Security Patch

ไมโครซอฟท์ออกแพตช์รอบเดือนมกราคม IIS มีช่องโหว่รันโค้ดเสี่ยง Worm ควรเร่งอัพเดต

By lew

on 12 January 2022 - 11:45 Tag: Microsoft, Security, Security Patch, IIS

Microsoft

ไมโครซอฟท์ออกแพตช์ตามรอบปกติเดือนมกราคม รวม 97 รายการ มีช่องโหว่ระดับวิกฤติ 9 รายการ ส่วนใหญ่เป็นช่องโหว่รันโค้ดระยะไกลใน Exchange Server, Office, Codec, และ Curl

ในบรรดาช่องโหว่ทั้งหมด ไมโครซอฟท์แนะนำให้จัดลำดับการแพตช์ช่องโหว่ CVE-2022-21907 ของ HTTP Stack ขึ้นมาเป็นพิเศษ เพราะช่องโหว่นี้เปิดทางให้แฮกเกอร์รันโค้ดผ่านเน็ตเวิร์คได้โดยไม่ต้องล็อกอิน อย่างไรก็ตามคอนฟิกเริ่มต้นไม่ได้รับผลกระทบจากช่องโหว่นี้ ผู้ใช้ต้องเปิดฟีเจอร์ HTTP Trailer Support จึงกระทบ

ไมโครซอฟท์ออก Patch Tuesday ธันวาคม 2021, Windows 10 v2004 หมดอายุแล้ว

By mk

on 16 December 2021 - 09:02 Tag: Microsoft, Windows 10, Security Patch, Security

Microsoft

เมื่อวานนี้ ไมโครซอฟท์ออก Patch Tuesday รอบเดือนธันวาคม 2021 อุดช่องโหว่ของซอฟต์แวร์หลายตัว เช่น Microsoft Edge, VS Code, Office, PowerShell, Windows Server รวมช่องโหว่ทั้งหมด 67 ตัว

ช่องโหว่สำคัญในแพตช์รอบนี้มีทั้งหมด 6 ตัว และมีช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว 1 ตัว เกี่ยวกับตัวติดตั้งแพ็กเกจ Windows AppX ที่ใช้แพ็กเกจมาทะลุช่องโหว่นี้เพื่อติดตั้งมัลแวร์ลงในเครื่อง

Amazon ประกาศออกแพตช์ให้ Fire TV นาน 4 ปี เริ่มนับหลังหยุดขาย

By mk

on 3 November 2021 - 16:20 Tag: Fire TV, Amazon, Security Patch

Fire TV

Amazon ประกาศนโยบายการซัพพอร์ตของอุปกรณ์ตระกูล Fire TV ว่าจะออกแพตช์ความปลอดภัยให้นานอย่างน้อย 4 ปี หลังสินค้าหยุดขาย (after the device is last available for purchase)

ส่วนอุปกรณ์ Fire TV ที่วางขายไปก่อนหน้านี้ทั้งหมด จะการันตีอัพเดตแพตช์ความปลอดภัยอย่างน้อยถึงปี 2025 ประกาศนี้ทำให้อุปกรณ์บางตัวมีระยะซัพพอร์ตยาวนานมาก เช่น Fire TV Stick Gen 2 ที่ออกในปี 2016 จะอยู่ได้นานถึงปี 2025 (ซัพพอร์ต 9 ปี)

ประกาศนี้ของ Amazon ครอบคลุม Fire TV ทุกรุ่น รวมถึงทีวีที่ผลิตโดยบริษัทอื่น (เช่น Toshiba, Pioneer) ยกเว้น Fire TV รุ่นแรกสุดที่ออกในปี 2014-2015 เท่านั้น

ไมโครซอฟท์ออก Patch Tuesday ตุลาคม 2021 ให้ทั้ง Windows 10 และ Windows 11

By mk

on 13 October 2021 - 21:07 Tag: Microsoft, Windows 10, Windows 11, Security Patch

Microsoft

ไมโครซอฟท์ออก Patch Tuesday ประจำรอบเดือนตุลาคม 2021 (หมายเลขแพตช์ KB5006670) ความพิเศษของรอบนี้คือ Windows 11 จะได้อัพเดตแพตช์เป็นครั้งแรกด้วย (ออก 5 ตุลาคม ได้แพตช์รอบ 12 ตุลาคมพอดี)

