ไลบรารี ruby-saml มีช่องโหว่ เปิดทางแฮกเกอร์ปลอมตัวเป็นใครก็ได้

By lew Founder on Tag: Ruby, Security, GitHub
Ruby

ไลบรารี ruby-saml ไลบรารีที่เป็นส่วนประกอบสำคัญของการทำ single sign-on บริการจำนวนมาก มีช่องโหว่จากความผิดพลาดในการ parse ค่า XML เปิดทางให้แฮกเกอร์สามารถปลอมตัวเป็นผู้ใช้อื่นได้

ช่องโหว่นี้ถูกพบจากโครงการรายงานช่องโหว่ของ GitHub ที่กำลังพิจารณาย้ายมาใช้ไลบรารี ruby-saml หลังจากเคยใช้งานมาตั้งแต่ปี 2014 แต่ถอดออกไปใช้ไลบรารีของตนเอง เมื่อพิจารณานำกลับมาใช้อีกครั้งจึงเปิด test environment ให้นักวิจัยเข้ามาทดสอบ

Read more

Mozilla เตือนให้อัพเดต Firefox 128 ลงไป ใบรับรอง Root Certificate หมดอายุ

By mk Founder on Tag: Firefox, Digital Certificate, Browser, Security, Mozilla
Firefox

Mozilla แจ้งเตือนให้ผู้ใช้ Firefox เวอร์ชันเก่าคือ 128 ลงไป (หรือ 115 ESR ถ้าเป็นรุ่นซัพพอร์ตระยะยาวสำหรับองค์กร) อัพเดตเบราว์เซอร์เป็นเวอร์ชันใหม่ เนื่องจากใบรับรอง root certificate หมดอายุในวันนี้ (14 มีนาคม 2025)

Firefox ใช้ root certificate ใบนี้ในการตรวจสอบส่วนขยาย (add-on) ว่าเชื่อถือได้หรือไม่ เป็นส่วนขยายที่ผ่านการรับรองจาก Mozilla จริงไหม รวมถึงใช้ตรวจสอบเนื้อหาที่มี DRM (เช่น ภาพยนตร์ในบริการสตรีมมิ่ง) หากใบรับรองหมดอายุจะไม่สามารถตรวจสอบข้อมูลเหล่านี้ได้

ใบรับรองนี้จะมีผลกับทั้ง Firefox เวอร์ชันเดสก์ท็อปและ Android ส่วนเวอร์ชัน iOS ไม่มีผลเพราะใช้ใบรับรองต่างกัน

Read more

ผู้เชี่ยวชาญความปลอดภัยชี้ Twitter/X โดนยิง DDoS เพราะป้องกันเซิร์ฟเวอร์ไม่ดีพอเอง

By mk Founder on Tag: X.com, Twitter, Nokia, DDoS, Security, Cloudflare
X.com

Jérôme Meyer นักวิจัยความปลอดภัยจาก Nokia Deepfield ในเครือ Nokia เผยรายละเอียดของ Twitter/X โดนยิง DDoS จนล่มไปเมื่อวันจันทร์ที่ผ่านมา

Meyer บอกว่าเซิร์ฟเวอร์ของ Twitter/X ไม่ได้มีระบบป้องกัน DDoS ที่ดีพอ ตัวเซิร์ฟเวอร์เปิดออกสู่อินเทอร์เน็ตโดยตรง ไม่มีอะไรมาขวางกั้นเพื่อชะลอการโจมตี

Read more

ปิดช่องโหว่ Honey, Chrome แก้กฎ การเปลี่ยน Affiliate ต้องแสดงตัวให้ผู้ใช้รู้ตัว

By lew Founder on Tag: Chrome, PayPal, Extension, Browser, Security, Google
Chrome

Chrome Web Store เปลี่ยนนโยบายการแทรก affiliate ใหม่ หลังจากเกิดเหตุการณ์ Honey บริการค้นหาคูปองของ PayPal นำโค้ด affiliate ของตัวเองไปทับลิงก์ที่ผู้ใช้กดผ่านช่องทางของเหล่าอินฟลูเอนเซอร์ชื่อดังจำนวนมาก

เนื่องจากช่องทางใช้งานหลักของ Honey คือส่วนขยาย (extension) ของ Chrome ทำให้มันสามารถติดตามการเบราว์เว็บของผู้ใช้ได้ และเมื่อผู้ใช้กำลัง Checkout ตัว Honey ก็จะพยายามค้นหาคูปองพร้อมกับเปลี่ยน cookie สำหรับแสดงตัวผู้แนะนำสินค้า affiliate เป็นของตัวเอง

