Tag Archives: remote code execution

พร้อมมอบเงินรางวัลสูงถึง 7,000,000 บาทให้แก่ผู้ที่ชนะการแข่ง

Adobe Systems ออกแพทช์ใหม่ล่าสุดสำหรับอุดช่องโหว่รวมทั้งสิ้นกว่า 30 รายการบน Flash Player และ Digital Editions ซึ่งช่องโหว่ส่วนใหญ่ช่วยให้แฮ็คเกอร์สามารถแฮ็คคอมพิวเตอร์หรือเจาะระบบเพื่อติดตั้งมัลแวร์จากระยะไกลได้

Microsoft ออกแพทช์อัปเดตระบบปฏิบัติการ Windows ประจำเดือนกันยายน 2016 ประกอบด้วย 14 Security Bulletins สำหรับอุดช่องโหว่รวมทั้งสิ้น 47 รายการ ซึ่ง 7 ใน 14 Bulletins ถูกจัดให้มีความรุนแรงระดับ Critical เนื่องจากเป็นช่องโหว่ Remote Code Execution (RCE) และ 7 Bulletins ที่เหลือมีความรุนแรงระดับ Important ซึ่งหนึ่งในนั้นเป็นช่องโหว่ที่มีอายุนานกว่า 10 ปี

Dawid Golunski นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงหลายรายการบนระบบบริหารจัดการฐานข้อมูลแบบ Open Source ชื่อดังอย่าง MySQL และฐานข้อมูลอื่นๆ ที่ Fork ออกมา เช่น MariaDB และ Percona ซึ่งช่วยให้แฮ็คเกอร์สามารถรันโค้ดคำสั่งบนเซิร์ฟเวอร์ตามความต้องการได้

Tim Strazzere นักวิจัยด้านความมั่นคงปลอดภัยจาก SentinelOne ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ผ่านทางการลอบส่งไฟล์รูปภาพปกติที่ดูเหมือนไม่มีพิษมีภัย แต่แฝงด้วย Exploit สำหรับเจาะเข้าอุปกรณ์

เสี่ยงถูกขโมยรหัสผ่านและสร้าง Backdoor เพื่อเปิดทางให้แฮ็คเกอร์

Apple ได้ประกาศเปิดตัว iOS 9.3.5 สำหรับอุด 3 ช่องโหว่สำคัญ ดังนี้

เสี่ยงถูกจารกรรมข้อมูลและเข้าควบคุมเครื่อง แนะรีบอัปเดต iOS 9.3.5 ทันที

Microsoft ออกแพทช์อัปเดตระบบปฏิบัติการ Windows ประจำเดือนสิงหาคม ประกอบด้วย 9 Bulletins สำหรับอุดช่องโหว่รวมทั้งสิ้น 28 รายการ ซึ่ง 5 ใน 9 Bulletins ถูกจัดให้มีความรุนแรงระดับ Critical เนื่องจากเป็นช่องโหว่ Remote Code Execution (RCE) และ 4 Bulletins ที่เหลือมีความรุนแรงระดับ Important

นักวิจัยจาก Talos ทีม Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution (RCE) บนอุปกรณ์ Apple ไม่ว่าจะเป็น iPhone หรือ Mac OS X ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลความลับออกไปได้เพียงแค่ส่งข้อความรูปภาพไปหาเหยื่อเท่านั้น

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Drupal ระบบ CMS ยอดนิยม ออกมาแจ้งเตือนถึงช่องโหว่ระดับความรุนแรงสูงบน 3 โมดูลของ 3rd Party ได้แก่ RESTWS, Coder และ Webform Multiple File Upload ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเว็บไซต์ได้ทันที แนะนำให้ผู้ใช้รีบอัปเดทแพทช์โดยด่วน

Magento ออก Patch อุดช่องโหว่ระดับ Critical ที่ทำให้แฮ็คเกอร์สามารถทำการ Execute โค้ด PHP บน Server ปลายทางผ่าน API ได้โดยที่ไม่จำเป็นต้องทำการยืนยันตัวตน (Remote Code Execution) โดยช่องโหว่นี้มีความรุนแรงระดับ 9.8 เต็ม 10

