Tag Archives: vulnerability

พบช่องโหว่บนปลั๊กอิน Autofill ของ LinkedIn เสี่ยงถูกบุคคลที่สามขโมยข้อมูล

Jack Cable นักวิจัยด้านความมั่นคงปลอดภัยวัย 18 ปีจาก Lightning Security ออกมาแจ้งเตือนช่องโหว่บนปลั๊กอิน AutoFill ของ LinkedIn ซึ่งช่วยให้บุคคลที่สามสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้ได้โดยที่ผู้ใช้ไม่รู้ตัว

Read More »

พบช่องโหว่ Zero-day บน Internet Explorer ล่าสุด เสี่ยงถูกลอบแพร่กระจายมัลแวร์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Qihoo 360 ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดังของจีน ออกมาแจ้งเตือนถึงกลุ่มแฮ็กเกอร์ APT ใช้ช่องโหว่ Zero-day บน Internet Explorer Kernel ในการลอบส่งมัลแวร์เข้าเครื่องของเหยื่อ

Read More »

Adobe ออกแพตช์อุดช่องโหว่ประจำเดือนเมษายน 2018

Adobe ออก Security Bulletin ประจำเดือนเมษายน 2018 อุดช่องโหว่บนผลิตภัณฑ์ 5 รายการ ได้แก่ Adobe Flash Player, Adobe Experience Manager, Adobe InDesign, Adobe Digital Editions และ Adobe PhoneGap Push Plugin รวมทั้งสิ้น 14 รายการ โดย 4 รายการนั้นมีความรุนแรงระดับ Critical

Read More »

เตือนช่องโหว่บน Spring Framework เสี่ยงถูกโจมตีแบบ Remote Code Execution

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pivotal เจ้าของ Spring Framework ออกมาแจ้งเตือนถึงช่องโหว่ใหม่ที่เพิ่งค้นพบรวม 3 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับสูงซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดบนแอปพลิเคชันที่ใช้ Framework ดังกล่าวจากระยะไกลได้

Read More »

คำแนะนำสำหรับจัดการกับช่องโหว่ Smart Install บนซอฟต์แวร์ Cisco IOS และ IOS XE

สัปดาห์ที่ผ่านมา Cisco ออก Security Advisory สำหรับช่องโหว่บน Cisco IOS และ IOS XE รวม 20 รายการ ซึ่ง 2 รายการนั้นเป็นช่องโหว่ความรุนแรงระดับสูงบน Smart Install ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution และรีโหลดอุปกรณ์เพื่อโจมตีแบบ Denial of Service โดยไม่ต้องพิสูจน์ตัวตนได้ ล่าสุดทาง Cisco ประเทศไทยได้ให้คำแนะนำสำหรับจัดการช่องโหว่ ดังนี้

Read More »

เตือนช่องโหว่อุปกรณ์ Cisco กว่า 8,500,000 เครื่องได้รับผลกระทบ

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชั้นนำ ประกาศออกแพตช์อุดช่องโหว่รวม 34 รายการบนผลิตภัณฑ์หลายประเภท โดยเฉพาะอย่างยิ่งบนซอฟต์แวร์ IOS และ IOS XE ซึ่ง 3 ช่องโหว่ในนั้นเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับสูง

Read More »

เตือนบั๊ก QR Code บน Apple iOS 11 เสี่ยงถูกหลอกเข้าเว็บแฮ็กเกอร์

Roman Mueller นักวิจัยด้านความมั่นคงปลอดภัยออกมาแจ้งเตือนถึงช่องโหว่ใหม่บนแอปกล้องถ่ายรูปของอุปกรณ์ iOS ซึ่งช่วยให้แฮ็กเกอร์สามารถเปลี่ยนเส้นทางการเข้าถึงเว็บไซต์ผ่านทางการสแกน QR Code ไปยังเว็บไซต์ของแฮ็กเกอร์ได้

Read More »

พบช่องโหว่บน μTorrent เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมเครื่อง