Read more

OPPO เพิ่มความปลอดภัย ColorOS 15 ป้องกันโจรกรรมทางการเงิน และการติดตั้งแอปโดยไม่ได้รับอนุญาต

By boompw Contributor on Tag: Oppo, Operating System, Security
Oppo

OPPO ประเทศไทย ประกาศอัปเกรดระบบปฏิบัติการ ColorOS 15 เพื่อเพิ่มความปลอดภัย และความเป็นส่วนตัวสำหรับผู้ใช้งาน ผ่าน Payment Protection ที่ช่วยแจ้งเตือนเมื่อพบการโจรกรรมทางการเงิน และการชำระเงินที่ผิดปกติ

นอกจากนี้ ยังมี StrongBox ทำหน้าที่เหมือนตู้นิรภัยดิจิทัล เก็บรหัสผ่าน และข้อมูลสำคัญไว้ในฮาร์ดแวร์ ป้องกันการโจรกรรมข้อมูล หรือการติดตั้งแอปพลิเคชันโดยไม่ได้รับอนุญาต รวมทั้งส่งสัญญาณฉุกเฉินเมื่อเกิดเหตุอันตราย ผ่านการกดปุ่มล็อคอย่างน้อย 5 ครั้ง สามารถติดต่อเบอร์ฉุกเฉิน บันทึกวิดีโอขณะเกิดเหตุ และแชร์โลเคชันกับผู้ติดต่อแบบเรียลไทม์

Read more

Broadcom เตือนลูกค้า VMware ให้แพตช์ช่องโหว่ Zero-Day 3 รายการ มีรายงานการโจมตีแล้ว

By arjin Writer on Tag: VMware, Broadcom, Security
VMware

Broadcom เตือนลูกค้าเกี่ยวกับช่องโหว่ของ VMware ระดับรุนแรง (critical) ทั้งหมด 3 รายการ ซึ่งมีรายงานการโจมตีแล้วจาก Microsoft Threat Intelligence Center โดยผู้โจมตีสามารถเข้าถึงสิทธิระดับผู้ดูแลหรือ root ทำให้เลี่ยงการป้องกันบนแซนด์บ็อกซ์แล้วเข้าถึง hypervisor ได้ จึงแนะนำให้ลูกค้าแพตช์ป้องกันโดยเร็วที่สุด

ผลิตภัณฑ์ของ VMware ที่ได้รับผลกระทบได้แก่ VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation และ Telco Cloud Platform

Read more

ผู้สร้าง C++ ชี้ภาษากำลังถูกโจมตี ขอชุมชนรองรับมาตรฐานเขียนโค้ดปลอดภัยโดยเร็ว

By lew Founder on Tag: C++, Programming, Security
C++

Bjarne Stroustrup ผู้สร้าางภาษา C++ เขียนบันทึกถึงกรรมการมาตรฐานภาษา C++ หรือ WG21 ระบุว่าการรองรับมาตรฐานภาษาปลอดภัยต่อบั๊กหน่วยความจำเป็นเรื่องเร่งด่วน เพราะตอนนี้ภาษา C++ กำลังถูกโจมตีอย่างไม่เคยมีมาก่อน

แม้จะไม่ได้พูดถึงภาษาคู่แข่งอื่น แต่ก็อนุมานได้ว่า Stroustrup กำลังพูดถึงภาษา Rust ที่ได้รับความนิยมสูงขึ้นอย่างรวดเร็ว จากการรองรับการเขียนแบบปลอดภัยจากบั๊กหน่วยความจำ

Read more

VSCode ถอด Material Theme หลังพบนักพัฒนาอาจใส่โค้ดมุ่งร้าย

By lew Founder on Tag: Visual Studio Code, Security
Visual Studio Code

Material Theme หนึ่งในธีมยอดนิยมสำหรับนักพัฒนา มีทั้งใน VS Code และ editor อีกหลายตัว ถูกถอดออกจาก VSCode Marketplace หลังทีมงานไมโครซอฟท์พบโค้ดมุ่งร้ายในเวอร์ชั่นหลังๆ โดยแอบฝังเข้ามาด้วยโค้ดที่ปิดบังตัวตน (obfuscated)