ตามที่ Adobe เคยได้ออกมาประกาศเอาไว้ว่าจะออกแพทช์สำหรับอุดช่องโหว่ Zero-day บน Flash Player ล่าสุด Adobe ได้ปล่อยแพทช์มาให้อัพเดทกันแล้ว พร้อมทั้งอุดช่องโหว่อื่นๆบน Flash Player อีก 25 ตัวด้วยกัน

Cisco ผู้ให้บริการโซลูชันระบบเครือข่ายและระบบคลาวด์แบบครบวงจร แจ้งเตือนผู้ดูแลระบบ Cisco TelePresence, FirePower และ Adaptive Security Appliance (ASA) ทุกคนให้อัพเดทแพทช์เพื่ออุดช่องโหว่ระดับ “Critical” และ “High” โดยเร็ว เนื่องจากอาจเสี่ยงถูกโจมตีแบบ Remote Code Execution และ DoS ได้

Ryan Huber วิศวกรความมั่นคงปลอดภัยจาก Slack ค้นพบช่องโหว่ Zero-day ความรุนแรงสูงบน ImageMagick เครื่องมือยอดนิยมสำหรับปรับแต่งรูปภาพของผู้ใช้บนเว็บไซต์ ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดโจมตีบน Web Server จากระยะไกลผ่านทางรูปภาพที่มี Malicious Code แฝงอยู่ได้

Juniper Networks ผู้ใช้บริการโซลูชัน Network & Security ชื่อดัง ออกแพทช์สำหรับอุดช่องโหว่ครั้งใหญ่บนอุปกรณ์หรือแพลทฟอร์ม Junos Space เวอร์ชันก่อนหน้า 15.2R1 ไม่ว่าจะเป็นช่องโหว่ Privilege Escalation, CSRF, Default Authentication Credential, Information Leak และ Command Injection

ปฏิเสธไม่ได้ว่า Bug Bounty Programs ของหลายๆบริษัทที่ได้จัดขึ้นนั้น ได้รับการตอบรับจากเหล่าแฮ็คเกอร์เป็นอย่างดี ไม่ว่าจะเป็น Uber ที่ประกาศว่ามีการจ่ายเงินรางวัลเป็นจำนวน 10,000 เหรียญ สำหรับ Critical Bugs ที่พบแล้ว ไปจนถึงหน่วยงานขนาดใหญ่อย่างกระทรวงกลาโหมของสหรัฐฯ ที่เคยประกาศ Cyber Bug Bounty Program ออกมา ภายใต้ชื่อ “Hack the Pentagon” เพื่อเชื้อเชิญเหล่าแฮ็คเกอร์เข้ามาร่วมนั่นเอง ล่าสุดถึงคิวของสถาบันการศึกษาชื่อดังอย่าง Massachusetts Institute of Technology หรือ MIT ได้ออกมาประกาศ Bug Bounty Program เพื่อค้นหาช่องโหว่ภายในเว็บไซท์ของตัวเองบ้างแล้ว

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยชาวไต้หวันจากบริษัท Devcore ค้นพบช่องโหว่บนเซิร์ฟเวอร์ของบริษัท Facebook หลังเข้าร่วม Bug Bounty Program เพียง 2 เดือน แต่ที่น่าตกใจคือ ภายในช่องโหว่เหล่านั้นกลับมีสคริปต์ Backdoor แฝงตัวอยู่ ซึ่งเป็นไปได้ที่จะมีแฮ็คเกอร์เคยเข้ามาโจมตีก่อนแล้ว หลังจากรายงานเหตุการณ์ดังกล่าวแก่ Facebook ส่งผลให้ Tsai ได้รับเงินรางวัลถึง $10,000 เหรียญ หรือประมาณ 350,000 บาท

สำหรับ Patch เสริมความปลอดภัยในรอบเดือนเมษายน 2016 นี้ Microsoft ได้ประกาศออกมาด้วยกันทั้งสิ้น 13 รายการ โดย 6 รายการในนั้นถูกระบุว่าอยู่ในระดับ Critical ซึ่งใน Patch ทั้งหมดนี้ได้รวมถึง Zero-day, Remote Code Execution และ Badlock ด้วย

ในรอบ Patch ล่าสุด Google ได้ออก Patch มาด้วยกันถึง 16 ชุด โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ที่เปิดให้ผู้โจมตีทำการเข้าควบคุม Android ของผู้ใช้งานได้ผ่านระบบ mediaserver บน Android