Search | Thaitimes

ลุงบ้าคอม
2025-12-18 17:25:01 -

รวมข่าวจากเวบ SecurityOnline

#รวมข่าวIT #20251218 #securityonline

Mozilla เปิดยุคใหม่: Firefox เตรียมกลายเป็นเบราว์เซอร์พลัง AI
Mozilla ประกาศแผนการใหญ่ภายใต้การนำของ CEO คนใหม่ Anthony Enzor-DeMeo ที่จะเปลี่ยน Firefox จากเบราว์เซอร์แบบดั้งเดิมให้กลายเป็นแพลตฟอร์มที่ขับเคลื่อนด้วย AI จุดมุ่งหมายคือการทำให้ Firefox ไม่ใช่แค่เครื่องมือท่องเว็บ แต่เป็นผู้ช่วยอัจฉริยะที่เข้าใจผู้ใช้และสามารถปรับแต่งประสบการณ์ออนไลน์ได้อย่างลึกซึ้ง การเปลี่ยนแปลงนี้สะท้อนถึงความพยายามของ Mozilla ที่จะกลับมาแข่งขันในตลาดเบราว์เซอร์ที่ถูกครอบงำโดย Chrome และ Edge
https://securityonline.info/mozillas-new-chapter-ceo-anthony-enzor-demeo-to-transform-firefox-into-an-ai-powered-powerhouse

Let’s Encrypt ปรับระบบ TLS ใหม่: ใบรับรองสั้นลงเหลือ 45 วัน
Let’s Encrypt ประกาศการเปลี่ยนแปลงครั้งใหญ่ในระบบการออกใบรับรอง TLS โดยลดอายุการใช้งานจาก 90 วันเหลือเพียง 45 วัน พร้อมเปิดตัวโครงสร้างใหม่ที่เรียกว่า Generation Y Hierarchy และการรองรับ TLS แบบใช้ IP โดยตรง การเปลี่ยนแปลงนี้มีเป้าหมายเพื่อเพิ่มความปลอดภัย ลดความเสี่ยงจากใบรับรองที่ถูกขโมยหรือไม่ได้อัปเดต และทำให้ระบบอินเทอร์เน็ตมีความยืดหยุ่นมากขึ้น แม้จะเพิ่มภาระให้ผู้ดูแลระบบ แต่ก็ถือเป็นก้าวสำคัญในการยกระดับมาตรฐานความปลอดภัยของเว็บทั่วโลก
https://securityonline.info/the-45-day-era-begins-lets-encrypt-unveils-generation-y-hierarchy-and-ip-based-tls

ช่องโหว่ร้ายแรงใน Apache Commons Text เสี่ยงถูกยึดเซิร์ฟเวอร์
เรื่องนี้เป็นการค้นพบช่องโหว่ใหม่ในไลบรารี Java ที่ชื่อ Apache Commons Text ซึ่งถูกใช้อย่างแพร่หลายในการจัดการข้อความ ช่องโหว่นี้ถูกระบุว่า CVE-2025-46295 และมีคะแนนความรุนแรงสูงถึง 9.8 เต็ม 10 จุดอันตรายอยู่ที่ฟังก์ชัน string interpolation ที่เปิดช่องให้ผู้โจมตีสามารถส่งข้อมูลที่ไม่ปลอดภัยเข้ามาและทำให้เกิดการรันคำสั่งจากระยะไกลได้ ลักษณะนี้คล้ายกับเหตุการณ์ Log4Shell ที่เคยสร้างความเสียหายใหญ่ในอดีต ทีมพัฒนา FileMaker Server ได้รีบแก้ไขโดยอัปเดตเป็นเวอร์ชันใหม่ที่ปลอดภัยแล้ว และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันทีเพื่อปิดช่องโหว่
https://securityonline.info/cve-2025-46295-cvss-9-8-critical-apache-commons-text-flaw-risks-total-server-takeover

หลอกด้วยใบสั่งจราจรปลอม: แอป RTO Challan ดูดข้อมูลและเงิน
ในอินเดียมีการโจมตีใหม่ที่ใช้ความกลัวการโดนใบสั่งจราจรมาเป็นเครื่องมือ หลอกให้ผู้ใช้ดาวน์โหลดแอป “RTO Challan” ผ่าน WhatsApp โดยอ้างว่าเป็นแอปทางการเพื่อดูหลักฐานการกระทำผิด แต่แท้จริงแล้วเป็นมัลแวร์ที่ซ่อนตัวและสร้าง VPN ปลอมเพื่อส่งข้อมูลออกไปโดยไม่ถูกตรวจจับ มันสามารถขโมยข้อมูลส่วนตัว ตั้งแต่บัตร Aadhaar, PAN ไปจนถึงข้อมูลธนาคาร และยังหลอกให้ผู้ใช้กรอกข้อมูลบัตรเครดิตพร้อมรหัส PIN เพื่อทำธุรกรรมปลอมแบบเรียลไทม์ ถือเป็นการโจมตีที่ผสมผสานทั้งวิศวกรรมสังคมและเทคนิคขั้นสูง ผู้ใช้ถูกเตือนให้ระวังข้อความจากเบอร์แปลกและไม่ดาวน์โหลดแอปจากลิงก์ที่ไม่น่าเชื่อถือ
https://securityonline.info/rto-challan-scam-how-a-fake-traffic-ticket-and-a-malicious-vpn-can-drain-your-bank-account

Node.js systeminformation พบช่องโหว่เสี่ยง RCE บน Windows
ไลบรารีชื่อดัง systeminformation ที่ถูกดาวน์โหลดกว่า 16 ล้านครั้งต่อเดือน ถูกพบช่องโหว่ร้ายแรง CVE-2025-68154 โดยเฉพาะบน Windows ฟังก์ชัน fsSize() ที่ใช้ตรวจสอบขนาดดิสก์ไม่ได้กรองข้อมูลอินพุต ทำให้ผู้โจมตีสามารถใส่คำสั่ง PowerShell แทนตัวอักษรไดรฟ์ และรันคำสั่งอันตรายได้ทันที ผลกระทบคือการเข้าควบคุมระบบ อ่านข้อมูลลับ หรือแม้กระทั่งปล่อย ransomware นักพัฒนาถูกแนะนำให้อัปเดตเป็นเวอร์ชัน 5.27.14 ที่แก้ไขแล้วโดยด่วน
https://securityonline.info/node-js-alert-systeminformation-flaw-risks-windows-rce-for-16m-monthly-users

OpenAI เจรจา Amazon ขอทุนเพิ่ม 10 พันล้าน พร้อมเงื่อนไขใช้ชิป AI ของ Amazon
มีรายงานว่า OpenAI กำลังเจรจากับ Amazon เพื่อระดมทุนมหาศาลถึง 10 พันล้านดอลลาร์ โดยมีเงื่อนไขสำคัญคือ OpenAI ต้องใช้ชิป AI ของ Amazon เช่น Trainium และ Inferentia แทนการพึ่งพา NVIDIA ที่ราคาแพงและขาดตลาด หากดีลนี้เกิดขึ้นจริงจะเป็นการพลิกเกมครั้งใหญ่ เพราะจะทำให้ Amazon ได้การยืนยันคุณภาพชิปจากผู้เล่นรายใหญ่ที่สุดในวงการ AI และยังช่วยให้ OpenAI ลดต้นทุนการประมวลผล ขณะเดียวกันก็สร้างสมดุลระหว่าง Microsoft และ Amazon ในการเป็นพันธมิตรด้านคลาวด์
https://securityonline.info/the-10b-pivot-openai-in-talks-for-massive-amazon-funding-but-theres-a-silicon-catch

Cloudflare เผยรายงานปี 2025: สงครามบอท AI และการจราจรอินเทอร์เน็ตพุ่ง 19%
รายงานประจำปีของ Cloudflare ชี้ให้เห็นว่าปี 2025 อินเทอร์เน็ตกำลังเปลี่ยนแปลงครั้งใหญ่ ปริมาณการใช้งานเพิ่มขึ้น 19% และเกิด “สงครามบอท AI” ที่แข่งขันกันเก็บข้อมูลออนไลน์ โดย Google ครองอันดับหนึ่งด้านการเก็บข้อมูลผ่าน crawler เพื่อใช้ฝึกโมเดล AI อย่าง Gemini ขณะเดียวกันองค์กรไม่แสวงหากำไรกลับกลายเป็นเป้าหมายโจมตีไซเบอร์มากที่สุด เนื่องจากมีข้อมูลอ่อนไหวแต่ขาดทรัพยากรป้องกัน รายงานยังระบุว่ามีการโจมตี DDoS ครั้งใหญ่กว่า 25 ครั้งในปีเดียว และครึ่งหนึ่งของการหยุดชะงักอินเทอร์เน็ตทั่วโลกเกิดจากการกระทำของรัฐบาล การเปลี่ยนแปลงนี้สะท้อนทั้งความก้าวหน้าและความเปราะบางของโลกออนไลน์
https://securityonline.info/the-internet-rewired-cloudflare-2025-review-unveils-the-ai-bot-war-and-a-19-traffic-surge