Isidor จากทีมงาน VSCode ระบุว่าได้รับแจ้งจากภายนอก และเมื่อตรวจสอบก็พบว่าเป็นโค้ดที่น่าเชื่อว่าผู้พัฒนาตั้งใจมุ่งร้ายจริง จึงถอดธีมออกจาก Marketplace และแบนบัญชีนักพัฒนาออกจากระบบ

Read more

Apple ยอมถอดการเข้ารหัส end-to-end บน iCloud ในสหราชอาณาจักร ตามคำสั่งรัฐบาล

By arjin Writer on Tag: United Kingdom, Apple, Security, iCloud
United Kingdom

แอปเปิลตัดสินใจถอดระบบปกป้องข้อมูลขั้นสูง (Advanced Data Protection - ADP) บน iCloud มีผลสำหรับลูกค้าในสหราชอาณาจักร ตามคำสั่งของรัฐบาล

ADP เป็นระบบเข้ารหัสข้อมูลแบบ end-to-end บน iCloud ให้ผู้ใช้งานเก็บข้อมูลเอกสารหรือรูปภาพ ซึ่งเป็นระบบที่ผู้ใช้งานต้องเปิดการทำงานเพิ่มเอง (opt-in) จากปกติข้อมูลบน iCloud มีการเข้ารหัสพื้นฐานอยู่แล้ว ที่ผ่านมาท่าทีของรัฐบาลสหราชอาณาจักรต้องการให้แอปเปิลถอดฟังก์ชันนี้ออกไป เพื่อให้รัฐบาลสามารถเข้าถึงข้อมูลได้หากมีการร้องขอ ซึ่งการตัดสินใจยอมถอดระบบนี้ออก ดูจะแปลกไปจากท่าทีของแอปเปิลที่ผ่านมา

Read more

พบเกม PirateFi บน Steam แอบฝังมัลแวร์ดูดข้อมูลผู้เล่น, Valve ลบเกมออกแล้ว

By mk Founder on Tag: Steam, Valve, Games, Security, Malware
Steam

วงการความปลอดภัยตรวจพบเกมใน Steam ที่แอบฝังมัลแวร์ แอบขโมยข้อมูลจากเครื่องของผู้เล่น

เกมเจ้าปัญหานี้ชื่อว่า PirateFi ของบริษัท Seaworth Interactive เป็นเกมแนวเอาตัวรอด-คราฟต์ของในธีมโจรสลัด หลังเกมเปิดให้เล่นประมาณ 1 สัปดาห์ ทาง Valve ตรวจพบปัญหาว่าเกมแอบฝังมัลแวร์มาด้วย จึงถอดเกมออกจากระบบ และแจ้งเตือนผู้ใช้ที่ดาวน์โหลดเกมไปเล่น เพื่อให้ตรวจสอบคอมพิวเตอร์ของตัวเองอีกทาง

Read more

แบงค์ชาติออกประกาศมาตรฐานความปลอดภัยแอปธนาคาร หนึ่งบัญชีหนึ่งเครื่อง, ต้องทำ Certification Pinning

By lew Founder on Tag: Bank of Thailand, Security, Mobile Banking
Bank of Thailand

ธนาคารแห่งประเทศไทยประกาศแนวทางการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนโทรศัพท์มือถือ เป็นการรวบรวมข้อกำหนดต่างๆ จากประกาศของธนาคารแห่งประเทศไทยเองที่มีมาก่อนหน้านี้ให้เป็นประกาศเดียวกัน

แนวทางบังคับให้สถาบันการเงินต้องมีมาตรการ ได้แก่

Read more

Google Play เพิ่มแบดจ์ Verified สำหรับแอป VPN เพื่อรับรองมาตรฐานความปลอดภัยใช้งาน

By arjin Writer on Tag: Google Play, VPN, Android, Mobile App, Security
Google Play

Google Play ประกาศเพิ่มป้ายกำกับ Verified สำหรับแอป VPN ที่ต่อตรงกับผู้ใช้งาน (consumer-facing) ด้วยเหตุผลเพิ่มความเชื่อมั่นและความปลอดภัยให้กับผู้ใช้งาน Android

แอปที่ได้ป้ายกำกับ Verified นี้ เป็นการรับรองจากกูเกิลว่าแอปได้ผ่านการตรวจสอบมาตรฐานความปลอดภัยมาแล้ว และมีเงื่อนไขอื่นเช่น ผ่านมาตรฐาน Mobile Application Security Assessment ที่ระดับ 2, มีจำนวนการติดตั้งมากกว่า 10,000 ครั้ง มีรีวิวอย่างน้อย 250 รีวิว และอยู่บนแพลตฟอร์ม Google Play อย่างน้อย 90 วัน รวมถึงให้รายละเอียดการเก็บข้อมูลผู้ใช้งาน