Tarvis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution บนซอฟต์แวร์ Torrent ยอดนิยมอย่าง μTorrent บนระบบปฏิบัติการ Windows ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดจากระยะไกลและเข้าควบคุมเครื่องของเหยื่อได้

Read More »

สรุปรายงานช่องโหว่ปี 2017 จาก VulnDB พบเกือบ 8,000 ช่องโหว่ยังไม่มีรหัส CVE

เผยรายงาน VulnDB จาก Risk Based Security พบปี 2017 มีจำนวนช่องโหว่ถูกค้นพบมากถึง 20,832 รายการ เพิ่มขึ้นจากปี 2016 ถึง 31% ในขณะที่มีเพียง 12,932 รายการเท่านั้นที่ถูกกำหนดให้เป็นช่องโหว่อย่างเป็นทางการของ CVE เสี่ยงหลายองค์กรละเลยที่จะป้องกันช่องโหว่ส่วนที่เหลือ

Read More »

พบช่องโหว่บน Grammarly Plugin เสี่ยงถูกแฮ็กเกอร์ขโมยข้อมูล

Tavis Ormandy จาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูงบน Plugin สำหรับตรวจสอบไวยากรณ์ภาษาอังกฤษที่ชื่อว่า Grammarly บน Google Chrome และ Firefox ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลเอกสารได้ ผู้ใช้กว่า 22 ล้านคนต่างได้รับผลกระทบ

Read More »

[PR] ช่องโหว่ Meltdown และ Spectre ในชิปอาจทำให้ข้อมูลในหน่วยความจำรั่วไหล ส่งผลกระทบต่อโปรเซสเซอร์ส่วนใหญ่บนทุกระบบปฏิบัติการ

16 มกราคม 2561 – ไซแมนเทคเปิดเผยรายงานการตรวจพบดังต่อไปนี้สำหรับการพยายามใช้ช่องโหว่เพื่อเจาะข้อมูลบนฮาร์ดแวร์ของซีพียู (CVE-2017-5753/Spectre): ช่องโหว่ที่เพิ่งค้นพบส่งผลกระทบต่อโปรเซสเซอร์ และอาจเปิดโอกาสให้ผู้โจมตีเข้าถึงหน่วยความจำของคอมพิวเตอร์โดยไม่ได้รับอนุญาต  ช่องโหว่ดังกล่าวซึ่งมีชื่อว่า Meltdown และ Spectre ส่งผลกระทบต่อโปรเซสเซอร์รุ่นใหม่เกือบทั้งหมด และสามารถแก้ไขได้ด้วยการติดตั้งแพตช์ของระบบปฏิบัติการเท่านั้น

Read More »

HP ออกอัปเดต BIOS ใหม่ หลังพบอัปเดตเดิมสำหรับแก้ Meltdown และ Spectre มีปัญหา

ก่อนหน้านี้ Dell ออกมาแนะนำให้ลูกค้าหยุดอัปเดต BIOS เพื่อแก้ปัญหาช่องโหว่ Spectre (Variant 2) ชั่วคราวและ Rollback กลับไปใช้เวอร์ชันก่อนหน้า เนื่องจากอาจจะเกิดปัญหาหลายด้านตามมา ล่าสุด HP ได้ประกาศหยุดออกแพตช์สำหรับแก้ปัญหา Meltdown และ Spectre เช่นเดียวกัน

Read More »

พบช่องโหว่ DNS Rebinding บนเกมค่าย Blizzard ผู้เล่นหลายร้อยล้านคนตกอยู่ในความเสี่ยง

Tavis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ DNS Rebinding บนเกมค่าย Blizzard Entertainment ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดหรือเข้าควบคุมคอมพิวเตอร์ของผู้ใช้จากระยะไกลได้

Read More »

เตือนช่องโหว่บนแอป Transmission BitTorrent เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมคอมพิวเตอร์

