lew
Member for :

ช่องโหว่ log4j กระทบถึงแอปเดสก์ทอป, ผู้ให้บริการ WAF อัพเดตไฟร์วอลล์แล้ว, ทีมวิจัยออกวัคซีนแก้ช่องโหว่ให้

By lew Founder on Tag: Log4j, Security, Apache, Java
Log4j

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

Read more

แจ้งเตือน ไลบรารี log4j มีช่องโหว่รันโค้ด หาก log ข้อมูลจากผู้ใช้โดยตรง ควรปิดช่องโหว่ทันที

By lew Founder on Tag: Log4j, Java, Apache, Security
Log4j

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

Read more

Cloudflare ซื้อบริษัท Zaraz ย้ายสารพัดสคริปต์บนเว็บไปรันบน Cloudflare Workers

By lew Founder on Tag: Cloudflare, CDN
Cloudflare

Cloudflare ประกาศเข้าซื้อสตาร์ตอัพ Zaraz ผู้ให้บริการย้ายสคริปต์ภายนอก (third-party) เช่น Google Analytics, Facebook Pixel หรือสคริปต์โฆษณาต่างๆ ให้ไปรันบน Cloudflare Workers แทนที่จะรันในเบราว์เซอร์

สคริปต์ภายนอกส่วนมากให้บริการวัดสถิติรูปแบบต่างๆ รวมถึงการแสดงโฆษณา แต่ปัญหาของสคริปต์เหล่านี้คือมันกลายเป็นจุดที่ช้าที่สุดของหน้าเว็บ และกลายเป็นความเสี่ยงในกรณีที่สคริปต์เหล่านี้ถูกแฮกเพื่อวางโค้ดโจมตี โดยเฉพาะในทุกวันนี้ที่มีสคริปต์รูปแบบคล้ายๆ กันนับสิบบริการรันในแต่ละเว็บ

Read more

DeepMind เปิดตัวปัญญาประดิษฐ์ Gopher ใหญ่กว่า GPT-3 ถึง 60% ถามตอบใกล้เคียงมนุษย์, แต่มั่นใจเกินตัว

By lew Founder on Tag: DeepMind, Artificial Intelligence
DeepMind

DeepMind เปิดตัวปัญญาประดิษฐ์สถาปัตยกรรมใหม่สำหรับการทำความเข้าใจภาษามนุษย์ โดยทดสอบสถาปัตยกรรมนี้หลายขนาด ตั้งแต่ 44 ล้านพารามิเตอร์ไปจนถึง 280,000 ล้านพารามิเตอร์ โดยตั้งชื่อโมเดลใหญ่ที่สุดนี้ว่า Gopher ซึ่งใหญ่กว่าโมเดล GPT-3 ของ OpenAI ถึง 60%

Gopher ทำคะแนนทดสอบความเข้าใจภาษา (Massive Multitask Language Understanding - MMLU) ได้เหนือกว่า GPT-3 แทบทุดหมวด บางหมวดเช่นมนุษยศาสตร์นั้นเริ่มเข้าใกล้คนจริงๆ (คะแนนสูงกว่า 70 คะแนนเทียบกับมนุษย์ที่ได้ประมาณ 90 คะแนน)

Read more

กูเกิลรายงานคำค้นยอดนิยม ของไทยมีหมวดเงินคริปโตให้เฉพาะ, Popcat/Squid Game ติดอันดับโลก

By lew Founder on Tag: Google, Thailand, Google Search, Search Engine
Google

วันนี้กูเกิลรายงานคำค้นยอดนิยมประจำปี โดยบอก 5 อันดับคำค้น ที่เหลือเป็นอันดับแยกตามหมวดหมู่โดยไม่ได้ระบุเงื่อนไขของการเลือกแต่ละหมวดหมู่มาแสดง