Locked Out of the Cloud: เมื่อแฮกเกอร์ใช้ AWS Termination Protection ปล้นพลังประมวลผลไปขุดคริปโต
เรื่องนี้เป็นการโจมตีที่ซับซ้อนมากในโลกคลาวด์ แฮกเกอร์เจาะเข้ามาในระบบ AWS โดยใช้บัญชีที่ถูกขโมย แล้วรีบ deploy เครื่องขุดคริปโตภายในเวลาไม่ถึง 10 นาที จุดที่น่ากลัวคือพวกเขาใช้ฟีเจอร์ DryRun เพื่อตรวจสอบสิทธิ์โดยไม่ทิ้งร่องรอย และเมื่อเครื่องขุดถูกสร้างขึ้น พวกเขาเปิดการป้องกันการลบ (termination protection) ทำให้เจ้าของระบบไม่สามารถลบเครื่องได้ทันที ต้องปิดการป้องกันก่อนถึงจะจัดการได้ นั่นทำให้แฮกเกอร์มีเวลาขุดคริปโตเพิ่มขึ้น นอกจากนี้ยังมีการสร้าง backdoor ผ่าน AWS Lambda และเตรียมใช้ Amazon SES เพื่อส่งอีเมลฟิชชิ่งต่อไป เหตุการณ์นี้ไม่ใช่การเจาะ AWS โดยตรง แต่เป็นการใช้ credential ที่ถูกขโมยไปอย่างชาญฉลาด
https://securityonline.info/locked-out-of-the-cloud-hackers-use-aws-termination-protection-to-hijack-ecs-for-unstoppable-crypto-mining

Blurred Deception: กลยุทธ์ฟิชชิ่งของกลุ่ม APT
รัสเซียที่ใช้ “เอกสารเบลอ” กลุ่ม APT จากรัสเซียส่งอีเมลปลอมในชื่อคำสั่งจากประธานาธิบดี Transnistria โดยแนบไฟล์ที่ดูเหมือนเอกสารทางการ แต่เนื้อหาถูกทำให้เบลอด้วย CSS filter ผู้รับจึงต้องใส่อีเมลและรหัสผ่านเพื่อ “ปลดล็อก” เอกสาร ซึ่งจริง ๆ แล้วเป็นการหลอกขโมยข้อมูลเข้าสู่ระบบ ฟังก์ชัน JavaScript ที่ใช้ยังมีลูกเล่นคือไม่ว่ารหัสผ่านจะถูกหรือผิดก็ถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์อยู่ดี แคมเปญนี้ไม่ได้หยุดแค่ Transnistria แต่ยังขยายไปยังประเทศในยุโรปตะวันออกและหน่วยงาน NATO ด้วย ถือเป็นการโจมตีที่ใช้ความเร่งด่วนและความอยากรู้อยากเห็นของเหยื่อเป็นตัวล่อ
https://securityonline.info/blurred-deception-russian-apt-targets-transnistria-and-nato-with-high-pressure-phishing-lures

“Better Auth” Framework Alert: ช่องโหว่ Double-Slash ที่ทำให้ระบบป้องกันพัง
มีการค้นพบช่องโหว่ร้ายแรงใน Better Auth ซึ่งเป็น framework ยอดนิยมสำหรับ TypeScript ที่ใช้กันกว้างขวาง ปัญหาคือ router ภายในชื่อ rou3 มอง URL ที่มีหลาย slash เช่น //sign-in/email ว่าเหมือนกับ /sign-in/email แต่ระบบป้องกันบางอย่างไม่ได้ normalize URL แบบเดียวกัน ทำให้แฮกเกอร์สามารถเข้าถึง path ที่ถูกปิดไว้ หรือเลี่ยง rate limit ได้ง่าย ๆ ช่องโหว่นี้มีคะแนน CVSS สูงถึง 8.6 และกระทบผู้ใช้จำนวนมาก การแก้ไขคืออัปเดตเวอร์ชันใหม่ หรือปรับ proxy ให้ normalize URL ก่อนถึงระบบ หากไม่ทำก็เสี่ยงที่ระบบจะถูกเจาะผ่านช่องโหว่เล็ก ๆ แต่ร้ายแรงนี้
https://securityonline.info/better-auth-framework-alert-the-double-slash-trick-that-bypasses-security-controls

Ink Dragon’s Global Mesh: เมื่อเซิร์ฟเวอร์รัฐบาลถูกเปลี่ยนเป็นโหนดสอดแนม
กลุ่มสอดแนมไซเบอร์จากจีนที่ชื่อ Ink Dragon ใช้เทคนิคใหม่ในการสร้างเครือข่ายสั่งการ โดยเปลี่ยนเซิร์ฟเวอร์รัฐบาลที่ถูกเจาะให้กลายเป็นโหนด relay ส่งต่อคำสั่งและข้อมูลไปยังเป้าหมายอื่น ๆ ผ่านโมดูล ShadowPad IIS Listener ทำให้การติดตามแทบเป็นไปไม่ได้ เพราะคำสั่งอาจวิ่งผ่านหลายองค์กรก่อนถึงเป้าหมายจริง พวกเขายังใช้ช่องโหว่ IIS ที่รู้จักกันมานานและ misconfiguration ของ ASP.NET เพื่อเข้ามา จากนั้นติดตั้ง malware รุ่นใหม่ที่ซ่อนการสื่อสารผ่าน Microsoft Graph API การขยายเป้าหมายไปยังยุโรปทำให้ภัยนี้ไม่ใช่แค่ระดับภูมิภาค แต่เป็นโครงสร้างสอดแนมข้ามชาติที่ใช้โครงสร้างของเหยื่อเองเป็นเครื่องมือ
https://securityonline.info/ink-dragons-global-mesh-how-chinese-spies-turn-compromised-government-servers-into-c2-relay-nodes

Academic Ambush: เมื่อกลุ่ม APT ปลอมรายงาน “Plagiarism” เพื่อเจาะระบบนักวิชาการ
นี่คือแคมเปญที่ใช้ความกังวลของนักวิชาการเป็นตัวล่อ แฮกเกอร์ส่งอีเมลปลอมในชื่อ “Forum Troll APT” โดยอ้างว่าผลงานของเหยื่อถูกตรวจพบการลอกเลียนแบบ พร้อมแนบไฟล์ Word ที่ดูเหมือนรายงานตรวจสอบ แต่จริง ๆ แล้วเป็นเอกสารที่ฝังโค้ดอันตราย เมื่อเหยื่อเปิดไฟล์ โค้ดจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์เข้ามาในเครื่องทันที การโจมตีนี้เล่นกับความกลัวเรื่องชื่อเสียงและความน่าเชื่อถือในวงวิชาการ ทำให้ผู้รับมีแนวโน้มเปิดไฟล์โดยไม่ระวัง ถือเป็นการใช้ “แรงกดดันทางสังคม” เป็นอาวุธไซเบอร์
https://securityonline.info/academic-ambush-how-the-forum-troll-apt-hijacks-scholars-systems-via-fake-plagiarism-reports

GitHub ยอมถอย หลังนักพัฒนารวมพลังต้านค่าธรรมเนียม Self-Hosted Runner
เรื่องนี้เริ่มจาก GitHub ประกาศว่าจะเก็บค่าธรรมเนียมเพิ่มเติมสำหรับการใช้งาน self-hosted runner ใน GitHub Actions ตั้งแต่มีนาคม 2026 โดยคิดนาทีละ 0.002 ดอลลาร์ แม้ผู้ใช้จะลงทุนเครื่องเองแล้วก็ตาม ข่าวนี้ทำให้ชุมชนนักพัฒนาลุกฮือทันที เสียงวิจารณ์ดังไปทั่วว่าเป็นการตัดสินใจที่ไม่ฟังเสียงผู้ใช้ สุดท้าย GitHub ต้องออกมาประกาศเลื่อนการเก็บค่าธรรมเนียมออกไป พร้อมลดราคาสำหรับ runner ที่ GitHub โฮสต์เองลงถึง 39% ตั้งแต่ต้นปี 2026 และย้ำว่าจะกลับไปฟังเสียงนักพัฒนาให้มากขึ้นก่อนปรับแผนใหม่ เรื่องนี้สะท้อนว่าพลังของชุมชนสามารถกดดันให้แพลตฟอร์มยักษ์ใหญ่ต้องทบทวนการตัดสินใจได้
https://securityonline.info/the-developer-win-github-postpones-self-hosted-runner-fee-after-massive-community-outcry

