ช่องโหว่ Archives

อัปเดตด่วน พบช่องโหว่ Zoom เปิดทางแฮ็กเกอร์เจาะเข้าเครื่อง

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 28 May 2022

หากตอนนี้ใครยังใช้ Zoom อยู่ ควรอัปเดตให้เป็นเวอร์ชั่น 5.10.0 ขึ้นไปโดยด่วน เพื่อแก้ไขช่องโหว่โปรโตคอล XMPP ที่แฮ็กเกอร์อาจเรียกใช้โค้ดจากระยะไกล และทำให้เข้าถึงเครื่องผู้ใช้ได้ครับ ช่องโหว่ดังกล่าวค้นพบโดย Ivan Fratric นักวิจัยด้านความปลอดภัยของ Google Project Zero ซึ่งเขาได้มีการแจ้งไปจาก Zoom และได้มีการปล่อยอัปเดตออกมาในวันที่ 24 พฤษภาคมที่ผ่านมา ทั้งนี้ ช่องโหว่ดังกล่าวถือเป็นช่องโหว่ Zero-day นอกจากการแจ้งให้ผู้ใช้ Zoom ให้อัปเดตแล้ว ผมเชื่อว่าข้อมูลเรื่องช่องโหว่ดังกล่าวน่าจะหลุดเข้าไปหูแฮ็กเกอร์ด้วยเหมือนกัน ฉะนั้น รีบอัปเดตด่วนครับ การอัปเดตทำได้โดยการเปิด Zoom ขึ้นมา กดที่รูปโปรไฟล์ แล้วเลือกคำว่า Check for update แล้วกดอัปได้เลย ที่มาข้อมูล https://www.zdnet.com/article/zoom-patches-xmpp-vulnerability-chain-that-could-lead-to-remote-code-execution/ ———————————————————————————————————————– ที่มา : Techhub…

อัปด่วน Google Chrome เวอร์ชัน 101 แก้ไขช่องโหว่ ความเสี่ยงสูง

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 7 May 2022

หากใครที่ไม่ได้ใช้ Google Chrome เป็นประจำ เปิดบ้างเป็นบางครั้ง ให้ลองเข้าไปอัปเดตเป็นเวอร์ชันล่าสุด หรือก็คือเวอร์ชัน 101 ด่วนครับ เพราะนักพัฒนาได้แก้ไขช่องโหว่ด้านความปลอดภัย 29 รายการ และมี 6 ช่องโหว่ที่นักพัฒนาระบุว่าเป็นภัยคุกคามที่อยู่ในระดับ “สูง” ช่องโหว่ที่เป็นภัยคุกคามระดับสูงคือ CVE-2022-1477 CVE-2022-1478 CVE-2022-1479 CVE-2022-1481 CVE-2022-1482 CVE-2022-1483 Google ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ทั้งหมด แต่บอกว่าต้องการรอจนกว่าผู้ใช้ส่วนใหญ่จะมีการอัปเดตเบราว์เซอร์ของตน จากนั้นจะเผยแพร่รายละเอียดที่ชัดเจนว่าข้อบกพร่องเหล่านี้คืออะไร พร้อมกับวิธีที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ได้ เนื่องจากไม่ต้องการชี้โพรงให้กระรอกครับ โดยปกติแล้ว หากใครที่ใช้ Chrome เป็นประจำ มีการเปิดและปิด Chrome บ่อยครั้ง ทำให้เกิดการ Reluanch อยู่ตลอด Google จะอัปเดตให้เป็นเวอร์ชั่นล่าสุดในอัตโนมัติ แต่กับบางคน (เช่นผม) ใช้เบราว์เซอร์ตัวอื่นเป็นหลัก (Edge) จะมีการใช้งาน Chrome เป็นบางครั้งเพราะต้องการใช้เครื่องมือบางอย่างของ Google ซึ่งใช้ได้เฉพาะบน Chrome…

82% ของแอปพลิเคชันภาครัฐ มีข้อบกพร่อง ‘ความปลอดภัย’

