Tag Archives: vulnerability

พบ 3 ช่องโหว่บน Safari เปิดเว็บปุ๊บ ถูกแฮ็กเลย

เมื่อต้นสัปดาห์ที่ผ่านมา ทีมนักพัฒนาของ Dropbox ออกมาเปิดเผยถึง 3 ช่องโหว่ความรุนแรงระดับสูงบนระบบปฏิบัติการ Apple macOS ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมบนเครื่อง Mac ได้ทันที เพียงแค่หลอกให้เหยื่อเปิดหน้าเว็บไซต์ของตนเท่านั้น

Read More »

เตือน 3 ช่องโหว่ RCE บน Atlantis Word Processor เสี่ยงถูกแฮ็กคอมพิวเตอร์

Cisco Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูง 3 รายการบน Atlantis Word Processor ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมจากระยะไกลและเข้าควบคุมระบบคอมพิวเตอร์ได้

Read More »

พบช่องโหว่ Zero-day บน iPhone X, Samsung Galaxy 9 และ Xiaomi Mi6 ในงาน Pwn2Own

ภายในการแข่งขัน Mobile Hacking ในงาน Pwn2Own ที่เพิ่งจัดไป ณ เมืองโตเกียว ประเทศญี่ปุ่น เมื่อวันที่ 13 – 14 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายได้ออกมาสาธิตการแฮ็กสมาร์ตโฟนยอดนิยมหลายรุ่น ไม่เว้นแม้แต่ iPhone X, Samsung Galaxy 9 และ Xiaomi Mi6 แม้ว่าสมาร์ตโฟนเหล่านั้นจะรันซอฟต์แวร์เวอร์ชันล่าสุดก็ตาม

Read More »

พบช่องโหว่ Zero-day บน GDPR Plugin ของ WordPress เสี่ยงถูกเข้าควบคุมไซต์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ WordPress ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน WP GDPR Compliance Plugin หนึ่งใน Plugin ยอดนิยมสำหรับผู้ที่ต้องการผ่านข้อกำหนดของ GDPR ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงไซต์ ติดตั้งสคริปต์ Backdoor และเข้าควบคุมระบบทั้งหมดได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

Read More »

พบช่องโหว่ CSRF บน Facebook อาจทำข้อมูลคุณหลุดสู่สาธารณะ

Ton Masas นักวิจัยด้านความมั่นคงปลอดภัยจาก Imperva ผู้ให้บริการโซลูชัน Web Security และ Data Security ชื่อดัง ออกมาเปิดเผยถึงอีกหนึ่งช่องโหว่บน Facebook ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และรายชื่อเพื่อนได้ อย่างไรก็ตาม Facebook ได้ทำการอัปเดตแพตช์เพื่ออุดช่องโหว่เรียบร้อยแล้ว

Read More »

เตือนช่องโหว่บน WooCommerce Plugin เสี่ยงเว็บไซต์ WordPress ถูกแฮ็ก

Simon Scannell นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies GmbH ออกมาแจ้งเตือนถึงช่องโหว่ Arbitrary File Deletion บน Plugin สำหรับ eCommerce ยอดนิยมอย่าง WooCommerce ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บไซต์ WordPress ที่ไม่ได้รับการแพตช์ได้

Read More »

พบช่องโหว่ Zero-day บน VirtualBox มีโค้ด Exploit ปล่อยออนไลน์แล้ว

Sergey Zelenyuk นักวิจัยด้านช่องโหว่ชาวรัสเซีย ค้นพบช่องโหว่ Zero-day บน VirtualBox ซอฟต์แวร์ Virtualization ยอดนิยม พร้อมเผยแพร่รายละเอียด โค้ดสำหรับ PoC การโจมตี และอธิบายขั้นตอนการเจาะช่องโหว่อย่างละเอียด

Read More »