ช่องโหว่ร้ายแรง HPE OneView เปิดทางให้ยึดศูนย์ข้อมูลได้ทันที
Hewlett Packard Enterprise (HPE) แจ้งเตือนช่องโหว่ CVE-2025-37164 ที่มีคะแนนความรุนแรงสูงสุด 10.0 ในซอฟต์แวร์ OneView ซึ่งเป็นหัวใจในการจัดการเซิร์ฟเวอร์และระบบเครือข่าย ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่ไม่ต้องล็อกอินสามารถสั่งรันโค้ดจากระยะไกลได้ทันที เท่ากับว่าสามารถยึดศูนย์ข้อมูลทั้งระบบได้เลย HPE รีบออกแพตช์ v11.00 และแนะนำให้ผู้ใช้รีบอัปเดตโดยด่วน สำหรับผู้ที่ยังใช้เวอร์ชันเก่า มี hotfix ให้ แต่ต้องระวังว่าหลังอัปเกรดบางเวอร์ชันต้องติดตั้งซ้ำอีกครั้ง ไม่เช่นนั้นจะยังเสี่ยงอยู่
https://securityonline.info/cve-2025-37164-cvss-10-0-unauthenticated-hpe-oneview-rce-grants-total-control-over-data-centers

CISA เตือนด่วน แฮ็กเกอร์จีนใช้ช่องโหว่ Cisco และ SonicWall โจมตีจริงแล้ว
หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเพิ่มช่องโหว่ร้ายแรงเข้ารายการ KEV หลังพบว่ากลุ่มแฮ็กเกอร์จีน UAT-9686 กำลังใช้ช่องโหว่ Cisco Secure Email Gateway ที่มีคะแนน 10 เต็มในการเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน พร้อมติดตั้งมัลแวร์ AquaShell และ AquaPurge เพื่อซ่อนร่องรอย นอกจากนี้ยังพบการโจมตี SonicWall SMA1000 โดยใช้ช่องโหว่เดิมร่วมกับช่องโหว่ใหม่เพื่อยึดระบบได้ทั้งหมด และยังมีการนำช่องโหว่เก่าใน ASUS Live Update ที่หมดการสนับสนุนแล้วกลับมาใช้โจมตีในลักษณะ supply chain อีกด้วย ทำให้หน่วยงานรัฐต้องเร่งแพตช์ก่อนเส้นตาย 24 ธันวาคม 2025 https://securityonline.info/cisa-alert-chinese-hackers-weaponize-cvss-10-cisco-zero-day-sonicwall-exploit-chains

แฮ็กเกอร์จีน UAT-9686 ใช้มัลแวร์ Aqua เจาะ Cisco Secure Email
Cisco Talos เปิดเผยว่ากลุ่ม UAT-9686 กำลังใช้ช่องโหว่ CVE-2025-20393 ใน Cisco Secure Email Gateway และ Web Manager เพื่อเข้าถึงระบบในระดับ root โดยอาศัยการเปิดใช้งานฟีเจอร์ Spam Quarantine ที่เชื่อมต่ออินเทอร์เน็ต ซึ่งหากเปิดไว้จะกลายเป็นช่องทางให้โจมตีได้ทันที เมื่อเข้ามาแล้วพวกเขาติดตั้งมัลแวร์ชุด “Aqua” ได้แก่ AquaShell ที่ฝังตัวในไฟล์เซิร์ฟเวอร์, AquaPurge ที่ลบหลักฐานใน log และ AquaTunnel ที่สร้างการเชื่อมต่อย้อนกลับเพื่อรักษาการเข้าถึง แม้แก้ช่องโหว่แล้วก็ยังไม่พ้นภัย เพราะมัลแวร์ฝังลึกจน Cisco แนะนำว่าหากถูกเจาะแล้วต้อง rebuild เครื่องใหม่เท่านั้น
https://securityonline.info/cisco-zero-day-siege-chinese-group-uat-9686-deploys-aqua-malware-via-cvss-10-root-exploit

SonicWall เตือนช่องโหว่ใหม่ถูกใช้ร่วมกับช่องโหว่เดิม ยึดระบบได้แบบ root
SonicWall ออกประกาศด่วนเกี่ยวกับช่องโหว่ CVE-2025-40602 ในอุปกรณ์ SMA1000 แม้คะแนน CVSS เพียง 6.6 แต่เมื่อถูกใช้ร่วมกับช่องโหว่ CVE-2025-23006 ที่ร้ายแรงกว่า จะกลายเป็นการโจมตีแบบ chain ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ต้องล็อกอิน และยกระดับสิทธิ์เป็น root ได้ทันที เท่ากับยึดระบบทั้งองค์กรได้โดยไม่ต้องมีรหัสผ่าน SonicWall ได้ออกแพตช์ใหม่และแนะนำให้ผู้ใช้รีบอัปเดตทันที หากไม่สามารถทำได้ควรปิดการเข้าถึง AMC และ SSH จากอินเทอร์เน็ตเพื่อป้องกันการโจมตี
https://securityonline.info/zero-day-warning-hackers-chain-sonicwall-sma1000-flaws-for-unauthenticated-root-rce