นอกจากการอัพเดตความปลอดภัย (ที่ได้ทั้ง Windows 10 และ Windows 11) สิ่งที่ปรับปรุงในแพตช์ของ Windows 11 คือแก้บั๊กซอฟต์แวร์เครือข่าย Intel Killer และ SmartByte ส่วนการแก้บั๊กประสิทธิภาพของซีพียู AMD ยังไม่มาในแพตช์รอบนี้

ที่มา - OnMSFT

ไมโครซอฟท์ออก Patch Tuesday สิงหาคม 2021 แก้ช่องโหว่ PrintNightmare แล้ว

By mk

on 11 August 2021 - 09:35 Tag: Microsoft, Security Patch, Security, Printer

Microsoft

ไมโครซอฟท์ออก Patch Tuesday แพตช์ความปลอดภัยประจำรอบเดือนสิงหาคม 2021 อุดช่องโหว่ทั้งหมด 44 ตัว ครอบคลุมผลิตภัณฑ์หลายตัว

ช่องโหว่สำคัญที่พบการโจมตีแล้วคือ CVE-2021-36948 ที่เกี่ยวข้องกับเซอร์วิส Windows Update Medic (ใช้ซ่อม Windows Update เวลามีปัญหาอัพเดตไม่ได้)

Microsoft รายงานช่องโหว่ Print Spooler อีกครั้ง ยังไม่มีแพตช์ แนะนำปิด Service นี้ไปก่อน

By arjin

on 17 July 2021 - 08:41 Tag: Microsoft, Security Patch, Printer

Microsoft

ไมโครซอฟท์รายงานช่องโหว่ความปลอดภัยใหม่ CVE-2021-34481 ของบริการ Windows Print Spooler หรือ PrintNightmare ซึ่งเป็นการรายงานถึงช่องโหว่นี้ครั้งที่ 3 ในรอบ 5 สัปดาห์ โดยผู้โจมตีสามารถเข้าถึงไฟล์ที่สำคัญของ Windows และฝังโค้ดให้รันที่ระดับ SYSTEM เมื่อมีการรีบูทเครื่องได้

ในการรายงานช่องโหว่รอบนี้ ไมโครซอฟท์ยังไม่มีรายละเอียดของแพตช์และกำหนดเวลาออกมา แต่ให้แนวทางแก้ไขปัญหาเบื้องต้น (workaround) นั่นคือหยุดและปิดการทำงาน Print Spooler ไปก่อน

ไมโครซอฟท์ออกแพตช์อุดช่องโหว่ PrintNightmare ยืนยันแพตช์ใช้งานได้จริง

By mk

on 9 July 2021 - 13:19 Tag: Microsoft, Security Patch, Printer

Microsoft

สัปดาห์ที่ผ่านมา มีประเด็นช่องโหว่ความปลอดภัย CVE-2021-34527 ของบริการ Windows Print Spooler หรือที่เรียกกันว่า "PrintNightmare" หลังจากเถียงกันมาหลายวัน ไมโครซอฟท์ก็ยอมออกแพตช์ฉุกเฉิน (out-of-band หรือ OOB) ให้แล้ว แถมยังเป็นกรณีพิเศษคือย้อนไปออกถึง Windows 7 และ Windows Server 2008 ที่หมดระยะซัพพอร์ตไปแล้วด้วย

ไมโครซอฟท์ออกแพตช์รอบเดือนมิถุนายน พบช่องโหว่ถูกโจมตีแล้ว 6 รายการ

By lew

on 10 June 2021 - 11:32 Tag: Microsoft, Security Patch

Microsoft

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยรอบเดือนมิถุนายน โดยรอบนี้มีช่องโหว่ที่ถูกโจมตีก่อนแพตช์ออกทั้งหมด 6 รายการ ในจำนวนนี้มีช่องโหว่ระดับ remote code execution หนึ่งรายการเป็นช่องโหว่ตัวอ่าน MSHTML แต่ความร้ายแรงไม่สูงนักเนื่องจากกระบวนการซับซ้อน และต้องอาศัยผู้ใช้ด้วยบางส่วน (user interaction)