สำหรับประเทศไทยนั้น คำค้น 10 อันดับแรกเป็นโครงการช่วยเหลือของรัฐถึง 3 อันดับ คือ เราชนะ, คนละครึ่ง, และ ม.33 เรารักกัน และอีก 3 รายการเป็นคำค้นเกี่ยวกับโควิด สำหรับการแยกตามหมวดหมู่ กูเกิลประเทศไทยเลือกแสดง หมวดหมู่ ข่าว, สถานที่ท่องเที่ยว, ร้านอาหาร, บุคคล, การบริจาค, วิธี (how to), บริจาค, ต้นไม้, และเงินคริปโต

Read more

ในที่สุดก็มีวันนี้ ไมโครซอฟท์ออกแบบ Notepad ใหม่ มี Dark Mode แล้ว

By lew Founder on Tag: Notepad, Windows 11, Microsoft
Notepad

ไมโครซอฟท์ประกาศปล่อย Notepad เวอร์ชั่นออกแบบใหม่สำหรับ Windows 11 Insiders (Dev Channel) แม้หน้าตาโดยรวมจะคล้ายเดิมแต่ก็ปรับ UI ให้เข้ากับ Windows 11 เต็มตัว

จุดสำคัญที่สุดคือโหมดหน้าจอมืด (dark mode) ที่ปรับตามการตั้งค่าของวินโดวส์โดยรวม หรือจะปรับแยกในการตั้งค่าของแอปเองก็ได้เช่นกัน ฟีเจอร์อื่นๆ เช่น ระบบการค้นหาและแทนค่า (find and replace) แบบใหม่, รองรับการสั่ง undo ได้หลายชั้น

เวอร์ชั่นที่ปล่อยออกมายังมีบั๊กที่ทีมงานรู้อยู่แล้วบางส่วน เช่น ปัญหาระหว่างสลับภาษา, การ shift-click และยังมีประเด็นประสิทธิภาพโปรแกรมเมื่อเปิดไฟล์ใหญ่มากๆ

Read more

แจ้งเตือน รายงานช่องโหว่ Grafana ออกสู่สาธารณะ แฮกเกอร์อ่านไฟล์ในเครื่องได้

By lew Founder on Tag: Grafana, Security
Grafana

ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน

ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน

Read more

AWS คอนโซลมีปัญหาทั่วโลก เริ่มจากโซน US-EAST-1 มีปัญหา

By lew Founder on Tag: AWS, Service Outage
AWS

ระบบคอนโซลของ AWS มีปัญหาทั่วโลกเนื่องจากโซน US-EAST-1 มีปัญหาทำให้ลูกค้าไม่สามารถเข้าใช้งานได้ตั้งแต่ช่วง 5 ทุ่มที่ผ่านมา ทาง AWS ระบุว่าพบสาเหตุแล้วและกำลังแก้ไข

ปัญหาสำคัญคือคอนโซลหลักบนโดเมน console.aws.amazon.com นั้นโฮสต์อยู่ที่ US-EAST-1 ทำให้ลูกค้าส่วนมากเข้าไม่ได้ แต่หากเข้าตรงผ่านโดเมนของโซนเช่น us-west-2.console.aws.amazon.com ก็ยังเข้าได้อยู่

แม้ปัญหาจะเริ่มจากคอนโซลอย่างเดียวแต่ AWS ก็รายงานว่าบริการ EC2 ในโซน US-EAST-1 มีปัญหาด้วยเช่นกัน ตอนนี้ยังไม่มีรายละเอียดว่าปัญหาเกิดจากอะไร

Read more

Django ออกเวอร์ชั่น 4.0 ใช้กับ Python 3.8 ขึ้นไป รองรับแคชด้วย Redis ในตัว

By lew Founder on Tag: Django, Python, Programming
Django

Django เว็บเฟรมเวิร์คยอดนิยมภาษา Python ประกาศออกเวอร์ชั่น 4.0 แม้ฟีเจอร์หลักๆ จะเปลี่ยนแปลงไม่มากนัก แต่การออกเวอร์ชั่นใหม่ก็ทำให้ตัดฟีเจอร์เก่าๆ ไปหลายตัวตามหลัก Semantic Versioning