📌🔐🟠 รวมข่าวจากเวบ SecurityOnline 🟠🔐📌 #รวมข่าวIT #20251218 #securityonline 🦊 Mozilla เปิดยุคใหม่: Firefox เตรียมกลายเป็นเบราว์เซอร์พลัง AI Mozilla ประกาศแผนการใหญ่ภายใต้การนำของ CEO คนใหม่ Anthony Enzor-DeMeo ที่จะเปลี่ยน Firefox จากเบราว์เซอร์แบบดั้งเดิมให้กลายเป็นแพลตฟอร์มที่ขับเคลื่อนด้วย AI จุดมุ่งหมายคือการทำให้ Firefox ไม่ใช่แค่เครื่องมือท่องเว็บ แต่เป็นผู้ช่วยอัจฉริยะที่เข้าใจผู้ใช้และสามารถปรับแต่งประสบการณ์ออนไลน์ได้อย่างลึกซึ้ง การเปลี่ยนแปลงนี้สะท้อนถึงความพยายามของ Mozilla ที่จะกลับมาแข่งขันในตลาดเบราว์เซอร์ที่ถูกครอบงำโดย Chrome และ Edge 🔗 https://securityonline.info/mozillas-new-chapter-ceo-anthony-enzor-demeo-to-transform-firefox-into-an-ai-powered-powerhouse 🔒 Let’s Encrypt ปรับระบบ TLS ใหม่: ใบรับรองสั้นลงเหลือ 45 วัน Let’s Encrypt ประกาศการเปลี่ยนแปลงครั้งใหญ่ในระบบการออกใบรับรอง TLS โดยลดอายุการใช้งานจาก 90 วันเหลือเพียง 45 วัน พร้อมเปิดตัวโครงสร้างใหม่ที่เรียกว่า Generation Y Hierarchy และการรองรับ TLS แบบใช้ IP โดยตรง การเปลี่ยนแปลงนี้มีเป้าหมายเพื่อเพิ่มความปลอดภัย ลดความเสี่ยงจากใบรับรองที่ถูกขโมยหรือไม่ได้อัปเดต และทำให้ระบบอินเทอร์เน็ตมีความยืดหยุ่นมากขึ้น แม้จะเพิ่มภาระให้ผู้ดูแลระบบ แต่ก็ถือเป็นก้าวสำคัญในการยกระดับมาตรฐานความปลอดภัยของเว็บทั่วโลก 🔗 https://securityonline.info/the-45-day-era-begins-lets-encrypt-unveils-generation-y-hierarchy-and-ip-based-tls 🛡️ ช่องโหว่ร้ายแรงใน Apache Commons Text เสี่ยงถูกยึดเซิร์ฟเวอร์ เรื่องนี้เป็นการค้นพบช่องโหว่ใหม่ในไลบรารี Java ที่ชื่อ Apache Commons Text ซึ่งถูกใช้อย่างแพร่หลายในการจัดการข้อความ ช่องโหว่นี้ถูกระบุว่า CVE-2025-46295 และมีคะแนนความรุนแรงสูงถึง 9.8 เต็ม 10 จุดอันตรายอยู่ที่ฟังก์ชัน string interpolation ที่เปิดช่องให้ผู้โจมตีสามารถส่งข้อมูลที่ไม่ปลอดภัยเข้ามาและทำให้เกิดการรันคำสั่งจากระยะไกลได้ ลักษณะนี้คล้ายกับเหตุการณ์ Log4Shell ที่เคยสร้างความเสียหายใหญ่ในอดีต ทีมพัฒนา FileMaker Server ได้รีบแก้ไขโดยอัปเดตเป็นเวอร์ชันใหม่ที่ปลอดภัยแล้ว และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันทีเพื่อปิดช่องโหว่ 🔗 https://securityonline.info/cve-2025-46295-cvss-9-8-critical-apache-commons-text-flaw-risks-total-server-takeover 🚦 หลอกด้วยใบสั่งจราจรปลอม: แอป RTO Challan ดูดข้อมูลและเงิน ในอินเดียมีการโจมตีใหม่ที่ใช้ความกลัวการโดนใบสั่งจราจรมาเป็นเครื่องมือ หลอกให้ผู้ใช้ดาวน์โหลดแอป “RTO Challan” ผ่าน WhatsApp โดยอ้างว่าเป็นแอปทางการเพื่อดูหลักฐานการกระทำผิด แต่แท้จริงแล้วเป็นมัลแวร์ที่ซ่อนตัวและสร้าง VPN ปลอมเพื่อส่งข้อมูลออกไปโดยไม่ถูกตรวจจับ มันสามารถขโมยข้อมูลส่วนตัว ตั้งแต่บัตร Aadhaar, PAN ไปจนถึงข้อมูลธนาคาร และยังหลอกให้ผู้ใช้กรอกข้อมูลบัตรเครดิตพร้อมรหัส PIN เพื่อทำธุรกรรมปลอมแบบเรียลไทม์ ถือเป็นการโจมตีที่ผสมผสานทั้งวิศวกรรมสังคมและเทคนิคขั้นสูง ผู้ใช้ถูกเตือนให้ระวังข้อความจากเบอร์แปลกและไม่ดาวน์โหลดแอปจากลิงก์ที่ไม่น่าเชื่อถือ 🔗 https://securityonline.info/rto-challan-scam-how-a-fake-traffic-ticket-and-a-malicious-vpn-can-drain-your-bank-account 💻 Node.js systeminformation พบช่องโหว่เสี่ยง RCE บน Windows ไลบรารีชื่อดัง systeminformation ที่ถูกดาวน์โหลดกว่า 16 ล้านครั้งต่อเดือน ถูกพบช่องโหว่ร้ายแรง CVE-2025-68154 โดยเฉพาะบน Windows ฟังก์ชัน fsSize() ที่ใช้ตรวจสอบขนาดดิสก์ไม่ได้กรองข้อมูลอินพุต ทำให้ผู้โจมตีสามารถใส่คำสั่ง PowerShell แทนตัวอักษรไดรฟ์ และรันคำสั่งอันตรายได้ทันที ผลกระทบคือการเข้าควบคุมระบบ อ่านข้อมูลลับ หรือแม้กระทั่งปล่อย ransomware นักพัฒนาถูกแนะนำให้อัปเดตเป็นเวอร์ชัน 5.27.14 ที่แก้ไขแล้วโดยด่วน 🔗 https://securityonline.info/node-js-alert-systeminformation-flaw-risks-windows-rce-for-16m-monthly-users 💰 OpenAI เจรจา Amazon ขอทุนเพิ่ม 10 พันล้าน พร้อมเงื่อนไขใช้ชิป AI ของ Amazon มีรายงานว่า OpenAI กำลังเจรจากับ Amazon เพื่อระดมทุนมหาศาลถึง 10 พันล้านดอลลาร์ โดยมีเงื่อนไขสำคัญคือ OpenAI ต้องใช้ชิป AI ของ Amazon เช่น Trainium และ Inferentia แทนการพึ่งพา NVIDIA ที่ราคาแพงและขาดตลาด หากดีลนี้เกิดขึ้นจริงจะเป็นการพลิกเกมครั้งใหญ่ เพราะจะทำให้ Amazon ได้การยืนยันคุณภาพชิปจากผู้เล่นรายใหญ่ที่สุดในวงการ AI และยังช่วยให้ OpenAI ลดต้นทุนการประมวลผล ขณะเดียวกันก็สร้างสมดุลระหว่าง Microsoft และ Amazon ในการเป็นพันธมิตรด้านคลาวด์ 🔗 https://securityonline.info/the-10b-pivot-openai-in-talks-for-massive-amazon-funding-but-theres-a-silicon-catch 🌐 Cloudflare เผยรายงานปี 2025: สงครามบอท AI และการจราจรอินเทอร์เน็ตพุ่ง 19% รายงานประจำปีของ Cloudflare ชี้ให้เห็นว่าปี 2025 อินเทอร์เน็ตกำลังเปลี่ยนแปลงครั้งใหญ่ ปริมาณการใช้งานเพิ่มขึ้น 19% และเกิด “สงครามบอท AI” ที่แข่งขันกันเก็บข้อมูลออนไลน์ โดย Google ครองอันดับหนึ่งด้านการเก็บข้อมูลผ่าน crawler เพื่อใช้ฝึกโมเดล AI อย่าง Gemini ขณะเดียวกันองค์กรไม่แสวงหากำไรกลับกลายเป็นเป้าหมายโจมตีไซเบอร์มากที่สุด เนื่องจากมีข้อมูลอ่อนไหวแต่ขาดทรัพยากรป้องกัน รายงานยังระบุว่ามีการโจมตี DDoS ครั้งใหญ่กว่า 25 ครั้งในปีเดียว และครึ่งหนึ่งของการหยุดชะงักอินเทอร์เน็ตทั่วโลกเกิดจากการกระทำของรัฐบาล การเปลี่ยนแปลงนี้สะท้อนทั้งความก้าวหน้าและความเปราะบางของโลกออนไลน์ 🔗 https://securityonline.info/the-internet-rewired-cloudflare-2025-review-unveils-the-ai-bot-war-and-a-19-traffic-surge 🖥️ Locked Out of the Cloud: เมื่อแฮกเกอร์ใช้ AWS Termination Protection ปล้นพลังประมวลผลไปขุดคริปโต เรื่องนี้เป็นการโจมตีที่ซับซ้อนมากในโลกคลาวด์ แฮกเกอร์เจาะเข้ามาในระบบ AWS โดยใช้บัญชีที่ถูกขโมย แล้วรีบ deploy เครื่องขุดคริปโตภายในเวลาไม่ถึง 10 นาที จุดที่น่ากลัวคือพวกเขาใช้ฟีเจอร์ DryRun เพื่อตรวจสอบสิทธิ์โดยไม่ทิ้งร่องรอย และเมื่อเครื่องขุดถูกสร้างขึ้น พวกเขาเปิดการป้องกันการลบ (termination protection) ทำให้เจ้าของระบบไม่สามารถลบเครื่องได้ทันที ต้องปิดการป้องกันก่อนถึงจะจัดการได้ นั่นทำให้แฮกเกอร์มีเวลาขุดคริปโตเพิ่มขึ้น นอกจากนี้ยังมีการสร้าง backdoor ผ่าน AWS Lambda และเตรียมใช้ Amazon SES เพื่อส่งอีเมลฟิชชิ่งต่อไป เหตุการณ์นี้ไม่ใช่การเจาะ AWS โดยตรง แต่เป็นการใช้ credential ที่ถูกขโมยไปอย่างชาญฉลาด 🔗 https://securityonline.info/locked-out-of-the-cloud-hackers-use-aws-termination-protection-to-hijack-ecs-for-unstoppable-crypto-mining 📧 Blurred Deception: กลยุทธ์ฟิชชิ่งของกลุ่ม APT รัสเซียที่ใช้ “เอกสารเบลอ” กลุ่ม APT จากรัสเซียส่งอีเมลปลอมในชื่อคำสั่งจากประธานาธิบดี Transnistria โดยแนบไฟล์ที่ดูเหมือนเอกสารทางการ แต่เนื้อหาถูกทำให้เบลอด้วย CSS filter ผู้รับจึงต้องใส่อีเมลและรหัสผ่านเพื่อ “ปลดล็อก” เอกสาร ซึ่งจริง ๆ แล้วเป็นการหลอกขโมยข้อมูลเข้าสู่ระบบ ฟังก์ชัน JavaScript ที่ใช้ยังมีลูกเล่นคือไม่ว่ารหัสผ่านจะถูกหรือผิดก็ถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์อยู่ดี แคมเปญนี้ไม่ได้หยุดแค่ Transnistria แต่ยังขยายไปยังประเทศในยุโรปตะวันออกและหน่วยงาน NATO ด้วย ถือเป็นการโจมตีที่ใช้ความเร่งด่วนและความอยากรู้อยากเห็นของเหยื่อเป็นตัวล่อ 🔗 https://securityonline.info/blurred-deception-russian-apt-targets-transnistria-and-nato-with-high-pressure-phishing-lures 🔐 “Better Auth” Framework Alert: ช่องโหว่ Double-Slash ที่ทำให้ระบบป้องกันพัง มีการค้นพบช่องโหว่ร้ายแรงใน Better Auth ซึ่งเป็น framework ยอดนิยมสำหรับ TypeScript ที่ใช้กันกว้างขวาง ปัญหาคือ router ภายในชื่อ rou3 มอง URL ที่มีหลาย slash เช่น //sign-in/email ว่าเหมือนกับ /sign-in/email แต่ระบบป้องกันบางอย่างไม่ได้ normalize URL แบบเดียวกัน ทำให้แฮกเกอร์สามารถเข้าถึง path ที่ถูกปิดไว้ หรือเลี่ยง rate limit ได้ง่าย ๆ ช่องโหว่นี้มีคะแนน CVSS สูงถึง 8.6 และกระทบผู้ใช้จำนวนมาก การแก้ไขคืออัปเดตเวอร์ชันใหม่ หรือปรับ proxy ให้ normalize URL ก่อนถึงระบบ หากไม่ทำก็เสี่ยงที่ระบบจะถูกเจาะผ่านช่องโหว่เล็ก ๆ แต่ร้ายแรงนี้ 🔗 https://securityonline.info/better-auth-framework-alert-the-double-slash-trick-that-bypasses-security-controls 🐉 Ink Dragon’s Global Mesh: เมื่อเซิร์ฟเวอร์รัฐบาลถูกเปลี่ยนเป็นโหนดสอดแนม กลุ่มสอดแนมไซเบอร์จากจีนที่ชื่อ Ink Dragon ใช้เทคนิคใหม่ในการสร้างเครือข่ายสั่งการ โดยเปลี่ยนเซิร์ฟเวอร์รัฐบาลที่ถูกเจาะให้กลายเป็นโหนด relay ส่งต่อคำสั่งและข้อมูลไปยังเป้าหมายอื่น ๆ ผ่านโมดูล ShadowPad IIS Listener ทำให้การติดตามแทบเป็นไปไม่ได้ เพราะคำสั่งอาจวิ่งผ่านหลายองค์กรก่อนถึงเป้าหมายจริง พวกเขายังใช้ช่องโหว่ IIS ที่รู้จักกันมานานและ misconfiguration ของ ASP.NET เพื่อเข้ามา จากนั้นติดตั้ง malware รุ่นใหม่ที่ซ่อนการสื่อสารผ่าน Microsoft Graph API การขยายเป้าหมายไปยังยุโรปทำให้ภัยนี้ไม่ใช่แค่ระดับภูมิภาค แต่เป็นโครงสร้างสอดแนมข้ามชาติที่ใช้โครงสร้างของเหยื่อเองเป็นเครื่องมือ 🔗 https://securityonline.info/ink-dragons-global-mesh-how-chinese-spies-turn-compromised-government-servers-into-c2-relay-nodes 📚 Academic Ambush: เมื่อกลุ่ม APT ปลอมรายงาน “Plagiarism” เพื่อเจาะระบบนักวิชาการ นี่คือแคมเปญที่ใช้ความกังวลของนักวิชาการเป็นตัวล่อ แฮกเกอร์ส่งอีเมลปลอมในชื่อ “Forum Troll APT” โดยอ้างว่าผลงานของเหยื่อถูกตรวจพบการลอกเลียนแบบ พร้อมแนบไฟล์ Word ที่ดูเหมือนรายงานตรวจสอบ แต่จริง ๆ แล้วเป็นเอกสารที่ฝังโค้ดอันตราย เมื่อเหยื่อเปิดไฟล์ โค้ดจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์เข้ามาในเครื่องทันที การโจมตีนี้เล่นกับความกลัวเรื่องชื่อเสียงและความน่าเชื่อถือในวงวิชาการ ทำให้ผู้รับมีแนวโน้มเปิดไฟล์โดยไม่ระวัง ถือเป็นการใช้ “แรงกดดันทางสังคม” เป็นอาวุธไซเบอร์ 🔗 https://securityonline.info/academic-ambush-how-the-forum-troll-apt-hijacks-scholars-systems-via-fake-plagiarism-reports 🛠️ GitHub ยอมถอย หลังนักพัฒนารวมพลังต้านค่าธรรมเนียม Self-Hosted Runner เรื่องนี้เริ่มจาก GitHub ประกาศว่าจะเก็บค่าธรรมเนียมเพิ่มเติมสำหรับการใช้งาน self-hosted runner ใน GitHub Actions ตั้งแต่มีนาคม 2026 โดยคิดนาทีละ 0.002 ดอลลาร์ แม้ผู้ใช้จะลงทุนเครื่องเองแล้วก็ตาม ข่าวนี้ทำให้ชุมชนนักพัฒนาลุกฮือทันที เสียงวิจารณ์ดังไปทั่วว่าเป็นการตัดสินใจที่ไม่ฟังเสียงผู้ใช้ สุดท้าย GitHub ต้องออกมาประกาศเลื่อนการเก็บค่าธรรมเนียมออกไป พร้อมลดราคาสำหรับ runner ที่ GitHub โฮสต์เองลงถึง 39% ตั้งแต่ต้นปี 2026 และย้ำว่าจะกลับไปฟังเสียงนักพัฒนาให้มากขึ้นก่อนปรับแผนใหม่ เรื่องนี้สะท้อนว่าพลังของชุมชนสามารถกดดันให้แพลตฟอร์มยักษ์ใหญ่ต้องทบทวนการตัดสินใจได้ 🔗 https://securityonline.info/the-developer-win-github-postpones-self-hosted-runner-fee-after-massive-community-outcry ⚠️ ช่องโหว่ร้ายแรง HPE OneView เปิดทางให้ยึดศูนย์ข้อมูลได้ทันที Hewlett Packard Enterprise (HPE) แจ้งเตือนช่องโหว่ CVE-2025-37164 ที่มีคะแนนความรุนแรงสูงสุด 10.0 ในซอฟต์แวร์ OneView ซึ่งเป็นหัวใจในการจัดการเซิร์ฟเวอร์และระบบเครือข่าย ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่ไม่ต้องล็อกอินสามารถสั่งรันโค้ดจากระยะไกลได้ทันที เท่ากับว่าสามารถยึดศูนย์ข้อมูลทั้งระบบได้เลย HPE รีบออกแพตช์ v11.00 และแนะนำให้ผู้ใช้รีบอัปเดตโดยด่วน สำหรับผู้ที่ยังใช้เวอร์ชันเก่า มี hotfix ให้ แต่ต้องระวังว่าหลังอัปเกรดบางเวอร์ชันต้องติดตั้งซ้ำอีกครั้ง ไม่เช่นนั้นจะยังเสี่ยงอยู่ 🔗 https://securityonline.info/cve-2025-37164-cvss-10-0-unauthenticated-hpe-oneview-rce-grants-total-control-over-data-centers 🚨 CISA เตือนด่วน แฮ็กเกอร์จีนใช้ช่องโหว่ Cisco และ SonicWall โจมตีจริงแล้ว หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเพิ่มช่องโหว่ร้ายแรงเข้ารายการ KEV หลังพบว่ากลุ่มแฮ็กเกอร์จีน UAT-9686 กำลังใช้ช่องโหว่ Cisco Secure Email Gateway ที่มีคะแนน 10 เต็มในการเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน พร้อมติดตั้งมัลแวร์ AquaShell และ AquaPurge เพื่อซ่อนร่องรอย นอกจากนี้ยังพบการโจมตี SonicWall SMA1000 โดยใช้ช่องโหว่เดิมร่วมกับช่องโหว่ใหม่เพื่อยึดระบบได้ทั้งหมด และยังมีการนำช่องโหว่เก่าใน ASUS Live Update ที่หมดการสนับสนุนแล้วกลับมาใช้โจมตีในลักษณะ supply chain อีกด้วย ทำให้หน่วยงานรัฐต้องเร่งแพตช์ก่อนเส้นตาย 24 ธันวาคม 2025 🔗 https://securityonline.info/cisa-alert-chinese-hackers-weaponize-cvss-10-cisco-zero-day-sonicwall-exploit-chains 🐚 แฮ็กเกอร์จีน UAT-9686 ใช้มัลแวร์ Aqua เจาะ Cisco Secure Email Cisco Talos เปิดเผยว่ากลุ่ม UAT-9686 กำลังใช้ช่องโหว่ CVE-2025-20393 ใน Cisco Secure Email Gateway และ Web Manager เพื่อเข้าถึงระบบในระดับ root โดยอาศัยการเปิดใช้งานฟีเจอร์ Spam Quarantine ที่เชื่อมต่ออินเทอร์เน็ต ซึ่งหากเปิดไว้จะกลายเป็นช่องทางให้โจมตีได้ทันที เมื่อเข้ามาแล้วพวกเขาติดตั้งมัลแวร์ชุด “Aqua” ได้แก่ AquaShell ที่ฝังตัวในไฟล์เซิร์ฟเวอร์, AquaPurge ที่ลบหลักฐานใน log และ AquaTunnel ที่สร้างการเชื่อมต่อย้อนกลับเพื่อรักษาการเข้าถึง แม้แก้ช่องโหว่แล้วก็ยังไม่พ้นภัย เพราะมัลแวร์ฝังลึกจน Cisco แนะนำว่าหากถูกเจาะแล้วต้อง rebuild เครื่องใหม่เท่านั้น 🔗 https://securityonline.info/cisco-zero-day-siege-chinese-group-uat-9686-deploys-aqua-malware-via-cvss-10-root-exploit 🔒 SonicWall เตือนช่องโหว่ใหม่ถูกใช้ร่วมกับช่องโหว่เดิม ยึดระบบได้แบบ root SonicWall ออกประกาศด่วนเกี่ยวกับช่องโหว่ CVE-2025-40602 ในอุปกรณ์ SMA1000 แม้คะแนน CVSS เพียง 6.6 แต่เมื่อถูกใช้ร่วมกับช่องโหว่ CVE-2025-23006 ที่ร้ายแรงกว่า จะกลายเป็นการโจมตีแบบ chain ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ต้องล็อกอิน และยกระดับสิทธิ์เป็น root ได้ทันที เท่ากับยึดระบบทั้งองค์กรได้โดยไม่ต้องมีรหัสผ่าน SonicWall ได้ออกแพตช์ใหม่และแนะนำให้ผู้ใช้รีบอัปเดตทันที หากไม่สามารถทำได้ควรปิดการเข้าถึง AMC และ SSH จากอินเทอร์เน็ตเพื่อป้องกันการโจมตี 🔗 https://securityonline.info/zero-day-warning-hackers-chain-sonicwall-sma1000-flaws-for-unauthenticated-root-rce