Tavis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่บนแอปพลิเคชัน Transmission BitTorrent ซึ่งช่วยให้แฮ็กเกอร์สามารถรันคำสั่งและเข้าควบคุมคอมพิวเตอร์ของผู้ใช้จากระยะไกลได้ทันที ที่สำคัญคือยังไม่มีแพตช์สำหรับอุดช่องโหว่จากเจ้าของผลิตภัณฑ์

Read More »

พบช่องโหว่บน Intel AMT เสี่ยงคอมพิวเตอร์ถูกแฮ็กได้ภายใน 30 วินาที

F-Secure ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดังออกมาแจ้งเตือนถึงช่องโหว่บน Intel AMT ซึ่งช่วยให้แฮ็กเกอร์สามารถบายพาสกระบวนการพิสูจน์ตัวตนและเข้าควบคุมคอมพิวเตอร์จากระยะไกลได้ภายในเวลาเพียง 30 วินาที คอมพิวเตอร์ที่ใช้ชิปประมวลผลของ Intel กว่าหลายล้านเครื่องทั่วโลกต่างได้รับผลกระทบ

Read More »

สรุปคำแนะนำและแพตช์สำหรับ Meltdown และ Spectre จาก Vendors รายต่างๆ

หลังจากที่ Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ร้ายแรง 2 รายการ คือ Meltdown และ Spectre บน CPU เกือบทุกรุ่น ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูล เช่น รหัสผ่าน รูปภาพ อีเมล หรือเอกสารสำคัญ ออกไปได้ ล่าสุด ผู้ผลิตระบบปฏิบัติการและซอฟต์แวร์ต่างๆ ได้ออกให้คำแนะนำและอัปเดตแพตช์ผลิตภัณฑ์ของตน ดังนี้

Read More »

พบช่องโหว่ร้ายแรงบน phpMyAdmin เสี่ยงฐานข้อมูลถูกโจมตี

Ashutosh Barot นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดีย ออกมาแจ้งเตือนถึงช่องโหว่ Cross-site Request Forgery (CSRF) บน PhpMyAdmin เวอร์ชัน 4.7.x ซึ่งช่วยให้แฮ็กเกอร์สามารถสั่งการระบบฐานข้อมูลได้จากระยะไกล เพียงแค่หลอกให้ผู้ดูแลระบบกดคลิกลิงค์เท่านั้น

Read More »

พบช่องโหว่ Zero Day ใน vBulletin เปิดให้ผู้โจมตีทำ Remote Code Execution ได้

นักวิจัยด้าน Security ชาวอิตาเลียนจาก TRUEL IT และ SecuriTeam ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ Zero Day บน vBulletin ระบบ Webboard ชื่อดังที่มีเว็บไซต์มากกว่าแสนแห่งใช้งานอยู่ทั่วโลก ซึ่งถึงแม้จะมีการแจ้งช่องโหว่ดังกล่าวไปยังทีมพัฒนา vBulletin แล้วแต่ก็ยังไม่มีการออกอัปเดตมาอุดช่องโหว่แต่อย่างใด

Read More »

พบช่องโหว่การเชื่อมต่อ Office 365 และ Azure AD เสี่ยงโดเมนถูกแฮ็ก

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Preempt ออกมาแจ้งเตือนถึงช่องโหว่เมื่อทำการเชื่อมต่อ Microsoft Office 365 กับ Active Directory Domain Services (AD DS) โดยใช้ซอฟต์แวร์ Azure AD Connect ซึ่งช่วยใช้ผู้ใช้ธรรมดาสามารถยกระดับสิทธิ์ตัวเองขึ้นเป็น Admin แบบลับๆ ได้

Read More »

พบบั๊กบน Facebook เสี่ยงถูกลบรูปถ่ายโดยไม่รู้ตัว

Pouya Darabi นักพัฒนาเว็บชาวอิหร่าน ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับสูงบนแพลตฟอร์ม Social Media ชื่อดังอย่าง Facebook ซึ่งช่วยให้แฮ็กเกอร์สามารถลบรูปภาพของใครก็ได้ที่โพสต์ลงไปในนั้น โดยไม่ต้องแฮ็กบัญชีรายชื่อแต่อย่างใด

Read More »