ส่วนใหม่ๆ ใน Django 4.0 เช่น

Read more

FBI จับกุมอดีตหัวหน้าทีมคลาวด์ Ubiquiti ฐานขโมยข้อมูลลูกค้าแล้วเรียกค่าไถ่บริษัท

By lew Founder on Tag: FBI, Ubiquiti, Data Breach
FBI

FBI แถลงจับกุม Nickolas Sharp อดีตหัวหน้าทีมคลาวด์ (cloud lead) ของบริษัท Ubiquiti ที่ทำงานกับบริษัทตั้งแต่ปี 2018 ถึงเดือนมีนาคมที่ผ่านมา โดย FBI ระบุว่า Sharp ขโมยข้อมูลออกจากบริษัทไปเมื่อเดือนธันวาคม 2020 และใช้ข้อมูลเรียกค่าไถ่จากบริษัทเอง

แถลงข่าวจับกุมไม่ได้ระบุชื่อบริษัทโดยตรง แต่เรียกเพียงว่า Company-1 ที่เป็นบริษัทเทคโนโลยีในนิวยอร์ค แต่ก็ตรงกับ Ubiquiti และประวัติของ Sharp เองก็ทำงานกับ Ubiquiti ในช่วงนั้น โดยเมื่อเดือนมกราคมทาง Ubiquiti แจ้งเตือนลูกค้าว่าเซิร์ฟเวอร์พอร์ทัลถูกแฮก

Read more

กูเกิลบริจาค Knative เข้า CNCF คาดอยู่ในระดับ Incubating

By lew Founder on Tag: Knative, Google, Open Source, Kubernetes, CNCF, Serverless
Knative

กูเกิลประกาศบริจาค Knative เข้า Cloud Native Computing Foundation (CNCF) หลังจากเปิดโครงการมาตั้งแต่ปี 2018 และแม้จะเป็นโครงการโอเพนซอร์สมาตลอดแต่ก็ควบคุมโครงการโดยกูเกิลเองเป็นหลัก

Knative เป็นชุดซอฟต์แวร์สำหรับสร้างบริการแบบ serverless บน Kubernetes ที่ตอนนี้ได้รับความนิยมสูงสุดในชุมชน Kubernetes (รองลงไป คือ OpenFaaS, Kubeless, Virtual Kubelet, KEDA, Apache OpenWhisk)

Read more

AWS SDK รองรับภาษา Kotlin, Rust, Swift เพิ่มเติม

By lew Founder on Tag: AWS, Development, Kotlin, Rust, Swift, Programming
AWS

AWS เพิ่มภาษาที่รองรับใน AWS SDK อีก 3 ภาษา ได้แก่ Kotlin, Rust, และ Swift โดยทั้งสามภาษายังอยู่ในช่วง Developer Preview

ภาษา Kotlin นั้นมักใช้งานในแอนดรอยด์เป็นหลัก รองรับบริการ 284 ตัว รองรับฟีเจอร์ของ Kotlin เองเช่น coroutine และรันแบบ concurrent ได้

ภาษา Rust นั้นก่อนหน้านี้มีโครงการ Rusoto ทดแทน AWS SDK ทางการที่สร้างโดยนักพัฒนาภายนอกอยู่ก่อนแล้ว แต่ทาง AWS ก็เลือกพัฒนาใหม่เป็น SDK มาตรฐาน ตอนนี้เวอร์ชั่นพรีวิวรองรับบริการ 288 ตัว หากใช้งานใน AWS เช่น EC2, ECS, หรือ Lambda จะคอนฟิกอัตโนมัติ และใช้ฟีเจอร์ของภาษา Rust เต็มที่

