Tag Archives: vulnerability

ในปัจจุบันนี้ที่การโจมตีไซเบอร์และการเจาะระบบเพื่อขโมยข้อมูลเป็นสิ่งที่เกิดขึ้นไม่เว้นในแต่ละวัน หลายบริษัทเริ่มเปิดให้มี Bug Bounty Program เพื่อสนับสนุนให้แฮ็คเกอร์หรือนักวิจัยด้านความมั่นคงปลอดภัยรายงานช่องโหว่ที่ตนเองค้นพบเพื่อรับเงินรางวัล แทนที่จะนำช่องโหว่นั้นไปใช้โจมตีต่อ … ซึ่งไม่เว้นแม้แต่เว็บ 18+ สำหรับผู้ใหญ่

WordPress แพลทฟอร์มมาตรฐานสำหรับสร้าง Blog ยอดนิยม ออกอัพเดทใหม่ล่าสุด เวอร์ชัน 4.5.2 อุดช่องโหว่ Reflected Cross-site Scriting และช่องโหว่ที่เกิดจาก Plupload ทาง WordPress แนะนำให้ผู้ดูแลระบบเว็บไซต์รีบอัพเดทโดยเร็ว

Cisco ผู้ให้บริการโซลูชันระบบเครือข่ายและระบบคลาวด์แบบครบวงจร แจ้งเตือนผู้ดูแลระบบ Cisco TelePresence, FirePower และ Adaptive Security Appliance (ASA) ทุกคนให้อัพเดทแพทช์เพื่ออุดช่องโหว่ระดับ “Critical” และ “High” โดยเร็ว เนื่องจากอาจเสี่ยงถูกโจมตีแบบ Remote Code Execution และ DoS ได้

Bob Hodges วิศวกรระบบจาก Livingston Educational Service Agency รัฐมิชิแกนออกมาเปิดเผยถึงช่องโหว่บนบริการของ PwnedList.com ที่อาจทำให้เกิดการรั่วไหลของข้อมูล Account Credential มากกว่า 866 ล้านรายการ

Jani เด็กน้อยจากเฮลซิงกิ เมืองหลวงของฟินแลนด์ เจ๋ง ค้นพบช่องโหว่บน Instagram บริการแชร์รูปภาพบนโลกโซเชียลในเครือของ Facebook ได้รับรางวัลไปกว่า 9,000 ยูโร หรือประมาณ 360,000 บาท ที่สำคัญคือ Jani มีอายุเพียงแค่ 10 ขวบเท่านั้น

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยชาวไต้หวันจากบริษัท Devcore ค้นพบช่องโหว่บนเซิร์ฟเวอร์ของบริษัท Facebook หลังเข้าร่วม Bug Bounty Program เพียง 2 เดือน แต่ที่น่าตกใจคือ ภายในช่องโหว่เหล่านั้นกลับมีสคริปต์ Backdoor แฝงตัวอยู่ ซึ่งเป็นไปได้ที่จะมีแฮ็คเกอร์เคยเข้ามาโจมตีก่อนแล้ว หลังจากรายงานเหตุการณ์ดังกล่าวแก่ Facebook ส่งผลให้ Tsai ได้รับเงินรางวัลถึง $10,000 เหรียญ หรือประมาณ 350,000 บาท

พบช่องโหว่บน Git Client ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีอุปกรณ์ Apple จากระยะไกล (Remote Code Execution) ได้ โดยช่องโหว่ดังกล่าวติดมากับแพ็คเกจ Command Line Tools บน Xcode โปรแกรม IDE ยอดนิยมบน Mac OS X

สืบเนื่องจากหนึ่งในทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงานสัมมนา Black Hat Asia 2016 ซึ่งเป็นงานสัมมนาระดับนานาชาติที่จัดขึ้นที่สิงคโปร์เมื่อปลายเดือนมีนาคมที่ผ่านมา ทีมงานจึงถือโอกาสนี้เขียนรีวิวการไปร่วมงานและตอบข้อสงสัยของใครหลายคนที่ว่า งานสัมมนารูปแบบนี้ เช่น Black Hat หรือ RSA Conference มีลักษณะเป็นอย่างไร เนื้อหาในงานสัมมนามีอะไรบ้าง และที่สำคัญคือ คุ้มค่าที่จะเสียเงินไปเข้าร่วมไหม

VMware แจ้งเตือนไปยังผู้ดูและระบบ Virtualization ทั่วโลก ให้รีบทำการอัพเดทแพทช์เพื่ออุดช่องโหว่บน vSphere Web Client หลังค้นพบปัญหาด้านความมั่นคงปลอดภัยบน VMware Client Integration Plugin ส่งผลให้ไม่สามารถจัดการ Web Session ได้อย่างปลอดภัย

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาประกาศเตือนให้ผู้ใช้ยกเลิกการติดตั้งโปรแกรม QuickTime บน Windows ทันที เนื่องจากพบช่องโหว่ความรุนแรงสูง และทาง Apple ประกาศไม่สนับสนุนการใช้ QuickTime บน Windows อีกต่อไป