Read more

Microsoft Edge เพิ่มตัวตรวจจับ Scareware เว็บปลอมตัวเป็นเหมือนพีซีพัง ติดมัลแวร์

By mk Founder on Tag: Microsoft Edge, Security, Scam, Browser, Microsoft
Microsoft Edge

Microsoft Edge เพิ่มฟีเจอร์ใหม่ชื่อ scareware blocker บล็อคเว็บไซต์ที่ปลอมเป็นหน้าจอระบบคอมพิวเตอร์ขัดข้องหรือติดมัลแวร์ และหลอกล่อให้เราติดต่อซัพพอร์ตเพื่อเริ่มกระบวนการหลอก (scam)

พฤติกรรมของเว็บไซต์กลุ่ม scareware มักแสดงหน้าเว็บในโหมดเต็มจอ เพื่อให้เนียนเหมือนเป็นคำเตือนจากระบบปฏิบัติการจริงๆ และอาจดักการกดปุ่ม Esc เพื่อป้องกันไม่ให้ผู้ใช้กดออกจากโหมดเต็มจอ แถมเว็บไซต์เหล่านี้มักมีอายุเพียงไม่กี่ชั่วโมงเพื่อหลบเลี่ยงการตรวจจับ ทำให้การบล็อคจากลิสต์รายชื่อเว็บอันตรายทำได้ยาก

Read more

นักวิจัยพบ DeepSeek เปิดฐานข้อมูลออกสู่อินเทอร์เน็ต อ่านข้อความได้ทั้งหมด

By lew Founder on Tag: Wiz, Security, DeepSeek
Wiz

Wiz บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงการสำรวจความปลอดภัยของบริษัท DeepSeek พบว่าบริษัทเปิดบริการภายในออกสู่อินเทอร์เน็ตจำนวนมาก รวมถึงฐานข้อมูล ClickHouse ด้วย ทำให้ข้อมูลรั่วไหลจำนวนมาก

เซิร์ฟเวอร์ที่เปิดไว้นี้อยู่ที่ dev.deepseek.com:9000 เป็นฐานข้อมูลสำหรับการเก็บ log ของบริการ โดยตัว log แสดงข้อมูลทั้ง API Endpoints ภายในของ DeepSeek เอง, ประวัติการสนทนา, ข้อมูลอื่นๆ ที่เกี่ยวกับแชต

ทาง Wiz เตือนว่าตอนนี้บริการ AI ต่างๆ เกิดขึ้นอย่างรวดเร็ว และบริษัทเหล่านี้อาจจะขยายบริการโดยไม่ได้มีเฟรมเวิร์ความปลอดภัยที่เพียงพอ การใช้งานจึงควรระมัดระวัง

Read more

นักวิจัยความปลอดภัยรายงานช่องโหว่ชิปบน Mac, iPad, iPhone เข้าถึงข้อมูลได้ผ่านเบราว์เซอร์ - Apple บอกจะออกแพตช์แก้ไข

By arjin Writer on Tag: Apple, Security, Apple Silicon, CPU
Apple

ทีมนักวิจัยด้านความปลอดภัยจาก Georgia Institute of Technology และ Ruhr University Bochum เผยแพร่การค้นพบช่องโหว่ของชิปอุปกรณ์แอปเปิล ที่ผู้โจมตีสามารถสร้างเนื้อหาโดยเฉพาะสำหรับเจาะนำข้อมูลออกมาได้

Read more

MasterCard พิมพ์ชื่อโดเมน Name Server ตกจาก .net เป็น .ne นักวิจัยสร้างเซิร์ฟเวอร์สวมรอยสำเร็จ

By lew Founder on Tag: Mastercard, DNS, Domain Name, Security
Mastercard

Philippe Caturegli หัวหน้าฝ่ายแฮกเกอร์ของบริษัทความปลอดภัยไซเบอร์ Seralys รายงานถึงความผิดพลาดของ MasterCard ที่คอนฟิก name server ผิด จนเปิดทางให้เขาสร้างเซิร์ฟเวอร์สวมรอยได้สำเร็จ เปิดทางให้เขาอาจจะสร้างใบรับรองปลอมและดักฟังการเชื่อมต่อเซิร์ฟเวอร์ได้อย่างสมบูรณ์