0 Comments 0 Shares 49 Views 0 Reviews

Please log in to like, share and comment!
News1

added a photo
2025-12-18 09:10:56 -

เกิดเหตุสะพานลอยหน้าตลาดนำชัย ถนนบางนาตราด กม.34 ถล่มลงมากลางถนน ทับรถบรรทุกและรถกระบะเสียหายหนัก มีผู้บาดเจ็บติดอยู่ภายใน เจ้าหน้าที่กู้ภัยเร่งเข้าช่วยเหลือ
.
เหตุเกิดช่วงเช้าวันที่ 18 ธันวาคม บริเวณตลาดนัดนำชัย ตำบลบางพลีน้อย อำเภอบางบ่อ จังหวัดสมุทรปราการ ส่งผลให้การจราจรขาเข้าได้รับผลกระทบหนัก ต้องปิดถนนทุกช่องทางชั่วคราว
.
ขณะนี้เจ้าหน้าที่อยู่ระหว่างช่วยเหลือผู้บาดเจ็บและเร่งเคลียร์พื้นที่ พร้อมตรวจสอบสาเหตุการถล่มของสะพานลอย โดยจะมีการรายงานความคืบหน้าเพิ่มเติมต่อไป
.
อ่านต่อ… https://news1live.com/detail/9680000121717
.
#News1live #News1 #สะพานถล่ม #บางนาตราด #สมุทรปราการ #อุบัติเหตุ #ข่าวด่วน #การจราจร

เกิดเหตุสะพานลอยหน้าตลาดนำชัย ถนนบางนาตราด กม.34 ถล่มลงมากลางถนน ทับรถบรรทุกและรถกระบะเสียหายหนัก มีผู้บาดเจ็บติดอยู่ภายใน เจ้าหน้าที่กู้ภัยเร่งเข้าช่วยเหลือ . เหตุเกิดช่วงเช้าวันที่ 18 ธันวาคม บริเวณตลาดนัดนำชัย ตำบลบางพลีน้อย อำเภอบางบ่อ จังหวัดสมุทรปราการ ส่งผลให้การจราจรขาเข้าได้รับผลกระทบหนัก ต้องปิดถนนทุกช่องทางชั่วคราว . ขณะนี้เจ้าหน้าที่อยู่ระหว่างช่วยเหลือผู้บาดเจ็บและเร่งเคลียร์พื้นที่ พร้อมตรวจสอบสาเหตุการถล่มของสะพานลอย โดยจะมีการรายงานความคืบหน้าเพิ่มเติมต่อไป . อ่านต่อ… https://news1live.com/detail/9680000121717 . #News1live #News1 #สะพานถล่ม #บางนาตราด #สมุทรปราการ #อุบัติเหตุ #ข่าวด่วน #การจราจร

0 Comments 0 Shares 79 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-16 08:04:20 -

🩷 รวมข่าวจากเวบ SecurityOnline 🩷

#รวมข่าวIT #20251216 #securityonline

วิกฤติช่องโหว่ FortiGate SSO ถูกโจมตีจริง
ช่วงนี้ผู้ดูแลระบบ Fortinet ต้องเผชิญกับสถานการณ์ร้อนแรง เมื่อมีการเปิดเผยช่องโหว่ร้ายแรงสองรายการในระบบ FortiGate และเพียงไม่กี่วันหลังจากนั้นก็ถูกโจมตีจริงทันที แฮกเกอร์ใช้วิธีเจาะผ่านระบบ Single Sign-On (SSO) โดยส่งข้อความ SAML ที่ถูกปรับแต่ง ทำให้สามารถล็อกอินเป็นผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน เมื่อเข้ามาแล้วพวกเขาจะรีบขโมยการตั้งค่าระบบไฟร์วอลล์ออกไป ซึ่งข้อมูลเหล่านี้มักมีรหัสผ่านที่ถูกเข้ารหัสของผู้ใช้ VPN และบัญชีอื่น ๆ จุดอันตรายคือการตั้งค่า FortiCloud SSO ที่แม้จะถูกปิดไว้ในค่าเริ่มต้น แต่เมื่อผู้ดูแลลงทะเบียนอุปกรณ์ผ่าน GUI มันจะถูกเปิดใช้งานโดยอัตโนมัติหากไม่ได้ปิดเอง ทำให้หลายระบบเสี่ยงทันที นักวิจัยแนะนำให้รีบอัปเดตเวอร์ชันล่าสุดหรือปิดฟีเจอร์นี้ผ่าน CLI เพื่อป้องกันการโจมตี
https://securityonline.info/critical-fortigate-sso-flaw-under-active-exploitation-attackers-bypass-auth-and-exfiltrate-configs

Apple ยอม EU: iOS 26.3 ส่งต่อการแจ้งเตือนให้สมาร์ทวอชแบรนด์อื่น
ใน iOS 26.3 เบต้า Apple เพิ่มฟีเจอร์ใหม่ชื่อ Notification Forwarding ที่ให้ iPhone ส่งต่อการแจ้งเตือนไปยังอุปกรณ์สวมใส่จากแบรนด์อื่นได้โดยตรง ไม่จำกัดแค่ Apple Watch อีกต่อไป ฟีเจอร์นี้เปิดใช้เฉพาะในสหภาพยุโรป เพื่อให้สอดคล้องกับกฎหมาย Digital Markets Act ที่บังคับให้ Apple เปิดโอกาสให้สมาร์ทวอชจากค่ายอื่นเข้าถึงฟังก์ชันที่เคยสงวนไว้ การเปลี่ยนแปลงนี้ช่วยให้ผู้ใช้เลือกได้ว่าจะให้แอปใดส่งการแจ้งเตือนออกไป และลดความเสี่ยงด้านความเป็นส่วนตัวที่เกิดจากการที่อุปกรณ์อื่นต้องเข้าถึงการแจ้งเตือนทั้งหมดแบบครอบคลุม ถือเป็นการปรับตัวครั้งสำคัญของ Apple เพื่อหลีกเลี่ยงบทลงโทษจาก EU
https://securityonline.info/eu-compliance-ios-26-3-adds-notification-forwarding-to-third-party-wearables-bypassing-apple-watch

Windows 10 อัปเดต KB5071546 ทำ MSMQ ใช้งานไม่ได้
Microsoft ยืนยันแล้วว่าการติดตั้งอัปเดต KB5071546 บน Windows 10 ทำให้บริการ Microsoft Message Queuing (MSMQ) ล้มเหลว MSMQ เป็นระบบที่ใช้ในองค์กรเพื่อจัดการข้อความระหว่างแอปพลิเคชัน หากมันหยุดทำงาน งานเบื้องหลังที่ต้องพึ่งพาคิวข้อความก็จะหยุดตามทันที ส่งผลให้เว็บไซต์หรือแอปที่รันบน IIS ไม่สามารถทำงานได้ สาเหตุคือการเปลี่ยนแปลงสิทธิ์การเขียนไฟล์ในโฟลเดอร์จัดเก็บข้อความ ทำให้บัญชีที่ใช้ MSMQ ไม่มีสิทธิ์เพียงพอ แม้จะรีสตาร์ทหรือรีบูตเซิร์ฟเวอร์ก็ไม่ช่วยแก้ปัญหา ทางออกเดียวตอนนี้คือถอนการติดตั้งอัปเดตแล้วรอ Microsoft ปล่อยแพตช์แก้ไขในเดือนถัดไป
https://securityonline.info/enterprise-alert-windows-10-update-kb5071546-breaks-msmq-service-with-insufficient-permissions

ช่องโหว่ ScreenConnect เสี่ยงติดตั้งส่วนขยายไม่ปลอดภัย
ConnectWise ออกแพตช์ใหม่สำหรับ ScreenConnect หลังพบช่องโหว่ CVE-2025-14265 ที่มีความรุนแรงสูงถึง 9.1 ช่องโหว่นี้อาจทำให้ผู้ที่มีสิทธิ์ระดับผู้ดูแลเข้าถึงข้อมูลการตั้งค่าหรือบังคับติดตั้งส่วนขยายที่ไม่น่าเชื่อถือได้ แม้จะไม่ใช่การเปิดช่องให้โจมตีจากภายนอกโดยตรง แต่หากบัญชีผู้ดูแลถูกเจาะก็อันตรายทันที แพตช์เวอร์ชัน 25.8 ได้เพิ่มการตรวจสอบความถูกต้องของส่วนขยายและเสริมความปลอดภัยของเซิร์ฟเวอร์ สำหรับผู้ใช้ระบบคลาวด์ไม่ต้องทำอะไรเพราะถูกแก้ไขแล้ว แต่ผู้ที่ติดตั้งเองในองค์กรต้องรีบอัปเดตด้วยตนเอง
https://securityonline.info/critical-screenconnect-flaw-cvss-9-1-risks-config-exposure-untrusted-extension-installation