Samsung ปล่อยแพทช์ความปลอดภัยเดือนมิถุนายนให้มือถือตระกูล Galaxy S21 แล้ว

By mheevariety

on 28 May 2021 - 13:23 Tag: Samsung, Security Patch

Samsung

มือถือตระกูล Samsung Galaxy S21 ในเกาหลีใต้ เริ่มได้รับแพตช์ความปลอดภัยเดือนมิถุนายนแล้ว แม้ยังไม่สิ้นเดือนพฤษภาคมก็ตาม โดยเป็นหมายเลขเฟิร์มแวร์เวอร์ชั่น G991NKSU3AUE8, G996NKSU3AUE8, และ G998NKSU3AUE8 สำหรับ Galaxy S21, S21+ และ S21 Ultra ตามลำดับ คาดว่าจะทยอยอัพเดตให้ประเทศอื่นในอีกไม่ช้า

ที่ผ่านมามือถือ Samsung รุ่นเรือธงปี 2020 นั้นได้อัพเดตแพตช์ความปลอดภัยไวพอๆ กับมือถือตระกูล Pixel ของ Google และดูเหมือนว่าเรือธงของปีนี้อย่าง Galaxy S21 ก็ได้อัพเดตไวเช่นเดียวกัน

Qualys รายงานช่องโหว่เมลเซิร์ฟเวอร์ Exim 21 รายการ บางตัวเปิดทางรันโค้ดจากระยะไกล

By lew

on 8 May 2021 - 12:24 Tag: Qualys, Security Patch

Qualys

Qualys Research Team ทีมวิจัยของ Qualys รายงานถึงช่องโหว่ใน Exim ที่เป็น mail transfer agent ยอดนิยม ช่องโหว่บางรายงานเปิดทางให้แฮกเกอร์รันโคดจากระยะไกลโดยไม่ต้องยืนยันตัวตัว (unauthenticated remote code execution)

Exim มีเซิร์ฟเวอร์รันอยู่กว่า 4 ล้านไอพีจากรายงานของ Shodan หากไม่ได้แพตช์หรือป้องกันช่องทางอื่นๆ แฮกเกอร์อาจบุกยึดเซิร์ฟเวอร์เหล่านี้ได้ โดยรายงานของ Qualys ไม่ได้ให้โค้ดโจมตีตัวอย่าง (proof of concept) มาด้วย แต่กลับรายงานอย่างละเอียดถึงโค้ดส่วนที่มีปัญหา ทำให้แฮกเกอร์สามารถสร้างเครื่องมือโจมตีได้ไม่ยากนัก

อัพเดตกันด่วน Dell ออกเฟิร์มแวร์อุดช่องโหว่เก่า กระทบพีซี Dell แทบทุกรุ่น

By mk

on 5 May 2021 - 09:55 Tag: Dell, Security Patch, Security

Dell

ข่าวสำคัญของผู้ใช้ Dell เพราะ Dell ออกอัพเดตเฟิร์มแวร์ อุดช่องโหว่สำคัญที่ส่งผลกระทบต่อพีซี Dell จำนวนมาก เนื่องจากเป็นช่องโหว่ BIOS ที่อยู่มานาน 12 ปีแล้ว

ถ้าไม่นับประเด็นเรื่องความแพร่หลาย ตัวช่องโหว่นี้ไม่ได้มีความร้ายแรงเป็นพิเศษ เป็นเรื่องสิทธิการเข้าถึง (access control) บนระบบปฏิบัติการวินโดวส์ดังที่พบได้ทั่วไป (ลินุกซ์ไม่โดน) การโจมตีจำเป็นต้องเข้าถึงบัญชี local ของเครื่องเท่านั้น และ Dell บอกว่ายังไม่พบการใช้งานช่องโหว่นี้จากกลุ่มแฮ็กเกอร์

ยังช้าอยู่ OnePlus เพิ่งอัพเดตแพตช์ความปลอดภัยเดือนมีนาคมให้ OnePlus 7, 7Pro, 7T และ 7T Pro

By mheevariety

on 19 April 2021 - 10:38 Tag: OnePlus 7, Android 11, Security Patch

OnePlus 7

หลัง OnePlus 7, 7 Pro, 7T และ 7T Pro ได้อัพเดต OxygenOS 11 ไปช่วงปลายเดือนมีนาคมที่ผ่านมา แต่แพตช์ความปลอดภัยยังเป็นของเดือนกุมภาพันธ์อยู่

Project Zero ใจดี ขยายระยะเวลาเปิดเผยข้อมูลช่องโหว่อีก 30 วัน ให้เวลาคนอัพเดตแพตช์

