฝ่ายยังคงตั้งข้อสงสัยการกระทำครั้งนี้ว่าเป็นการเมิดสิทธิความเป็นส่วนตัวหรือไม่?

Read More »

Google เพิ่มฟีเจอร์ Advanced Protection และ Chrome Cleanup บนเว็บเบราเซอร์

หลักจากที่เสริมฟีเจอร์ด้านความมั่นคงปลอดภัยหลายรายการ ไม่ว่าจะเป็น Login Alert หรือ 2-Factor Authentication ให้แก่ Chrome เพื่อปกป้องบัญชี Google ของผู้ใช้แล้ว ล่าสุด Google ได้เพิ่มฟีเจอร์ “Advanced Protection” และ “Chrome Cleanup” สำหรับป้องกันมัลแวร์และการโจมตีไซเบอร์

Read More »

AWS WAF รองรับการกำหนด Rule ด้วย Geographic และ Regular Expression ได้แล้ว

เพื่อเพิ่มความมั่นคงปลอดภัยให้กับเหล่า Application ที่ทำงานอยู่บนบริการ Amazon Web Services (AWS) ทางทีมงาน AWS จึงได้ออกมาประกาศเพิ่มความสามารถให้กับ AWS WAF ให้รองรับการกำหนด Firewall Rule โดยใช้ Geographic และ Regular Expression (RegEx) ได้แล้ว

Read More »