OpenShift GitOps ช่องโหว่ยกระดับสิทธิ์จนยึดคลัสเตอร์ได้
Red Hat OpenShift GitOps ถูกพบช่องโหว่ CVE-2025-13888 ที่ร้ายแรงมาก ผู้ใช้ที่มีสิทธิ์เพียงระดับ namespace admin สามารถใช้ ArgoCD Custom Resources เพื่อยกระดับสิทธิ์จนเข้าถึงทั้งคลัสเตอร์ได้ วิธีการคือการแก้ไขค่า sourceNamespaces ใน CR ให้ชี้ไปยัง namespace ที่มีสิทธิ์สูง เช่น default จากนั้นระบบจะสร้าง RoleBinding และ Role ที่เปิดทางให้ผู้โจมตีรันงานที่มีสิทธิ์สูงสุดบน master node ได้ทันที เท่ากับว่าสามารถยึดครองคลัสเตอร์ Kubernetes ได้โดยสมบูรณ์ ผู้ดูแลระบบควรรีบอัปเดตแพตช์ล่าสุดและจำกัดสิทธิ์การสร้าง ArgoCD CR ให้เฉพาะผู้ดูแลที่เชื่อถือได้
https://securityonline.info/critical-openshift-gitops-flaw-risks-cluster-takeover-cve-2025-13888-via-privilege-escalation-to-root

Phantom Stealer โจมตีการเงินรัสเซียผ่านไฟล์ ISO
เรื่องนี้เป็นการโจมตีที่ซับซ้อนมาก แฮกเกอร์ใช้วิธีส่งอีเมลปลอมที่ดูเหมือนเป็นการยืนยันการโอนเงินจากบริษัทการเงินจริงๆ เพื่อหลอกให้เจ้าหน้าที่ฝ่ายการเงินเปิดไฟล์แนบที่เป็นไฟล์ ISO เมื่อเปิดแล้วจะมีโปรแกรมแฝงที่ชื่อ Phantom Stealer ทำงานทันที มันสามารถขโมยข้อมูลได้หลายอย่าง ทั้งรหัสผ่านในเบราว์เซอร์ ข้อมูลบัตรเครดิต ข้อมูลกระเป๋าเงินดิจิทัล รวมถึงดักจับการพิมพ์คีย์บอร์ดทุกครั้งที่เหยื่อกด Phantom Stealer ยังมีระบบป้องกันตัวเองจากการตรวจสอบ ถ้ารู้ว่ากำลังถูกนักวิจัยจับตามันจะลบตัวเองทันที การโจมตีนี้ถือเป็นการเปลี่ยนกลยุทธ์ใหม่ที่ใช้ไฟล์ ISO เพื่อหลบเลี่ยงระบบป้องกัน ทำให้เสี่ยงต่อการสูญเสียข้อมูลทางการเงินอย่างมาก
https://securityonline.info/phantom-stealer-targets-russian-finance-with-iso-phishing-deploying-keyloggers-and-crypto-wallet-theft

Frogblight มัลแวร์ Android ปลอมเป็นแอปภาครัฐในตุรกี
มัลแวร์ตัวใหม่ชื่อ Frogblight ถูกค้นพบว่ากำลังแพร่ระบาดในตุรกี โดยมันปลอมตัวเป็นแอปพลิเคชันของรัฐบาลที่ใช้ดูข้อมูลคดีความ ผู้ใช้จะได้รับ SMS หลอกว่ามีคดีความและต้องดาวน์โหลดแอปเพื่อดูรายละเอียด เมื่อดาวน์โหลดมาแล้ว แอปจะขอสิทธิ์เข้าถึงข้อมูลหลายอย่าง เช่น SMS รายชื่อผู้ติดต่อ และไฟล์ในเครื่อง จากนั้นมันจะเปิดหน้าเว็บจริงของรัฐบาลเพื่อให้ผู้ใช้ตายใจ แต่เบื้องหลังมันจะดักข้อมูลการเข้าสู่ระบบธนาคารและส่งไปยังผู้โจมตี Frogblight ยังมีฟังก์ชันสอดแนมอื่นๆ เช่นเก็บข้อมูลแอปที่ติดตั้งและไฟล์ในเครื่อง นักวิจัยพบว่ามันถูกพัฒนาอย่างต่อเนื่องและอาจถูกนำไปใช้ในรูปแบบบริการให้เช่าแก่แฮกเกอร์รายอื่น ทำให้ภัยนี้มีโอกาสแพร่กระจายไปนอกตุรกีได้ในอนาคต
https://securityonline.info/frogblight-android-banking-trojan-targets-turkey-via-fake-e-gov-smishing-and-webview

ช่องโหว่ macOS LPE กลับมาอีกครั้ง
นักวิจัยด้านความปลอดภัยพบว่าช่องโหว่เก่าใน macOS ที่เคยรายงานตั้งแต่ปี 2018 ยังไม่ถูกแก้ไขอย่างสมบูรณ์ แม้ Apple จะพยายามอุดหลายครั้ง ช่องโหว่นี้เกี่ยวข้องกับการติดตั้งแอปที่ต้องใช้สิทธิ์ root โดยหากมีแอปปลอมถูกวางไว้ในโฟลเดอร์ Applications ก่อน แอปจริงจะถูกติดตั้งเข้าไปในโฟลเดอร์พิเศษชื่อ .localized ทำให้ระบบเข้าใจผิดและไปเรียกใช้แอปปลอมแทน ผลคือผู้โจมตีสามารถรันโค้ดในสิทธิ์ root ได้ทันที ถือเป็นการเจาะระบบที่อันตรายมาก นักวิจัยย้ำว่าปัญหานี้ยังคงอยู่และต้องการการแก้ไขที่จริงจังจาก Apple เพื่อป้องกันการโจมตีในอนาคต
https://securityonline.info/macos-lpe-flaw-resurfaces-localized-directory-exploited-to-hijack-installers-and-gain-root-access

มัลแวร์ NuGet แฝงตัว 5 ปี ขโมยกระเป๋าเงินคริปโต
มีการค้นพบแพ็กเกจ NuGet ปลอมชื่อ Tracer.Fody.NLog ที่ถูกปล่อยให้ดาวน์โหลดตั้งแต่ปี 2020 และอยู่รอดมาได้กว่า 5 ปีโดยไม่ถูกตรวจจับ มันปลอมตัวเป็นเครื่องมือ .NET ที่ใช้บันทึก log แต่จริงๆ แล้วมีโค้ดแฝงที่ใช้เทคนิคพิเศษ เช่นการใช้ตัวอักษร Cyrillic ที่หน้าตาเหมือนตัวอักษร Latin เพื่อหลบการตรวจสอบ เมื่อถูกติดตั้ง มันจะค้นหาไฟล์กระเป๋าเงินดิจิทัล Stratis และขโมยรหัสผ่านไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยไม่ให้ผู้ใช้รู้ตัว การโจมตีนี้ถือเป็นการโจมตี supply chain ที่อันตรายมาก เพราะนักพัฒนาที่เชื่อใจแพ็กเกจโอเพนซอร์สอาจถูกดักข้อมูลโดยไม่รู้ตัว
https://securityonline.info/5-year-threat-malicious-nuget-package-used-homoglyphs-and-typosquatting-to-steal-crypto-wallets

Intel เตรียมเข้าซื้อกิจการ SambaNova ในราคาลดฮวบ
เรื่องนี้น่าสนใจมาก เพราะเดิมทีมีข่าวว่า Intel จะทุ่มเงินกว่า 5 พันล้านดอลลาร์เพื่อซื้อสตาร์ทอัพด้าน AI อย่าง SambaNova แต่ล่าสุดกลับมีรายงานว่ามูลค่าดีลจริงอาจเหลือเพียง 1.6 พันล้านดอลลาร์เท่านั้น ซึ่งถือว่าเป็นราคาที่ต่ำมากเมื่อเทียบกับการประเมินมูลค่าเดิมของบริษัทในปี 2021 ที่สูงกว่า 5 พันล้านดอลลาร์ สาเหตุหลักมาจากการแข่งขันที่รุนแรงในตลาดชิป AI ที่ NVIDIA ครองความเป็นใหญ่ SambaNova มีจุดแข็งด้านสถาปัตยกรรมที่เน้นการประมวลผลสำหรับโมเดลภาษาและการทำงานแบบครบวงจร ทั้งฮาร์ดแวร์ ซอฟต์แวร์ และบริการ ซึ่งอาจช่วย Intel เติมเต็มช่องว่างที่ยังขาดอยู่ แต่ความท้าทายใหญ่คือการผสานเทคโนโลยีนี้เข้ากับระบบของ Intel โดยไม่กระทบต่อผลิตภัณฑ์ Gaudi ที่มีอยู่แล้ว
https://securityonline.info/intel-nears-sambanova-acquisition-at-1-6b-fire-sale-price-down-from-5b-valuation

