Notepad++ ถูกแฮกเซิร์ฟเวอร์อัพเดต ควรอัพเกรดทันที

By lew Founder on Tag: Notepad++, Security, Hacking
Notepad++

Notepad++ เปิดเผยว่าเซิร์ฟเวอร์อัพเดตเดิมที่ใช้เมื่อปีที่แล้วถูกแฮกจนคนร้ายสามารถดึงทราฟิกบางส่วนไปดาวน์โหลดจากเซิร์ฟเวอร์คนร้าย

เซิร์ฟเวอร์เดิมของ Notepad++ นั้นเป็น shared hosting ที่ให้บริการหลายเว็บบนเครื่องเดียวกัน เซิร์ฟเวอร์นี้ถูกแฮกอยู่หลายเดือน โดยคาดว่ากลุ่มแฮกเกอร์กลุ่มนี้คือกลุ่มที่ Rapid7 ตั้งชื่อว่า Chrysalis

Read more

รักแท้แพ้ Rust! WhatsApp ทิ้ง C++ เพื่อนยาก ยอมรื้อระบบใหม่แลกความปลอดภัยที่เหนือกว่า

By jaideejung007 Contributor on Tag: Meta, WhatsApp, Rust, Security, Software Engineering
Meta

ทีมวิศวกรรมของ Meta ออกมาเปิดเผยรายละเอียดเบื้องลึกเกี่ยวกับการนำภาษา Rust มาใช้งานจริงในสเกลระดับโลกกับแอปพลิเคชัน WhatsApp เพื่อยกระดับความปลอดภัยและความเสถียรของระบบ

ในบทความระบุว่า ปัญหาช่องโหว่ความปลอดภัยที่เกิดจากการจัดการหน่วยความจำ (Memory Safety Vulnerabilities) เป็นปัญหาเรื้อรังของภาษาดั้งเดิมอย่าง C++ ที่ใช้มานาน การเปลี่ยนมาใช้ Rust จึงเป็นทางออกที่ตอบโจทย์ที่สุด เพราะ Rust มีกลไกป้องกันปัญหานี้ได้ตั้งแต่ขั้นตอนการเขียนโค้ด (Compile time) โดยไม่ต้องแลกมาด้วยประสิทธิภาพที่ลดลงเหมือนภาษาที่มี Garbage Collector

สิ่งที่น่าสนใจคือการขยายผลการใช้งาน (Scaling):

Read more

Google เพิ่มฟีเจอร์ป้องกันขโมย Android Theft Protection กำหนดรายละเอียดได้มากขึ้น

By arjin Writer on Tag: Android, Security, Google
Android

กูเกิลเพิ่มฟีเจอร์ป้องกันขโมย Android Theft Protection ของอุปกรณ์ Android ที่พัฒนาเพิ่มเติมมาเรื่อย ๆ โดยของใหม่ในอัปเดตนี้ได้แก่

  • ปรับปรุงระบบล็อกหน้าจอหากการยืนยันตัวตนไม่ผ่านหลายครั้งได้มากขึ้น
  • ขยายการบังคับการยืนยันตัวตนด้วยข้อมูลชีวภาพ หากพบการใช้มือถือนอกพื้นที่ประจำ ไปยังแอปธนาคารและ Google Password Manager เพิ่มเติม
Read more

WhatsApp เพิ่มโหมด Strict Account ลดความเสี่ยงถูกแฮกจากมัลแวร์

By lew Founder on Tag: WhatsApp, Security
WhatsApp

WhatsApp ประกาศเพิ่มฟีเจอร์ Strict Account Settings มาตรการลดความเสี่ยงจากการถูกแฮกเป็นพิเศษ เหมาะสำหรับกลุ่มเสี่ยงเช่น นักการเมือง, นักข่าว, หรือคนดัง

มาตรการนี้จะลดฟีเจอร์บางส่วนทำให้ใช้งานลำบากขึ้น ได้แก่

  • ล็อกการรับไฟล์จากคนที่ไม่รู้จัก
  • ปิดพรีวิวภาพทั้งหมด
  • การโทรเข้าจากหมายเลขที่ไม่รู้จักจะไม่แจ้งเตือน
  • ซ่อนหมายเลขไอพีจากปลายทาง