By mk

on 16 April 2021 - 17:48 Tag: Project Zero, Security Patch, Security, Google

Project Zero

Project Zero โครงการหาช่องโหว่ความปลอดภัยของกูเกิล ประกาศนโยบายการเผยแพร่ข้อมูลช่องโหว่ของปี 2021 ที่เปลี่ยนจากของเดิม โดย Project Zero ใจดีกว่าเดิม เพิ่มเวลาให้อีก 30 วันก่อนเผยแพร่ข้อมูลช่องโหว่ต่อสาธารณะ

ที่ผ่านมา นโยบายของ Project Zero คือให้เวลาผู้พัฒนาซอฟต์แวร์พัฒนาแพตช์ภายใน 90 วัน (ถ้าช่องโหว่ถูกใช้โจมตีแล้ว จะให้เวลา 7 วันแทน) ก่อนเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ เพื่อบีบให้ผู้พัฒนาซอฟต์แวร์ต้องรีบออกแพตช์ภายในระยะเวลาที่กำหนด มิฉะนั้น แฮ็กเกอร์จะได้ข้อมูลช่องโหว่ไปใช้โจมตี

Pixel 5 ได้แพตช์รอบเมษายน พบประสิทธิภาพกราฟิกดีขึ้นถึง 30-50%

By mheevariety

on 7 April 2021 - 11:50 Tag: Google Pixel 5, Security Patch

Google Pixel 5

เว็บไซต์ไอทีหลายแห่งพบว่า Pixel 5 มีประสิทธิภาพกราฟฟิกดีขึ้นมาก หลังอัพ แพตช์ความปลอดภัยรอบเดือนเมษายน 2021 ที่ระบุถึงการ “ปรับปรุงประสิทธิภาพสำหรับแอพและเกมที่ใช้งานกราฟฟิกหนักบางแอพ” บน Google Pixel 5 และ Pixel 4a 5G

Andreas Proschofsky จากเว็บไซต์ Der Standard ประเทศเยอรมนี ทวิตว่าคะแนน 3DMark ของ Pixel 5 ที่ใช้ Snapdragon 765G (จีพียู Adreno 620) เพิ่มขึ้นถึงราว 30-50% หลังอัพแพตช์ดังกล่าว

Apple อัพเดต iOS 14.4.2 แก้ไขช่องโหว่ WebKit รวมทั้ง watchOS 7.3.3 และ iOS 12.5.2

By arjin

on 27 March 2021 - 08:46 Tag: iOS 14, WebKit, Security Patch, Apple, watchOS, iPadOS

iOS 14

แอปเปิลออกอัพเดต iOS 14.4.2 และ iPadOS 14.4.2 ในวันนี้ โดยเป็นการแก้ไขช่องโหว่ของ WebKit ที่อาจทำให้ถูกโจมตีแบบ Cross-Site ได้ ผู้ใช้งานจึงควรอัพเดตเพื่อความปลอดภัย

การอัพเดตทำได้โดยไปที่ Settings > General > Software Update

แอปเปิลยังออกอัพเดตเพื่อแก้ไขช่องโหว่นี้สำหรับ watchOS ระบบปฏิบัติการบน Apple Watch และ iOS ของอุปกรณ์รุ่นเก่าที่อัพเดตเป็น iOS 14 ไม่ได้ รายละเอียดดังนี้

OpenSSL ออกแพชต์แก้ช่องโหว่เปิดทางใบรับรองธรรมดาทำตัวเป็น CA

By lew

on 27 March 2021 - 00:27 Tag: OpenSSL, Security Patch

OpenSSL

OpenSSL ออกแพตช์เวอร์ชั่น 1.1.1k แก้ไขช่องโหว่ร้ายแรงสูงสองรายการที่เปิดทางให้แฮกเกอร์ออกใบรับรองปลอม และอาจทำเซิร์ฟเวอร์แครช

ช่องโหว่ CVE-2021-3450 เป็นช่องโหว่ที่เปิดทางให้แฮกเกอร์ใช้ใบรับรองทั่วไปทำตัวเป็น certification authority (CA) แล้วนำไปรับรองใบรับรองอื่นๆ ได้ เปิดทางให้แฮกเกอร์สร้างใบรับรองสำหรับโดเมนอื่นๆ ที่ไม่ได้เป็นเจ้าของเอง แม้ช่องโหว่นี้จะร้ายแรง แต่ไคลเอนต์ที่จะได้รับผลกระทบต้องเปิดฟีเจอร์ X509_V_FLAG_X509_STRICT ซึ่งค่าเริ่มต้นไม่ได้เปิดเอาไว้