SAP บริษัทซอฟต์แวร์ ERP ชื่อดัง ออกแพทช์ประจำเดือนเมษายนเพื่ออุดช่องโหว่กว่า 26 รายการ ซึ่ง 2 รายการในนั้นเป็นช่องโหว่ DoS ที่มีความรุนแรงสูง ซึ่งทาง ERPScan ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยระบบ ERP ออกมาระบุว่า สามารถนำไปใช้เพื่อเข้าควบคุมระบบ SAP ได้ทันที

Gregory Draperi นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงช่องโหว่บน Cisco UCS Central Software ซึ่งเป็นระบบบริหารจัดการ Cisco UCS แบบรวมศูนย์ ซึ่งช่วยให้แฮ็คเกอร์สามารถไฮแจ็คเครื่องเซิร์ฟเวอร์ได้จากระยะไกล และไม่จำเป็นต้องมีการพิสูจน์ตัวตนใดๆ ก่อน แนะนำให้รีบอัพเดทแพทช์ล่าสุดโดยเร็ว

Symantec ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำ ได้ออกมาเปิดเผยถึงสถิติภัยคุกคามแบบ Zero-day ที่ค้นพบเมื่อปี 2015 ที่ผ่านมา พบว่ามีจำนวนช่องโหว่ใหม่มากถึง 54 ช่องโหว่ ซึ่งคิดเป็น 2 เท่าของปี 2014 รวมไปถึงสถิติของจำนวนบริษัทที่ถูกเจาระบบเพื่อขโมยข้อมูลไปมากก่า 10 ล้านรายการก็ถูกทำเลยเป็นที่เรียบร้อยแล้วเช่นกัน

Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. ผู้ให้บริการโซลชันระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ชั้นนำของโลก ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2015 ที่ผ่านมา ดังนี้

หลายท่านคงทราบข่าวเรื่อง Panama Papers กันแล้ว ที่ข้อมูลเอกสารลับกว่า 11.5 ล้านฉบับ รั่วไหลออกจากบริษัท Mossack Fonseca ไปเมื่อไม่กี่วันที่ผ่านมา ส่วนหนึ่งของเอกสารเหล่านี้เป็นเอกสารการทำธุรกรรมลับหรือเอกสารทุจริตของผู้มีชื่อเสียงและนักธุรกิจชั้นนำจากทั่วโลก ในไทยเองก็มีหลุดมาถึง 21 คน ซึ่งจนถึงตอนนี้ยังไม่ทราบว่าใครเป็นผู้อยู่เบื้องหลังเหตุการณ์ดังกล่าว

Tobias Zillner, Senior IS Auditor จาก Cognosec บริษัทที่ปรึกษาด้าน IT Security ชื่อดังจากประเทศออสเตรีย ได้ออกมาเปิดเผยถึง 10 ประเด็นด้านความมั่นคงปลอดภัยของระบบเครือข่ายสำหรับใช้เชื่อมต่อกับอุปกรณ์ Internet of Things ในงาน Black Hat Asia 2016 ที่เพิ่งจัดไปที่ประเทศสิงคโปร์

ในงาน Black Hat Asia 2016 ที่กำลังจัดอยู่นี้ Zach Lanier นักวิจัยด้านความมั่นคงปลอดภัยจาก Cylance และ Kelly Lum วิศวกรด้านความมั่นคงปลอดภัยจาก Tumblr ได้ออกมาเตือนถึงการเลือกใช้โซลูชัน DLP ยอดนิยมในปัจจุบัน เนื่องจากบางครั้งอาจเกิดปัญหาเรื่องการเข้าซื้อกิจการของบริษัทเล็กๆ แต่ยังไม่ได้รวมโซลูชันเข้าด้วยกันอย่างสมบูรณ์ ส่งผลให้อาจเกิดช่องโหว่บน DLP ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลออกไปได้

VMware ออกแพทช์อัพเดทเพื่ออุดช่องโหว่ Cross-site Scripting 2 รายการบน vRealize Cloud Software หลาย Edition ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังสคริปต์หรือโค้ดบางอย่างลงบนเครื่องเซิฟเวอร์ของเหยื่อได้

Symantec ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำ ออกมาประกาศแจ้งเตือนช่องโหว่ความรุนแรงสูงบนระบบ ซอฟต์แวร์ Endpoint Protection (SEP) ของตนเอง แนะนำให้ผู้ใช้อัพเดทแพทช์โดยเร็ว

ผลการแข่งขันแฮ็คเว็บบราวเซอร์ Pwn2Own ในปีนี้ บรรดาแฮ็คเกอร์สามารถทำการแฮ็คเว็บบราวเซอร์ได้หลายตัว ไม่ว่าจะเป็น Google Chrome, Microsoft Edge และ Apple Safari ซึ่งพบช่องโหว่ใหม่ทั้งหมด 21 จุด จ่ายเป็นเงินรางวัลจำนวนทั้งสิ้น 460,000 เหรียญสหรัฐ หรือประมาณ 16 ล้านบาท