เตือนช่องโหว่ Zero-day ใหม่บน Windows 10 และ Server 2016/2019 ยังไม่มีแพตช์

SandboxEscaper นักวิจัยด้านความมั่นคงปลอดภัยที่ก่อนหน้านี้ได้ออกมาเปิดเผยช่องโหว่ Zero-day บน Microsoft Windows Task Scheduler ซึ่งช่วยให้ Local User สามารถยกสิทธิ์ตัวเองให้อยู่ในระดับสูงสุดได้ ล่าสุดได้เผยแพร่ช่องโหว่ Zero-day ใหม่ที่ตนเองเพิ่งค้นพบบน Windows ที่อัปเดตแพตช์ล่าสุด พร้อมโค้ด PoC ผ่านทาง Twitter ของตน

Read More »

เตือนช่องโหว่ 13 รายการบน FreeRTOS เสี่ยงถูกเข้าควบคุมระบบ IoT ได้

Ori Karliner นักวิจัยด้านความมั่นคงปลอดภัยจาก Zimperium Security Labs (zLabs) ออกมาเปิดเผยถึงช่องโหว่บน FreeRTOS และเวอร์ชันปรับปรุงของ Amazon และ WHIS รวมทั้งสิ้น 13 รายการ เสี่ยงถูกแฮ็กเกอร์ล่มระบบ ขโมยข้อมูล หรือลอบรันโค้ดแปลกปลอมจากระยะไกลได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

Read More »

พบช่องโหว่บน Tumblr เสี่ยงข้อมูลผู้ใช้รั่วไหลสู่ภายนอก

Tumblr แพลตฟอร์มโซเชียลมีเดียชื่อดังออกแถลงการณ์ยอมรับ พบช่องโหว่บนเว็บไซต์ซึ่งอาจเสี่ยงถูกแฮ็กเกอร์สามารถเจาะเข้ามาเพื่อขโมยข้อมูลล็อกอินและข้อมูลส่วนบุคคลอื่นๆ ของผู้ใช้ได้ อย่างไรก็ตาม Tumblr ได้ทำการแพตช์ช่องโหว่ดังกล่าวเรียบร้อยแล้ว

Read More »

Microsoft Patch Tuesday ประจำเดือนตุลาคม 2018 อุดช่องโหว่ Critical 12 รายการ

Microsoft ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยประจำเดือนตุลาคม 2018 ล่าสุดบนระบบปฏิบัติการ Windows อุดช่องโหว่รวมทั้งสิ้น 49 รายการบน Microsoft Windows, Edge Browser, Internet Explorer, MS Office, MS Office Services and Web Apps, ChakraCore, SQL Server Management Studio และ Exchange Server

Read More »

พบช่องโหว่บน WD My Cloud NAS ใช้ HTTP Cookie ยึดสิทธิ์ Admin ได้

Securify ได้ออกมาเผยแพร่ถึงการค้นพบช่องโหว่บน Western Digital (WD) My Cloud อุปกรณ์ NAS Storage ยอดนิยม ที่ผู้โจมตีสามารถทำการเข้าถึงสิทธิ์ระดับ Admin ได้จากระยะไกล

Read More »

พบช่องโหว่ Zero-day บน Tor Browser เสี่ยงตัวตนถูกเปิดเผย

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความรุนแรงระดับสูงบนซอฟต์แวร์ Tor เบราว์เซอร์สำหรับอำพรางตัวตน ซึ่งช่วยให้เจ้าของเว็บไซต์สามารถเปิดเผยตัวตนของผู้ใช้ได้ ผู้ใช้ Tor ควรอัปเดตแพตช์โดยเร็ว

Read More »

เราท์เตอร์ MikroTik กว่า 7,500 ถูกแฮ็กเพื่อดักฟังทราฟฟิก อีกหลายแสนเครื่องตกอยู่ในความเสี่ยง

นักวิจัยด้านความมั่นคงปลอดภัยจาก Qihoo 360 Netlab ออกมาแจ้งเตือนถึงแคมเปญการโจมตีเราท์เตอร์ MikroTik ครั้งใหญ่ ซึ่งขณะนี้อุปกรณ์กว่า 7,500 เครื่องถูกแฮ็กและเปิดใช้งาน Socks4 Proxy ส่งผลให้แฮ็กเกอร์สามารถลอบดักฟังทราฟฟิกบนระบบเครือข่ายได้ตั้งแต่ช่วงเดือนกรกฎาคมที่ผ่านมา ในขณะที่ยังมีเราท์เตอร์อีกกว่า 370,000 เครื่องรอถูกโจมตีอยู่