มาตรการเหล่านี้จำนวนหนึ่งมีให้เลือกเปิดปิดแยกอยู่แล้ว แต่การเปิด Strict Account เป็นการเลือกทีเดียวได้มาตรการลดความเสี่ยงครบชุด

Read more

Android เตรียมเพิ่ม "แรงเสียดทานระดับสูง" หากผู้ใช้ต้องการติดตั้งแอปที่นักพัฒนายังไม่ยืนยัน

By lew Founder on Tag: Android, Security
Android

Matthew Forsythe ทวีตตอบข่าวลือการปรับแนวทางป้องกันการติดตั้งแอปภายนอกสโตร์ (sideloading) โดยจะไม่ห้ามการติดตั้งไปทั้งหมดแต่เพิ่มขั้นตอนให้มีแรงเสียดทานระดับสูงเพื่อให้แน่ใจว่าผู้ใช้เข้าใจความเสี่ยงของการติดตั้งแอปนอกสโตร์ เรียกว่า "Accountability Layer"

ก่อนหน้านี้กูเกิลพยายามเสนอแนวทางลดความเสี่ยงของการทำ sideloading โดยเคยเสนอบังคับนักพัฒนาทุกคนต้องลงทะเบียนกับ Google Play แม้จะแจกจ่ายแอปนอก Google Play ก็ตาม แต่แนวทางนี้ถูกต่อต้านอย่างมากจนกูเกิลถอยออกไป

Read more

ไม่ต้องถอดรหัสให้เมื่อย FBI เข้าถึงข้อมูล BitLocker ได้ เพียงแค่ขอ Recovery Key จาก Microsoft

By jaideejung007 Contributor on Tag: Bitlocker, Microsoft, Security, Privacy, Encryption
Bitlocker

กลายเป็นประเด็นถกเถียงเรื่องความเป็นส่วนตัวอีกครั้ง เมื่อมีรายงานว่าสำนักงานสอบสวนกลางสหรัฐฯ (FBI) สามารถเข้าถึงข้อมูลในคอมพิวเตอร์ที่ถูกเข้ารหัสด้วย BitLocker (ซึ่งขึ้นชื่อว่ามีความปลอดภัยสูงและเจาะได้ยาก) ได้อย่างง่ายดาย โดยไม่ต้องใช้เทคนิคการถอดรหัสขั้นสูงใดๆ เพียงแค่ขอคีย์กู้คืน (Recovery Key) จาก Microsoft

Read more

cURL ยกเลิกโครงการ Bug Bounty หลังพบรายงานช่องโหว่ไม่จริงที่สร้างจาก AI เพิ่มขึ้นมากในปีที่ผ่านมา

By arjin Writer on Tag: Curl, Security, Bug Bounty, Artificial Intelligence
Curl

โครงการ cURL ประกาศยุติโครงการรายงานช่องโหว่ความปลอดภัยผ่าน HackerOne ที่จ่ายผลตอบแทนให้ผู้รายงานปัญหา โดยจะรับการรายงานช่องโหว่วันสุดท้าย 31 มกราคม 2026 หลังจากนั้นจะรับเฉพาะการรายงานโดยตรงจากนักวิจัยความปลอดภัยผ่าน GitHub ของโครงการเท่านั้น

ถ้าจำกันได้ก่อนหน้านี้ Daniel Stenberg ผู้สร้าง cURL เคยออกมาบ่นปัญหาโครงการรายงานช่องโหว่ในยุคสมัย AI ว่าพบรายงานที่ไม่มีคุณภาพ ไม่ใช่ช่องโหว่จริง ในจำนวนที่มากขึ้น ส่วนใหญ่เป็นรายงานที่ใช้ AI ซึ่งเสียเวลาทีมงานที่มีอยู่จำกัดในการตรวจสอบซ้ำมาก เลยนำมาสู่ทางออกด้วยการยกเลิกโครงการจ่ายเงินรางวัล Bug Bounty ไปเลย ซึ่ง Stenberg บอกว่าเขาจะอธิบายที่มาที่ไปเพิ่มเติมในสัปดาห์หน้า

Read more

หมดเวลาเสี่ยง EU เตรียมประกาศบังคับโละอุปกรณ์ Huawei และ ZTE ออกจากโครงสร้างพื้นฐานสำคัญ