บทความน่าสนใจBy Admin S.10 13 April 2022

จำเป็นอย่างยิ่งที่ต้องมีการตรวจสอบช่องโหว่อย่างเป็นประจำสม่ำเสมอเพื่อหลีกเลี่ยงความเสียหายที่จะเกิดขึ้น จากการศึกษาค้นคว้าครั้งใหม่ของบริษัทซอฟต์แวร์ Veracode พบว่า แอปพลิเคชันภาครัฐมากกว่า 4 ใน 5 หรือ 82% มี ซึ่งเป็นสัดส่วนที่สูงสุดในบรรดาอุตสาหกรรมทั้งหลาย นักวิจัยยังพบอีกว่า ภาครัฐใช้เวลาประมาณ 2 เท่า เมื่อเปรียบเทียบกับอุตสาหกรรมอื่นๆ ในการจัดการแก้ไขข้อบกพร่องภายหลังจากการตรวจพบ นอกจากนี้ 60% ของข้อบกพร่องที่บุคคลภายนอกสามารถตรวจพบได้ แต่ภาครัฐยังคงไม่สามารถแก้ไขได้หลังจาก 2 ปีผ่านไป ซึ่งเป็นกรอบเวลาถึง 2 เท่าของอุตสาหกรรมอื่นๆ และ 15 เดือนตามค่าเฉลี่ยนอกอุตสาหกรรม โดยรายงานนี้อิงจากการวิเคราะห์ข้อมูลที่รวบรวมจากการสแกน 20 ล้านครั้งผ่าน 5 แสนแอปพลิเคชันของภาครัฐ การผลิต การบริการทางการเงิน ห้างสรรพสินค้า โรงแรม การดูแลสุขภาพและเทคโนโลยี ภาครัฐยังมีอัตราการแก้ไขข้อบกพร่องได้ต่ำที่สุดคืออยู่ที่ 22% เมื่อเทียบกับทุกอุตสาหกรรม นักวิจัยกล่าวว่าผลการวิจัยชี้ให้เห็นว่า หน่วยงานภาครัฐมีความเสี่ยงต่อการถูกโจมตีทางซอฟต์แวร์ซับพลายเซน เหมือนกับ SolarWinds และ Kaseya…

ปลอดภัยจริงไหม Tesla เจอช่องโหว่ โดนแฮกได้ แบบเจ้าของไม่รู้

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 22 January 2022

อายุ 19 ปี แต่ได้เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ … . David Columbo ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอที อายุ 19 ปี โพสต์ในกระทู้ Twitter ว่าเขาสามารถควบคุมรถยนต์ Tesla ได้มากกว่า 25 คันใน 13 ประเทศโดยที่เจ้าของรถไม่รู้ . ทั้งนี้ Columbo ไม่ได้ต้องการจะบอกว่าเขาสามารถทำได้อย่างไร จนกว่าจะมีการรายงานช่องโหว่ดังกล่าวไปยัง Mitre ที่เป็นองค์ไม่แสวงหาผลกำไรเสียก่อน อย่างไรก็ตาม เขาให้ข้อมูลว่า ความผิดพลาดดังกล่าวเกิดจากส่วนของเจ้าของรถ ไม่ได้เกิดจากความผิดพลาดในซอฟต์แวร์ของ Tesla . ผลของการแฮกของ Columbo คีอ เขาสามารถค้นหาตำแหน่งที่แม่นยำของรถแต่ละคัน ปิดระบบรักษาความปลอดภัย เปิดประตูและหน้าต่างได้แม้ในขณะรถกำลังวิ่ง เล่นเพลงและวิดีโอ YouTube ซึ่งก็แทบจะทำได้ทุกอย่าง และแม้ว่า Columbo จะไม่สามารถขโมยรถจากระยะไกลได้ แต่เขาก็สามารถทำได้ง่าย ๆ หากอยู่ในสถานที่จริง . แม้ว่านี่ไม่ใช่ความผิดของเทสลา แต่ก็ยังอาจเป็นปัญหาด้านการประชาสัมพันธ์ของบริษัท ที่ไม่ได้ให้ความรู้แก่ผู้ใช้จนกลายเป็นจุดอ่อนที่รถสามารถโดนแฮกได้ อย่างไรก็ตาม…