Read more

Supabase เปิดโครงการ pg_graphql ทำให้ PostgreSQL รองรับ GraphQL ในตัว ใช้แรมน้อย

By lew Founder on Tag: GraphQL, Supabase, Database, PostgreSQL
GraphQL

Supabase เปิดตัวโครงการ pg_graphql ส่วนขยายสำหรับ PostgreSQL แบบโอเพนซอร์ส เพื่อรองรับการคิวรีแบบ GraphQL ได้โดยตรง ใช้แรมน้อยกว่าเทคโนโลยี

ซอฟต์แวร์สำหรับให้บริการ GraphQL บนฐานข้อมูลแบบ SQL นั้นมีอยู่หลายตัว หากนับเฉพาะที่รองรับ PostgreSQL และเป็นโครงการโอเพนซอร์สก็มี Graphile และ Hasura ได้รับความนิยมอย่างสูงอยู่แล้ว แต่ทาง Supabase ระบุว่าโครงการเหล่านี้อาศัยส่วนประกอบมากเกินไป ทำให้ใช้หน่วยความจำสูง จึงต้องสร้างโซลูชั่นแบบเบาขึ้นมาทดแทน

Read more

Didi ประกาศถอนตัวออกจากตลาดหุ้นสหรัฐฯ เตรียมเข้าตลาดหุ้นฮ่องกง

By lew Founder on Tag: Didi Chuxing, China, Stock Exchange
Didi Chuxing

Didi ประกาศเริ่มกระบวนถอนหุ้นออกจากตลาดหลักทรัพย์นิวยอร์ค และเตรียมนำบริษัทเข้าซื้อขายในตลาดหุ้นฮ่องกงแทน โดยตอนนี้กรรมการบริษัทได้อนุมัติแนวทางนี้แล้ว

ก่อนหน้านี้ Bloomberg อ้างแหล่งข่าวไม่เปิดเผยตัวระบุว่าทางการจีนเป็นผู้สั่งให้ Didi ถอนหุ้นออกจากตลาดสหรัฐฯ หลังจากเพิ่งเข้าซื้อขายในตลาดหุ้นนิวยอร์คเมื่อกลางปีที่ผ่านมา

ที่มา - CNN

Read more

AWS เปิดบริการซัพพอร์ต FreeRTOS ต่อจากช่วง LTS เพิ่มอีก 10 ปี

By lew Founder on Tag: AWS, Internet of Things
AWS

AWS เปิดบริการ FreeRTOS Extended Maintenance Plan (EMP) บริการแพตช์ความปลอดภัยให้กับ FreeRTOS รุ่น LTS ต่อเนื่องหลังหมดอายุซัพพอร์ตไปอีก 10 ปี

ปกติแล้ว FreeRTOS รุ่น LTS มีอายุซัพพอร์ตเพียง 2 ปีเท่านั้น แต่อายุการใช้งานอุปกรณ์ IoT มักยาวนานนับสิบปี และผู้พัฒนาหลายรายก็ไม่พร้อมพอร์ตแอปพลิเคชั่นข้ามเวอร์ชั่นบ่อยๆ รวมถึงตัว API ของระบบปฎิบัติการก็อาจจะมีความเปลี่ยนแปลง

รุ่น LTS ที่มีการใช้งานอยู่ตอนนี้เช่น FreeRTOS 202012.01 LTS จะหมดอายุซัพพอร์ตปี 2023 หากซื้อบริการ EMP ก็จะใช้งานได้ถึงปี 2033 เลยทีเดียว

Read more

BadgerDAO ถูกแฮก คนฝากเงินโดดดูดออกจาก DeFi เกือบ 4,000 ล้านบาท

By lew Founder on Tag: Cryptocurrency, Security
Cryptocurrency

BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท

ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์

Read more

Project Zero รายงานช่องโหว่ในไลบรารีเข้ารหัสของ Mozilla พบช่องโหว่ง่ายๆ แต่กลับรอดการตรวจสอบมาหลายปี