By jaideejung007 Contributor on Tag: European Commission, Huawei, Security, Telecom
European Commission

คณะกรรมาธิการยุโรป (European Commission) เผยร่างข้อเสนอใหม่ภายใต้กฎหมาย Cybersecurity Act ที่มุ่งเป้าจัดการกับความเสี่ยงจากผู้ให้บริการเทคโนโลยีที่มีความเสี่ยงสูง (High-risk suppliers) โดยจะเปลี่ยนจากมาตรการ "ขอความร่วมมือ" เดิม ให้กลายเป็น "ข้อบังคับ" ที่ประเทศสมาชิกต้องปฏิบัติตาม

Read more

นักวิจัยพบช่องโหว่ React Server Components ยังแก้ไม่หมดจด เปิดช่องคนร้ายยิงเว็บดับ, อ่านโค้ดได้

By lew Founder on Tag: Next.js, Security
Next.js

Vercel รายงานช่องโหว่ใน React Server Components ที่เคยมีช่องโหว่เปิดทางให้คนร้ายยิงโค้ดเข้ามารันบนเซิร์ฟเวอร์ โดยหลังจากแก้ไขช่องโหว่เดิมไปแล้วก็พบว่ายังเหลือส่วนที่คนร้ายสามารถโจมตีได้อยู่อีกสองส่วน

ช่องโหว่แรก CVE-2025-55184 เป็นการยิงเพื่อให้เซิร์ฟเวอร์ไม่ตอบสนอง ตัวโปรเซสกินซีพียูต่อเนื่อง และช่องโหว่ที่สอง CVE-2025-55183 เปิดทางให้คนร้ายสามารถอ่านโค้ดฝั่งเซิร์ฟเวอร์ได้ ช่องโหว่นี้ไม่ได้เปิดเผยไฟล์อื่นๆ หรือตัวแปร env จึงไม่ควรทำให้กุญแจต่างๆ รั่วไหล ยกเว้นว่าจะ hardcode กุญแจไว้ในโค้ดโดยตรง

Read more

Instagram แถลง ไม่มีเหตุการณ์ข้อมูลรั่วไหล แก้ปัญหาการส่งอีเมลขอรีเซ็ตรหัสผ่านแล้ว

By arjin Writer on Tag: Instagram, Data Breach, Security
Instagram

Instagram ออกแถลงการณ์ทั้งบน X และ Threads บอกว่าบัญชีผู้ใช้งานทั้งหมดยังปลอดภัย โดยระบุว่าได้แก้ไขปัญหาที่ทำให้เกิดอีเมลจำนวนมาก ส่งไปหาผู้ใช้งานเพื่อร้องขอตั้งค่ารหัสผ่านใหม่แล้ว และยังบอกว่าไม่มีการรั่วไหลของระบบ

ก่อนหน้านี้มีรายงานเกี่ยวกับการรั่วไหลของข้อมูลผู้ใช้งาน Instagram ประมาณ 17.5 ล้านบัญชี ซึ่งมีข้อมูลชื่อผู้ใช้งาน อีเมล และข้อมูลส่วนตัวอื่นด้วย โดยคาดมาจากปัญหาช่องโหว่ API ที่เกิดขึ้นในปี 2024

Read more

แบงก์ชาติเวียดนามสั่งห้ามให้บริการแอปธนาคารบนเครื่องที่ root/jailbreak

By lew Founder on Tag: Vietnam, Banking, Security
Vietnam

ธนาคารกลางเวียดนาม (State Bank of Vietnam - SBV) ออกหนังสือเวียน 77/2025/TT-NHNN กำหนดมาตรฐานความปลอดภัยในการให้บริการธนาคารผ่านโทรศัพท์มือถือ โดยหลังจากประกาศนี้มีผล จะต้องห้ามให้บริการบนโทรศัพท์ที่ root/jailbreak, เปิดใช้งาน ADB, ไม่ได้ล็อก bootloader

แนวทางนี้พยายามจัดการความเสี่ยงที่คนร้ายติดตั้งแอปพลิเคชันจับหน้าจอ เพื่อหลอกให้เหยื่อยืนยันตัวตนเพื่อดูดเงิน