ช่องโหว่ใหม่ iOS หลอกว่าปิดเครื่อง ที่แท้แฝงตัว แอบสอดแนม

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 19 January 2022

โดยปกติแล้ว เมื่ออุปกรณ์ iOS ต่าง ๆ ติดมัลแวร์ การลบออกอาจทำเพียงแค่รีสตาร์ทเครื่องใหม่ก็ทำได้แล้ว . แต่นักวิจัยด้านความปลอดภัยจาก ZecOps ได้ค้นพบวิธีที่จะทำให้ iPhone ดูเหมือนถูกปิดไปแล้ว (ในความจริงไม่ได้ปิด) พร้อมกับเปิดประตูให้แฮกเกอร์สามารถแทกซึมเข้าอุปกรณ์ได้ ซึ่งแฮกเกอร์จะสามารถสอดแนมเจ้าของเครื่องผ่านกล้องไมโครโฟนของโทรศัพท์ พร้อมกับส่งข้อมูลกลับไปให้พวกเขา . ทั้งนี้หากเครื่องติดมัลแวร์แล้ว มัลแวร์จะยังอยู่ในหน่วยความจำออนบอร์ดไปตลอด จนกว่าจะมีการปิดเครื่องจริง ๆ ซึ่งนักวิจัยเรียกการโจมตีนี้ว่า ‘NoReboot’ วิธีการแก้ปัญหาก็แค่ปิดเครื่องแล้วเปิดใหม่ แต่มันอาจไม่ง่ายอย่างนั้น . เพราะมัลแวร์จะไม่ทำให้เจ้าของเครื่องรู้ว่าเค้าติดมัลแวร์แล้ว หากเจ้าของเครื่องทำการปิดเครื่อง เครื่องจะดูเหมือนปิดจริง ๆ เพราะปุ่มกดต่าง ๆ จะไม่ตอบสนอง ทั้งปุ่มเพิ่ม-ลด เสียงปุ่มเปิด-ปิด หน้าจอ โทรศัพท์ไม่สั่น ไม่มีเสียงแจ้งเตือนใด ๆ แต่ในความเป็นจริงเครื่องยังทำงานอยู่เพื่อคอยสอดแนม . เมื่อเจ้าของเปิดเครื่องมาใช้ เครื่องก็จะดูเหมือนเปิดขึ้นมาเหมือนการใช้งานปกติ แต่ก็ยังมีมัลแวร์แฝงอยู่ในเมนบอร์ดคอยสอดแนมในโอกาศต่อไปครับ . ตอนนี้จึงไม่ชัดเจนว่า Apple จะจัดการกับมันได้อย่างไรครับ แต่คาดว่าน่าจะออกแพทซ์แก้ช่องโหว่ดังกล่าวในอีกไม่นาน ส่วนตัวคิดว่า วิธีนี้อาจต้องแก้โดยการปล่อยให้โทรศัพท์แบตหมดจนเกลี้ยงไปเลย จากนั้นค่อยเสียบสายชาร์จใหม่เพื่อทำบูตเครื่องขึ้นมา หากเป็นเช่นนั้นมัลแวร์ที่แฝงอยู่ในบอร์ดก็จะหายไป…

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ เปิดโครงการ Hack DHS ชวนแฮ็กเกอร์หาช่องโหว่ รับเงินรางวัล

ข่าวประจำวันBy Admin S.10 15 December 2021

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน โครงการนี้มีชื่อว่า “Hack DHS” มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป Alejandro N. Mayorkas รัฐมนตรี DHS ให้สัมภาษณ์ว่ารัฐบาลสหรัฐต้องการยกระดับความปลอดภัยของระบบไอที ดังนั้น DHS จึงต้องทำตัวเป็นตัวอย่างก่อนใครเพื่อน โครงการ Hack DHS เกิดขึ้นมาเพื่อค้นหาจุดโหว่ของระบบของ DHS เอง และต้องการเป็นต้นแบบให้องค์กรภาครัฐอื่นๆ ทำตาม ที่มา – Department of Homeland Security —————————————————————————————————————————————————————————- ที่มา : Blognone by mk …

Tag Archives: ช่องโหว่