Tag Archives: vulnerability

เตือนภัย !! แฮ็คเกอร์โจมตี IIS Web Server ผ่านช่องโหว่ DoS

SANS Inter Storm Center ที่ปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ได้ออกมาแจ้งเตือนช่องโหว่ DoS (CVE-2015-1635) บน Internet Information Services (IIS) Extensible Web Server ของ Microsoft ที่เพิ่งออกแพทช์อัพเดทมาเมื่อวันอังคารที่ 14 ว่า ตอนนี้มีกลุ่มแฮ็คเกอร์พยายามโจมตีเว็บเซิฟเวอร์ผ่านช่องโหว่ดังกล่าว

Read More »

พบช่องโหว่บน Cisco ASR 9000 Series เสี่ยงถูกโจมตีแบบ DoS

Cisco แจ้งเตือนช่องโหว่ใหม่บน Cisco ASR 9000 Series Aggregation Services Routers ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ DoS มายังอุปกรณ์เพื่อหยุดการทำงานหรือสั่งให้เกิดการ Reload ของ Network Processor Chip และ Line Card ที่ประมวลผลทราฟฟิคโดยไม่ต้องผ่านการพิสูจน์ตัวตนใดๆ

Read More »

US-CERT เตือน !! ตั้งค่า DNS ไม่ดี อาจเผยข้อมูลโดเมนได้

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ได้ประกาศแนะนำให้ผู้ดูแลระบบเซิฟเวอร์ DNS ตรวจสอบการตั้งค่าบนเครื่องเซิฟเวอร์ของตนอย่างละเอียดถี่ถ้วน เนื่องจากการตั้งค่าอย่างไม่ถูกต้องในการตอบคำร้องขอ AXFR (Asynchronous Transfer Full Range) อาจทำให้ข้อมูลสำคัญของโดเมนรั่วไหลออกไปได้

Read More »

สรุปช่องโหว่ประจำปี 2014 พบ 15,435 ช่องโหว่บน 3,870 แอพทั่วโลก

จากรายงานช่องโหว่ประจำปี 2014 โดย Secunia ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยชั้นนำของเดนมาร์ก พบว่า มีการค้นพบช่องโหว่บนแอพพลิเคชันจำนวน 15,435 รายงาน จาก 3,870 แอพที่พัฒนาโดย 500 ผู้ให้บริการทั่วโลก โดยสามารถแพทช์เพื่ออุดช่องโหว่ภายในวันที่ช่องโหว่เหล่านั้นประกาศสู่สาธารณะได้ถึง 83%

Read More »

FireEye ระบุ แอพบน Android และ Apple iOS ยังคงประสบปัญหาช่องโหว่ FREAK

หลังจากที่หลายสำนักออกมาอัพเดทแพทช์เพื่ออุดช่องโหว่ FREAK บนทั้งบนอุปกรณ์คอมพิวเตอร์ สมาร์ทโฟน และแท็บเล็ต FireEye ผู้ให้บริการด้านโซลูชันความปลอดภัยชั้นนำ ได้ทำการทดสอบแอพพลิเคชันยอดนิยมทั้งบน Android และ Apple iOS พบว่า ยังมีแอพพลิเคชันจำนวนมากที่ยังได้รับกระทบจากช่องโหว่ FREAK เนื่องจากแอพเหล่านั้นยังคงใช้งาน OpenSSL และ Secure Transport Libraries เวอร์ชันที่มีปัญหาอยู่

Read More »

OpenSSL เตรียมออกแพทช์ใหม่ในวันพฤหัสนี้

ยังไม่มีรายละเอียดของแพทช์เผยแพร่ออกมา แต่หนึ่งในช่องโหว่ที่จะอุดมีความรุนแรงระดับ “High” เวอร์ชันใหม่ของ OpenSSL พร้อมเปิดให้อัพเดทในวันพฤหัสบดีที่ 19 มีนาคมนี้ ซึ่งเป็นแพทช์สำหรับอุดช่องโหว่ด้านความปลอดภัยหลายรายการ หนึ่งในนั้นถูกรายงานว่าเป็นช่องโหว่ที่มีความรุนแรงสูง

Read More »

พบช่องโหว่ SQL Injection บน Plugin ของ WordPress

ในช่วง 2 วันที่ผ่านมา มีรายงานการค้นพบช่องโหว่บน Plugin ของ WordPress 2 ตัว คือ Huge IT Slider และ WordPress SEO ซึ่งส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ SQL Injection และ Cross-Site Request Forgery ได้ ทางทีมงาน TechTalkThai จึงรวบรวมข้อมูลมาสรุปให้ฟังกันครับ

Read More »

Seagate ตอบรับ NAS Zero-day เตรียมออกแพทช์เดือนพฤษภาคมนี้

หลังจากที่ OJ Reeves นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ Zero-day บนผลิตภัณฑ์ Seagate Business Storage 2-Bay NAS ที่ยินยอมให้แฮ็คเกอร์รันโค้ดโจมตีจากระยะไกล (Remote Code Execution) ได้เมื่อสัปดาห์ที่ผ่านมา วันนี้ทาง Seagate ได้ออกมาตอบรับและระบุพร้อมออกแพทช์ภายในเดือนพฤษภาคมที่จะถึงนี้