Read more

ช่องโหว่ใน React Server Components ร้ายแรงระดับวิกฤติ ควรอัพเดตทันที

By lew Founder on Tag: React, Security
React

โครงการ React รายงานถึงช่องโหว่ CVE-2025-55182 ใน React Server Components Framework (RSC) ซึ่งกระทบไปถึง NextJS, React Router และโครงการอื่นๆ เช่น Vite RSC Plugin

ช่องโหว่เกิดขึ้นเมื่อคนร้ายยิง HTTP request เข้าไปยัง Server Function แล้ว RSC จะถอดข้อมูลออกมาเป็นโค้ดที่รันบนเซิร์ฟเวอร์ ส่งผลให้กลายเป็นช่องโหว่รันโค้ดระยะไกล

Read more

Let's Encrypt เตรียมเปิดกระบวนการยืนยันเจ้าของเว็บด้วย DNS แบบใหม่ ใช้งานกับเซิร์ฟเวอร์ที่เข้าจากอินเทอร์เน็ตไม่ได้โดยง่าย

By lew Founder on Tag: Let's Encrypt, Security
Let's Encrypt

Let's Encrypt ประกาศเตรียมรองรับกระบวนการยืนยันตัวตน DNS-PERSIST-01 กระบวนการยืนยันตัวตนแบบที่ 4 ภายในปี 2026 เปิดทางให้เซิร์ฟเวอร์ต่างๆ ที่ไม่สามารถเข้าถึงจากอินเทอร์เน็ตได้สามารถใช้งาน Let's Encrypt ได้โดยง่าย

เดิม Let's Encrypt มีกระบวนการยืนยันความเป็นเจ้าของโดเมน 3 แบบ ได้แก่

Read more

ServiceNow ซื้อกิจการ Veza แพลตฟอร์มความปลอดภัยในการยืนยันตัวตนที่รองรับ AI

By arjin Writer on Tag: ServiceNow, Acquisition, Security
ServiceNow

ServiceNow ประกาศซื้อกิจการ Veza แพลตฟอร์มความปลอดภัยที่เน้น AI เป็นหลัก โดย ServiceNow บอกว่าจะนำมาเสริมระบบความปลอดภัยและบริหารจัดการความเสี่ยง บนระบบอัตโนมัติที่ใช้ AI โดยไม่เปิดเผยมูลค่าที่เข้าซื้อ

Veza พัฒนาระบบความปลอดภัยในการยืนยันตัวตน ซึ่งมีจุดเด่นคือสิทธิบัตรชื่อว่า Access Graph ที่สามารถแสดงการเชื่อมโยงความสัมพันธ์ของการเข้าถึงระบบทั้ง คน-อุปกรณ์-แอป-ผู้ช่วย AI ช่วยให้ผู้ดูแลความปลอดภัยองค์กรเห็นสิทธิเข้าถึงในทุกระดับ บริษัทก่อตั้งในปี 2020 มีลูกค้าองค์กรมากกว่า 150 ราย ทั้งอุตสาหกรรมการเงิน, ภาคบริการ และสินค้าอุปโภคบริโภค

Read more

AWS เปิดตัว Kiro autonomous agent เขียนโปรแกรมตามคำสั่ง, AWS Security Agent ทำ pentest อัตโนมัติ, AWS DevOps Agent เฝ้าแอปตลอดเวลา

By lew Founder on Tag: AWS, LLM, Artificial Intelligence, Security, DevOps, Kiro
AWS

AWS เปิดตัวชุด Agentic AI ที่ช่วยทีมไอทีทำงาน โดยแบ่งออกเป็นสามด้าน ได้แก่ การพัฒนาซอฟต์แวร์, การดูแลความปลอดภัย, และ DevOps สำหรับการซ่อมบำรุงแอปพลิเคชั่นให้ทำงานได้ต่อเนื่อง

Read more

Let's Encrypt ประกาศแผนลดอายุใบรับรองเข้ารหัสจาก 90 เหลือ 45 วัน ภายในปี 2028

By arjin Writer on Tag: Let's Encrypt, Digital Certificate, Security
Let's Encrypt

Let's Encrypt ประกาศแผนการลดอายุใช้งานใบรับรองเข้ารหัส จากเดิมสูงสุด 90 วัน เหลือ 45 วัน มีผลภายในปี 2028 เพื่อให้เป็นไปตามกฎใหม่ของ CA/Browser Forum ลดความเสี่ยงเมื่อถูกเจาะระบบ นอกจากนี้ยังลดระยะเวลาออกใบรับรองใหม่ด้วยการยืนยันโดเมนเดิมจาก 30 วัน ให้เหลือ 7 ชั่วโมง ภายในปี 2028 เช่นกัน