Read more

ESET เตือน พีซี 65% ยังใช้ Windows 10 ในปีสุดท้าย เยอะกว่าตอน Windows 7 มาก

By mk Founder on Tag: ESET, Windows 10, Windows 11, Windows 7, Security
ESET

Thorsten Urbanski ผู้เชี่ยวชาญความปลอดภัยจาก ESET ให้สัมภาษณ์กับ Bleeping Computer ถึงประเด็น ปี 2025 เป็นปีแห่งการอัพเกรดพีซีเครื่องใหม่ใช้ Windows 11 ว่าการเปลี่ยนผ่านรอบนี้จะยากกว่าตอนอัพเกรดจาก Windows 7 เป็น Windows 10

Read more

iTerm2 มีบั๊ก เซฟข้อมูลทั้งหมดบนหน้าจอลงเซิร์ฟเวอร์

By lew Founder on Tag: Security
Security

iTerm2 ซอฟต์แวร์เทอร์มินัลยอดนิยมบน macOS รายงานบั๊กที่ตัวซอฟต์แวร์จะเซฟข้อมูลอินพุตและเอาท์พุตทั้งหมดลงไฟล์ /tmp/framer.txt ในเซิร์ฟเวอร์ที่ผู้ใช้ล็อกอิน SSH

บั๊กนี้กระทบเฉพาะผู้ที่ล็อกอิน SSH จาก iTerm2 โดยตรงเท่านั้น ผ่านทาง it2ssh หรือสร้าง profile แบบ SSH ตลอดเวลาเอาไว้ และเครื่องเซิร์ฟเวอร์จะต้องมี Python 3.7 ติดตั้งเอาไว้ ซึ่งน่าจะกระทบคนไม่มากนัก

Read more

Volkswagen Group เผลอปล่อยข้อมูลรถยนต์ลูกค้าขึ้นคลาวด์ มีพิกัดรถยนต์กว่า 560,000 คัน

By mk Founder on Tag: Volkswagen, Privacy, Automobile, Security, Cloud Computing
Volkswagen

อีกดราม่าส่งท้ายปี เมื่อ Chaos Computer Club (CCC) กลุ่มแฮ็กเกอร์สายขาวจากยุโรป พบว่า Cariad บริษัทซอฟต์แวร์ของ Volkswagen Group เผลอปล่อยข้อมูลรถยนต์ของลูกค้ากว่า 800,000 คันบนอินเทอร์เน็ต ซึ่งในจำนวนนี้มี "พิกัดตำแหน่ง" ของรถยนต์จำนวน 460,000 คันอยู่ด้วย

ข้อมูลเหล่านี้มาจากลูกค้า Volkswagen ที่เชื่อมต่อรถยนต์กับแอพ Volkswagen เพื่อควบคุมรถยนต์จากระยะไกล เช่น เช็คข้อมูลแบตเตอรี่ที่เหลือ สั่งให้อุ่นที่นั่งรอก่อนเดินทาง ฯลฯ ซึ่งเป็นสิ่งที่แบรนด์รถยนต์ยุคปัจจุบันทำกันทั่วไปอยู่แล้ว

Read more

เผยเอกสาร ก.การคลังสหรัฐ ถูกแฮ็ก คาดเป็นแฮ็กเกอร์ที่สนับสนุนโดยรัฐบาลจีน

By mk Founder on Tag: USA, Hacking, Security, China, BeyondTrust
USA

เว็บไซต์ TechCrunch เผยแพร่จดหมายของกระทรวงการคลังสหรัฐ (Department of the Treasury) ส่งถึงประธานกรรมาธิการด้านการธนาคารของวุฒิสภาสหรัฐ รายงานว่าพบการแฮ็กระบบภายในของกระทรวง โดยกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน

ตอนนี้ยังมีรายละเอียดของการแฮ็กครั้งนี้เปิดเผยออกมาไม่เยอะนัก บอกแค่ว่าผู้ค้นพบการแฮ็กครั้งนี้คือบริษัทซอฟต์แวร์ด้านการยืนยันตัวตน BeyondTrust แล้วจึงแจ้งเตือนมายังกระทรวงในวันที่ 8 ธันวาคม 2024 แฮ็กเกอร์ได้คีย์ของ Beyond Trust ผ่านมาทางระบบสนับสนุนไอทีของกระทรวง และสามารถเข้าถึงเอกสารจำนวนหนึ่งได้

Read more
Subscribe to Security