Read More »

วันที่รอคอย Windows ตกบัลลังก์ OS ที่มีช่องโหว่มากที่สุด

Mac OS X, iOS และ Linux ขึ้นแท่นกลายเป็น 3 ระบบปฏิบัติการที่มีช่องโหว่มากที่สุดในปี 2014 แต่ Internet Explorer ยังคงรั้งอันดับ 1 แอพที่มีช่องโหว่มากที่สุด นอกจากนี้ ยังค้นพบว่า เฉลี่ยแล้วแต่ละวันจะมีการค้นพบช่องโหว่ของระบบรักษาความปลอดภัยสูงถึง 19 ช่องโหว่ อ้างอิงจากการวิเคราะห์ของ GFI Software

Read More »

พบช่องโหว่ Zero-day บน Seagate NAS

Business Storage 2-Bay NAS ของ Seagate ผู้ให้บริการด้านอุปกรณ์จัดเก็บข้อมูลชั้นนำของโลก ถูกตรวจพบเจอช่องโหว่ Zero-day ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดจากระยะไกล (Remote Code Execution) ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย OJ Reeves นักวิจัยด้านความปลอดภัยเมื่อวันอาทิตย์ที่ผ่านมา

Read More »

เผย 5 ช่องโหว่ร้ายแรงล่าสุดบนระบบ SAP

Onapsis ผู้ให้บริการโซลูชันชั้นนำสำหรับป้องกันแอพพลิเคชันเชิงธุรกิจ ได้เปิดเผย Security Advisories ระบุรายละเอียดเกี่ยวกับช่องโหว่ร้ายแรงของซอฟต์แวร์ SAP BusinessObjects และ SAP HANA ซึ่งประกอบด้วย 3 ช่องโหว่ร้ายแรงที่ยอมให้ผู้ใช้งานที่ไม่ได้ลงทะเบียนสามารถเขียนทับข้อมูลได้ และอีก 2 ช่องโหว่ที่มีความรุนแรงระดับปานกลาง

Read More »

พบช่องโหว่ DoS บน Cisco IOS XR

ไม่กี่วันที่ผ่านมา ได้มีการค้นพบช่องโหว่ร้ายแรงบนอุปกรณ์ฮาร์ดแวร์ของ Cisco สำหรับ Telco และ ISP ที่อาจนำไปสู่การโจมตีแบบ DoS ได้ โดยช่องโหว่นี้ถูกค้นพบโดยการทดสอบภายในของ Cisco เอง และโชคดีที่ยังไม่มีรายงานการโจมตีบนช่องโหว่ดังกล่าว ซึ่งทาง Cisco ได้ให้รายละเอียดพร้อมแพทช์สำหรับอุดช่องโหว่บน Security Advisory เป็นที่เรียบร้อย

Read More »

Adobe ปล่อยแพทช์อุดช่องโหว่ Zero-day ล่าสุดบน Flash Player

จากที่เมื่อต้นสัปดาห์ Symantec ได้รายงานการค้นพบช่องโหว่ Zero-day บน Flash Player (CVE-2015-0313) ซึ่งส่งผลกระทบต่อ Flash Player ทุกเวอร์ชัน ไม่เว้นแต่เวอร์ชันล่าสุด 16.0.0.296 ในวันนี้ Adobe ได้ปล่อย Flash Player เวอร์ชันใหม่ 16.0.0.305 มาเพื่ออุดช่องโหว่ดังกล่าวแล้ว

Read More »

พบช่องโหว่ร้ายแรงบน IE 11 อาจนำไปสู่การโจมตีแบบ Phishing

มีการค้นพบช่องโหว่สำหรับโจมตีแบบ Cross-Site Scripting (XSS) บน Internet Explorer 11 บน Windows 7 และ 8.1 ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้เป็นช่องทางในการโจมตีแบบ Phishing ไปยังผู้ใช้งานอินเตอร์เน็ตได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย David Leo ตั้งแต่วันที่ 13 ตุลาคม 2014 แต่ยังไม่มีการออก Patch เพื่ออุดช่องโหว่ดังกล่าวจนถึงปัจจุบัน

Read More »

Qualys ประกาศเตือนช่องโหว่ขั้นรุนแรงบน Linux GNU C Library

ทีมวิจัยของ Qualys บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดัง ได้ประกาศการค้นพบช่องโหว่ระดับอันตรายบน Linux GNU C Library (gblic) ซึ่งช่วยให้แฮ็คเกอร์สามารถรีโมทเข้ามาควบคุมเครื่องคอมพิวเตอร์ทั้งหมดโดยไม่จำเป็นต้องอาศัยชื่อผู้ใช้หรือรหัสผ่านใดๆของเครื่อง

Read More »