เพื่อลดผลกระทบที่อาจเกิดขึ้น Let's Encrypt จะทยอยอัปเดตปรับระยะเวลาตามกำหนดดังนี้

Read more

Wiz แจ้งเตือนกลุ่มแฮกเกอร์แทรกโค้ดเข้าแพ็กเกจ npm ยอดนิยมสำเร็จ Zapier, Posthog, Postman โดนด้วย

By lew Founder on Tag: Security, Wiz, NPM
Security

บริษัทวิจัยความปลอดภัย Wiz รายงานถึงแคมเปญแฮกวงกว้างของกลุ่มแฮกเกอร์ที่ใช้มัลแวร์ตระกูล Shai-Hulud โดยการแฮกครั้งนี้ประสบความสำเร็จในการกระจายโค้ดมุ่งร้ายเข้าไปยังแพ็กเกจ npm และโค้ดใน GitHub จำนวนมาก

ทาง Wiz ตรวจพบการแฮกครั้งแรกช่วงวันที่ 21-23 พฤศจิกายนที่ผ่านมา โดยตัวมัลแวร์จะแทรกสคริปต์ preinstall ใน npm ทำให้คนร้ายดึงข้อมูลจากเครื่องของเหยื่อออกไปได้ โดยจะดึงข้อมูล เช่น GitHub token, กุญแจสำหรับคลาวด์ เช่น AWS, GCP, Azure

Read more

สกมช. ปรับปรุงประกาศมาตรฐานความมั่นคงปลอดภัยเว็บไซต์ แก้ไขคำสะกดและทบทวนความถูกต้องทางวิชาการ

By Bigta Contributor on Tag: Thailand, Security, NCSA
Thailand

ตามที่ สกมช. ได้มีการเผยแพร่ประกาศ มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ เมื่อวันที่ 16 กันยายน 2568 โดยเอกสารดังกล่าวมีเนื้อหาที่ผิดพลาดอยู่หลายจุด ไม่ว่าจะเป็นคำสะกดหรือความถูกต้องทางวิชาการ ล่าสุดทาง สกมช. ได้ทบทวนแก้ไขเอกสารดังกล่าวแล้ว

Read more

Anthropic รายงานแฮกเกอร์ใช้ Claude โจมตีบริษัทจำนวนมาก

By lew Founder on Tag: Anthropic, LLM, Security
Anthropic

Anthropic รายงานว่ามีผู้ใช้ที่น่าจะเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน (Chinese state-sponsored group) ใช้ Claude Code เพื่อแฮกหน่วยงานจำนวนมาก ทั้งบริษัทเทคโนโลยี, สถาบันการเงิน, บริษัทเคมีภัณฑ์, และหน่วยงานรัฐ

รายงานไม่บอกรายละเอียดช่องโหว่ที่คนร้ายใช้แฮกแต่อย่างใด แต่บอกเพียงว่า คนร้ายใช้ Claude Code ที่เชื่อมกับ MCP เฉพาะทางเช่น เครื่องมือสแกน, ค้นเว็บ, เครื่องมือวิเคราะห์โค้ด เมื่อพบช่องโหว่แล้วก็จะให้ Claude เขียนโค้ดเพื่อกวาดเอาชื่อผู้ใช้และรหัสผ่านจากระบบที่เจาะได้ไปใช้งานต่อไป

Read more

[Cloudnone] วางระบบ AI องค์กรอย่างไร ให้ข้อมูลไม่รั่ว Blognone x F5

By sponsored on Tag: Cloudnone, F5 Networks, Security
Cloudnone

คุยกับคุณวิภวัฒน์ อุปถัมภ์วิเชียร Technical Manager จาก F5 Thailand และคุณธีรเชษฐ์ ลาภทวี Solution Architect จาก G-Able Public Company Limited การวางระบบความปลอดภัยในยุคที่ปัญญาประดิษฐ์ในกลุ่ม LLM กำลังถูกใช้งานในองค์กรอย่างกว้างขวาง

Read more
Subscribe to Security