By lew Founder on Tag: Mozilla, Google, Project Zero
Mozilla

Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ CVE-2021-43527 ในไลบรารี NSS (Network Security Services) สำหรับการเข้ารหัสและตรวจสอบลายเซ็นดิจิทัล ที่ใช้งานในซอฟต์แวร์จำนวนมากโดยเฉพาะ Firefox และ Thunderbird โดยพบช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถสร้างใบรับรองที่มุ่งร้ายจนรันโค้ดในเครื่องของเหยื่อได้เพียงแค่เปิดอ่านใบรับรอง

ช่องโหว่นี้เกิดจาก struct ที่ชื่อว่า VFYContext ที่เป็นโครงสร้างข้อมูลสำหรับการตรวจสอบใบรับรอง แต่กลับประกาศขนาดของลายเซ็นดิจิทัลไว้จำกัด ทำให้แฮกเกอร์สามารถสร้างใบรับรองที่มีลายเซ็นขนาดใหญ่มากจนล้นหน่วยความจำที่จองไว้ กลายเป็นการโจมตี heap overflow

Read more

Supabase ซอฟต์แวร์เลียนแบบ Firebase แบบโอเพนซอร์ส เปิดโครงการ Supabase Studio หน้าจอจัดการฐานข้อมูล

By lew Founder on Tag: Open Source, Database
Open Source

Supabase บริการระบบหลังบ้านแอปพลิเคชั่นที่เลียนแบบมาจาก Firebase แต่พัฒนาแบบโอเพนซอร์สประกาศโครงการ Supabase Studio หน้าจอ UI ที่เคยให้บริการเฉพาะบริการคลาวด์ของ Supabase เอง

ฟังก์ชั่นของ Supabase Studio ใช้สำหรับจัดการฐานข้อมูลใน Supabase เอง เช่นการจัดการตาราง, กำหนดนโยบาย, คิวรีข้อมูลออกมาดู

Read more

AWS เปิดบริการ AWS Private 5G เครือข่ายส่วนตัว จ่ายตามแบนด์วิทด์ที่ใช้งาน

By lew Founder on Tag: AWS, 5G
AWS

AWS เปิดบริการ AWS Private 5G เปิดให้ลูกค้าสั่งเสาสัญญาณโทรศัพท์ไปติดตั้งในพื้นที่ที่ต้องการ พร้อมกับเซิร์ฟเวอร์ และซิมการ์ด โดยมีจุดเด่นคือไม่มีค่าแรกเข้าหรือค่าบริการตามจำนวนอุปกรณ์ แต่คิดค่าบริการตามแบนด์วิดท์เน็ตเวิร์คที่ขอไว้ และพื้นที่ที่ต้องการใช้งาน

การใช้งานสามารถเครือข่าย 5G ส่วนตัว สามารถใช้งานในงานที่ต้องการความน่าเชื่อถือสูง เช่น ระบบควบคุมการเข้าออกพื้นที่ (access control), กล้องวงจรปิด, ระบบควบคุมเครื่องจักร, หรืออุปกรณ์ IoT อื่นๆ

Read more

AWS เปิดตัวชิป Graviton3 ใช้แรม DDR5 ประสิทธิภาพดีขึ้น 25%, ตรวจสอบการเขียนแรมแปลกปลอม

By lew Founder on Tag: AWS, CPU, Graviton, Arm
AWS

AWS เปิดตัวซีพียู Graviton3 ซีพียูที่ AWS ออกแบบเพื่อใช้งานในคลาวด์ของตัวเอง ระบุว่าประสิทธิภาพสูงขึ้น 25% แต่เฉพาะการประมวลผลเลขทศนิยมและการเข้ารหัสจะมีประสิทธิภาพดีขึ้นมาก สูงสุดถึงเท่าตัว นอกจากนี้ยังมีฟีเจอร์เพิ่มเติม เช่น

Read more