Read More »

Wireshark ออกแพตช์อุดช่องโหว่ DoS หลังโค้ดโจมตีถูกเผยสู่สาธารณะ

Cisco Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึงช่องโหว่หลายรายการบน Wireshark ซอฟต์แวร์วิเคราะห์ Packet และแก้ปัญหาระบบเครือข่ายแบบ Open-source ซึ่งเสี่ยงถูกทำให้เกิดเงื่อนไข Denial of Service (DoS) จนระบบล่มได้ แนะนำให้ผู้ให้รีบอัปเดตแพตช์ล่าสุดโดยเร็ว

Read More »

เตือน 9 ช่องโหว่บนผลิตภัณฑ์ของ Philips e-Alert

Philips บริษัทผู้ผลิตเครื่องใช้อิเล็กทรอนิกส์สัญชาติดัตช์ออกมาแจ้งเตือนถึงช่องโหว่บนผลิตภัณฑ์ Philips e-Alert Unit ของตนเองรวม 9 ราย หลังทำการตรวจประเมินผลิตภัณฑ์ของตน หนึ่งในนั้นเป็นช่องโหว่ความรุนแรงระดับ Critical คะแนน CVSS v3 9.8 จาก 10 ซึ่งเป็นการ Hardcoded Credentials

Read More »

พบอีกหนึ่งช่องโหว่สุ่มเดาชื่อ Username บน OpenSSH ยังไม่มีแพตช์ให้แก้ไข

หลังจากที่ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Qualys ออกมาเปิดเผยถึงช่องโหว่การสุ่มเดาชื่อ Username เมื่อสัปดาห์ที่ผ่านมา ล่าสุดทีมนักวิจัยได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกันบน OpenSSH เวอร์ชันหลังปี 2011 ซึ่งขณะนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่

Read More »

ยังไม่แพตช์ให้รีบทำ !! แฮ็กเกอร์เริ่มโจมตีช่องโหว่ Apache Struts 2 แล้ว

หลังจากที่สัปดาห์ก่อน Semmle Security Research Team ได้ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 รหัส CVE-2018-11776 ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บแอปพลิเคชันที่ใช้ Apache Struts ได้แล้ว ล่าสุดพบว่าเริ่มมีกลุ่มผู้ไม่ประสงค์ดีโจมตีเหยื่อผ่านช่องโหว่ดังกล่าว ผู้ดูแลระบบเว็บควรรีบอัปเดตแพตช์โดยด่วน

Read More »

เตือนช่องโหว่ Zero-day บน Windows แม้แต่ Windows 10 ที่อัปแพตช์ล่าสุดก็ไม่รอด

นักวิจัยด้านความมั่นคงปลอดภัยนาม SandboxEscaper ออกมาเปิดเผยถึงช่องโหว่ Zero-day บนระบบปฏิบัติการ Windows ซึ่งช่วยให้ Local User หรือมัลแวร์สามารถยกสิทธิ์ตัวเองให้อยู่ในระดับสูงสุดได้ แม้แต่ระบบปฏิบัติการ Windows แบบ 64 Bits ก็ไม่รอด

Read More »

เตือนการโจมตีบนช่องโหว่ Oracle WebLogic Server หลังโค้ด PoC เจาะระบบถูกเปิดเผย

พบการโจมตีช่องโหว่บน Oracle WebLogic Server ที่ไม่ได้ทำการอัปเดตแพตช์ด้านความมั่นคงปลอดภัยล่าสุด หลังมีนักวิจัยด้านความมั่นคงปลอดภัยหลายรายเปิดเผยโค้ด PoC สำหรับเจาะช่องโหว่ดังกล่าว เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมระบบ Server แม้ไม่รู้รหัสผ่านได้

Read More »