ช่องโหว่ SQL Injection โผล่รุนแรงสุดในรอบ 3 ปี

หลังจากที่ปริมาณช่องโหว่ SQL Injection ใน Software Package ลดลงอย่างต่อเนื่องตั้งแต่ปี 2011 ในปี 2014 ที่ผ่านมา นักวิจัยของ DB Networks บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ค้นพบว่าปริมาณช่องโหว่ SQL Injection นั้น อยู่ๆก็ได้เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งคาดว่าเกิดจากกระบวนการพัฒนาซอฟต์แวร์ในปัจจุบัน ที่เน้นทำให้เสร็จตามเส้นตาย และถูกบีบด้วยปริมาณต้นทุนการผลิต ส่งผลให้ระบบรักษาความปลอดภัยถูกลดความสำคัญลงไป ทั้งๆที่เป็นหนึ่งในปัจจัยสำคัญในปัจจุบัน

Read More »

OpenSSL ปล่อย 8 แพทช์อุดช่องโหว่

OpenSSL Project ได้ทำการปล่อย Update ใหม่สำหรับ OpenSSL ซึ่งเป็น Open-source Library ยอดนิยมในการใช้งานโปรโตคอล SSL และ TLS คือ เวอร์ชัน 1.0.1k, 1.0.0p และ 0.9.8zd ซึ่งแก้ปัญหา 8 ช่องโหว่ของ OpenSSL โดย 2 จาก 8 ช่องโหว่นั้นอาจถูกโจมตีแบบ Denial of Service (DoS) ได้

Read More »

เทรนด์ไมโครเผยรายงานความปลอดภัยไตรมาส 3 ช่องโหว่และเทคนิคใหม่ๆ ซับซ้อนอย่างที่ไม่เคยมีมาก่อน

เผยช่องโหว่ Shellshock และการโจมตีใหม่ๆ ต่อแพลตฟอร์มโมบายล์และเว็บ กรุงเทพฯ, 8 ธันวาคม 2557 – ในช่วงไตรมาสที่สาม มีเหตุการณ์สำคัญเกิดขึ้น เนื่องจากมีการพบช่องโหว่ใหม่ที่มีชื่อว่า Shellshock ซึ่งเป็นภัยคุกคามต่อเซิร์ฟเวอร์และอุปกรณ์กว่า 500 ล้านเครื่องทั่วโลก  รายละเอียดเกี่ยวกับพัฒนาการที่สำคัญนี้ รวมไปถึงการเพิ่มขึ้นของการโจมตีทางไซเบอร์ทั้งในแง่ปริมาณและความซับซ้อน มีอยู่ในรายงานความปลอดภัยรายไตรมาสฉบับล่าสุด ซึ่งมีชื่อว่า “ช่องโหว่ที่ตกอยู่ภายใต้การโจมตี: เปิดเผยพื้นผิวการโจมตีที่เพิ่มขึ้น” (Vulnerabilities Under Attack: Shedding Light on the Growing Attack Surface) ของเทรนด์ไมโคร (TYO: 4704; TSE: 4704)  นอกจากนี้ รายงานดังกล่าวยังเปิดเผยเกี่ยวกับช่องโหว่ของแพลตฟอร์มเว็บและโมบายล์แอพที่เพิ่มขึ้นอย่างมาก ส่งผลให้เกิดการโจมตีที่มีผลกระทบรุนแรงต่อองค์กรธุรกิจและผู้บริโภค

Read More »

แนวโน้มด้าน Cybersecurity ปี 2015 โดย Websense

ในปี 2014 นี้ เราได้เห็นอาชกรรมบนโลกไซเบอร์หลากหลายรูปแบบ ไม่ว่าจะเป็น Data Breach, การโจมตีข้อมูลบนระบบคลาวด์ และช่องโหว่ของโค้ดเก่าๆที่ถูกเปิดเผยออกมาเป็นจำนวนมา และเมื่อไม่นานมานี้ ทีมงานวิจัยด้านความปลอดภัยของ Websense Security Labs ก็ได้เปิดเผยคำพยากรณ์ด้านความปลอดภัยในปี 2015 เพื่อให้ทุกองค์กรและทุกบริษัทสามารถเตรียมรับมือกับภัยคุกคามที่มีแนวโน้มว่าจะเกิดขึ้นได้ในถัดไป

Read More »

Masque Attack ภัยคุกคามใหม่บน iPhone และ iPad

ไม่กี่วันที่ผ่านมา FireEye, Inc บริษัทผู้นำทางด้านการป้องกันภัยคุกคามขั้นสูงบนโลกไซเบอร์ ได้ออกมาเปิดเผยถึงช่องโหว่อันตรายใหม่ล่าสุดบน Apple iOS เรียกว่า “Masque Attack” ช่วยให้แฮ็คเกอร์สามารถติดตั้งแอพพลิเคชันปลอมบน iPhone และ iPad เพื่อขโมยข้อมูลอีเมลล์และ SMS ได้ทันที ซึ่งตอนนี้รัฐบาลสหรัฐฯได้ออกมาประกาศเตือนถึงภัยคุกคามดังกล่าวแล้ว

Read More »