ไมโครซอฟท์แจ้งเตือนแฮกเกอร์เริ่มใช่ช่องโหว่ Exchange ปล่อย ransomware, ออกแพตช์ให้เวอร์ชั่นเก่า

By lew

on 14 March 2021 - 19:52 Tag: Microsoft, Exchange, Security Patch

Microsoft

ไมโครซอฟท์แจ้งเตือนผู้ใช้ Exchange Server ว่าบริษัทเริ่มตรวจพบกลุ่มแฮกเกอร์ใช้ช่องโหว่ล่าสุดเพื่อเผยแพร่มัลแวร์เข้ารหัสเรียกค่าไถ่ (ransomware) โดยมัลแวร์ที่พบคือ Doejo.Crypt.A และ DearCry

แม้ไมโครซอฟท์จะออกแพตช์มาตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา แต่เนื่องจากช่องโหว่นี้มีผลกระทบเป็นวงกว้างทำให้บริษัทตัดสินใจออกแพตช์ย้อนให้กับ Exchange 2019 รุ่นเก่าที่ติดตั้งแพตช์ Cumulative Updates (CU) ตั้งแต่ตัวแรก CU1 จนถึง CU22 เพื่อให้ลูกค้าสามารถอัพเดตแพตช์นี้ได้ง่ายขึ้น

ที่มา - @MsftSecIntel

Samsung รุ่นเรือธงปี 2020 อัพเดตแพทช์ความปลอดภัยไวพอๆ กับ Pixel 5/4/4a 5G

By mheevariety

on 16 February 2021 - 11:38 Tag: Security Patch, Android, Samsung, Galaxy S20, Google Pixel 4

Security Patch

Android Police ทำบทความให้คะแนนการอัพเดตแพทช์ความปลอดภัยของมือถือแอนดรอยด์รุ่นเรือธง 18 รุ่น โดยดูจากดีเลย์หลังจากที่แพทช์ออก และเดือนที่มือถือรุ่นนั้นข้ามอัพเดตไป มือถือที่ไม่ข้ามอัพเดต และมีดีเลย์น้อยที่สุดได้ 10 คะแนนเต็ม หลังจากนั้นคะแนนลดหลั่นจาก 10 ถึง 0 ซึ่ง Pixel 5/4/4a 5G ได้คะแนนเต็ม 10 เป็นลำดับแรกตามความคาดหมาย

[แจ้งเตือน] CentOS 6 หมดอายุซัพพอร์ตวันที่ 30 พฤศจิกายนนี้

By lew

on 29 November 2020 - 11:59 Tag: CentOS, Security Patch

CentOS

โครงการ CentOS มีกำหนดยุติการซัพพอร์ต CentOS 6 ตั้งแต่วันที่ 30 พฤศจิกายนนี้เป็นต้นไป ทำให้เซิร์ฟเวอร์ที่ยังใช้งานต่อไม่ได้รับแพตช์ความปลอดภัยใดๆ อีกต่อไป โดย CentOS 6 นั้นเริ่มออกตัวจริงตั้งแต่ปี 2011 รวมเวลานานกว่า 9 ปีแล้ว

แอปเปิลปล่อยแพตช์ Mac OS หลังพบว่ามีการใช้ช่องโหว่โจมตีแล้ว

By lew

on 14 November 2020 - 23:23 Tag: Big Sur, Apple, Security Patch, macOS

Big Sur

แอปเปิลปล่อยแพตช์แมคในตระกูล Big Sur 11.0, High Sierra 10.13, และ Mojave 10.14 หลังมีรายงานการโจมตีช่องโหว่เคอร์เนลและ FontParser

ช่องโหว่ใน FontParser เปิดทางให้แฮกเกอร์สามารถสร้างฟอนต์เพื่อรันโค้ดในเครื่องของเหยื่อได้ ขณะที่ช่องโหว่ในเคอร์เนลเปิดทางให้แฮกเกอร์ยกระดับสิทธิไปรันในสิทธิ์ระดับเคอร์เนล โดยรวมทำให้แฮกเกอร์ยึดเครื่องเหยื่อได้

ช่องโหว่ที่ถูกใช้งานแล้วแจ้งมายังแอปเปิลโดย Project Zero ของกูเกิล ยังไม่มีข้อมูลว่ากูเกิลไปพบการโจมตีได้อย่างไร โดยแพตช์ที่แก้ไขช่องโหว่เหล่านี้จะเป็น Big Sur 11.0.1, High Sierra 10.13.6, และ Mojave 10.14.6

Subscribe to Security Patch