Claude AI ทำพลาด ลบข้อมูลทั้งเครื่อง Mac ของนักพัฒนา
นี่คือเหตุการณ์ที่ทำให้หลายคนต้องระวังการใช้เครื่องมือ AI มากขึ้น นักพัฒนารายหนึ่งใช้ Claude CLI เพื่อจัดการแพ็กเกจ แต่กลับเกิดความผิดพลาดจากคำสั่งที่มีเครื่องหมาย ~ ต่อท้าย ทำให้ระบบไปลบทั้งโฟลเดอร์ Home Directory ของเครื่อง Mac ผลคือข้อมูลสำคัญอย่าง Desktop, Documents, Downloads และ Keychains หายไปทั้งหมด เหตุการณ์นี้สะท้อนถึงความเสี่ยงของการให้ AI เข้าถึงระบบโดยตรง นักพัฒนาบางคนจึงเสนอให้ใช้ Docker เป็นตัวกลางเพื่อป้องกันไม่ให้ AI สามารถทำลายข้อมูลในเครื่องจริงได้
https://securityonline.info/data-disaster-claude-ai-executes-rm-rf-and-wipes-developers-mac-home-directory

SpaceX เตรียม IPO ปี 2026 หลังมูลค่าพุ่งถึง 800 พันล้านดอลลาร์
SpaceX กำลังเดินหน้าสู่การเข้าตลาดหุ้น โดยมีการเริ่มคัดเลือกธนาคารเพื่อเป็นที่ปรึกษา IPO และมีการส่งบันทึกภายในยืนยันว่าบริษัทกำลังเตรียมความพร้อมสำหรับการเข้าจดทะเบียนในปี 2026 แม้ยังไม่มีการกำหนดวันแน่นอน แต่สิ่งที่น่าทึ่งคือมูลค่าของบริษัทที่พุ่งขึ้นอย่างรวดเร็ว โดยการขายหุ้นภายในล่าสุดตีมูลค่าถึง 800 พันล้านดอลลาร์ แรงหนุนสำคัญมาจากบริการอินเทอร์เน็ตดาวเทียม Starlink ที่เติบโตอย่างก้าวกระโดด และยังส่งผลให้ Alphabet ซึ่งเคยลงทุนใน SpaceX ได้กำไรอย่างมหาศาลอีกด้วย
https://securityonline.info/spacex-ipo-company-prepares-for-2026-listing-after-valuation-soars-to-800-billion

Salt Typhoon กลุ่มแฮ็กเกอร์จากการแข่งขัน Cisco สู่การเจาะระบบโทรคมนาคมโลก
เรื่องนี้เหมือนนิยาย แต่เกิดขึ้นจริง นักวิจัยพบว่ากลุ่มแฮ็กเกอร์ชื่อ Salt Typhoon มีจุดเริ่มต้นจากนักศึกษาที่เคยแข่งขัน Cisco Network Academy Cup ก่อนจะนำความรู้ไปใช้ในการเจาะระบบโทรคมนาคมกว่า 80 บริษัททั่วโลก พวกเขาสามารถดักฟังทั้งสายโทรศัพท์และข้อความ รวมถึงเข้าถึงระบบที่ใช้สำหรับการดักฟังโดยกฎหมายเองด้วย เบื้องหลังคือสองบุคคลที่เคยเป็นคู่แข่งกันในสมัยเรียน แต่กลับร่วมมือกันสร้างเครือข่ายไซเบอร์ที่ทรงพลัง เหตุการณ์นี้สะท้อนให้เห็นถึงความเสี่ยงจากการถ่ายทอดเทคโนโลยีที่อาจถูกนำไปใช้ในทางร้ายได้
https://securityonline.info/from-cisco-student-rivalry-to-global-hackers-salt-typhoon-breaches-80-telecos-for-intelligence

BlackForce เครื่องมือ Phishing-as-a-Service รุ่นใหม่ที่อันตราย
BlackForce คือชุดเครื่องมือฟิชชิ่งที่ถูกขายใน Telegram ในราคาหลักร้อยยูโร แต่มีความสามารถสูงมาก มันสามารถหลอกขโมยรหัสผ่านและยังเจาะผ่านระบบยืนยันตัวตนหลายขั้นตอน (MFA) ได้ โดยใช้เทคนิค Man-in-the-Browser เพื่อดักจับรหัส OTP แบบเรียลไทม์ จุดที่ทำให้มันน่ากลัวคือการใช้โค้ด React และ React Router ที่ดูเหมือนของจริง ทำให้ยากต่อการตรวจจับ อีกทั้งยังพัฒนาอย่างรวดเร็วจากเวอร์ชัน stateless ไปสู่ stateful ที่สามารถเก็บข้อมูลผู้ใช้แม้รีเฟรชหน้าเว็บได้ ทำให้การโจมตีมีความต่อเนื่องและยากต่อการป้องกัน
https://securityonline.info/blackforce-phaas-weaponizes-react-and-stateful-sessions-to-bypass-mfa-steal-credentials

📌🔐🩷 รวมข่าวจากเวบ SecurityOnline 🔐🩷📌 #รวมข่าวIT #20251216 #securityonline 🛡️ วิกฤติช่องโหว่ FortiGate SSO ถูกโจมตีจริง ช่วงนี้ผู้ดูแลระบบ Fortinet ต้องเผชิญกับสถานการณ์ร้อนแรง เมื่อมีการเปิดเผยช่องโหว่ร้ายแรงสองรายการในระบบ FortiGate และเพียงไม่กี่วันหลังจากนั้นก็ถูกโจมตีจริงทันที แฮกเกอร์ใช้วิธีเจาะผ่านระบบ Single Sign-On (SSO) โดยส่งข้อความ SAML ที่ถูกปรับแต่ง ทำให้สามารถล็อกอินเป็นผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน เมื่อเข้ามาแล้วพวกเขาจะรีบขโมยการตั้งค่าระบบไฟร์วอลล์ออกไป ซึ่งข้อมูลเหล่านี้มักมีรหัสผ่านที่ถูกเข้ารหัสของผู้ใช้ VPN และบัญชีอื่น ๆ จุดอันตรายคือการตั้งค่า FortiCloud SSO ที่แม้จะถูกปิดไว้ในค่าเริ่มต้น แต่เมื่อผู้ดูแลลงทะเบียนอุปกรณ์ผ่าน GUI มันจะถูกเปิดใช้งานโดยอัตโนมัติหากไม่ได้ปิดเอง ทำให้หลายระบบเสี่ยงทันที นักวิจัยแนะนำให้รีบอัปเดตเวอร์ชันล่าสุดหรือปิดฟีเจอร์นี้ผ่าน CLI เพื่อป้องกันการโจมตี 🔗 https://securityonline.info/critical-fortigate-sso-flaw-under-active-exploitation-attackers-bypass-auth-and-exfiltrate-configs ⌚ Apple ยอม EU: iOS 26.3 ส่งต่อการแจ้งเตือนให้สมาร์ทวอชแบรนด์อื่น ใน iOS 26.3 เบต้า Apple เพิ่มฟีเจอร์ใหม่ชื่อ Notification Forwarding ที่ให้ iPhone ส่งต่อการแจ้งเตือนไปยังอุปกรณ์สวมใส่จากแบรนด์อื่นได้โดยตรง ไม่จำกัดแค่ Apple Watch อีกต่อไป ฟีเจอร์นี้เปิดใช้เฉพาะในสหภาพยุโรป เพื่อให้สอดคล้องกับกฎหมาย Digital Markets Act ที่บังคับให้ Apple เปิดโอกาสให้สมาร์ทวอชจากค่ายอื่นเข้าถึงฟังก์ชันที่เคยสงวนไว้ การเปลี่ยนแปลงนี้ช่วยให้ผู้ใช้เลือกได้ว่าจะให้แอปใดส่งการแจ้งเตือนออกไป และลดความเสี่ยงด้านความเป็นส่วนตัวที่เกิดจากการที่อุปกรณ์อื่นต้องเข้าถึงการแจ้งเตือนทั้งหมดแบบครอบคลุม ถือเป็นการปรับตัวครั้งสำคัญของ Apple เพื่อหลีกเลี่ยงบทลงโทษจาก EU 🔗 https://securityonline.info/eu-compliance-ios-26-3-adds-notification-forwarding-to-third-party-wearables-bypassing-apple-watch 💻 Windows 10 อัปเดต KB5071546 ทำ MSMQ ใช้งานไม่ได้ Microsoft ยืนยันแล้วว่าการติดตั้งอัปเดต KB5071546 บน Windows 10 ทำให้บริการ Microsoft Message Queuing (MSMQ) ล้มเหลว MSMQ เป็นระบบที่ใช้ในองค์กรเพื่อจัดการข้อความระหว่างแอปพลิเคชัน หากมันหยุดทำงาน งานเบื้องหลังที่ต้องพึ่งพาคิวข้อความก็จะหยุดตามทันที ส่งผลให้เว็บไซต์หรือแอปที่รันบน IIS ไม่สามารถทำงานได้ สาเหตุคือการเปลี่ยนแปลงสิทธิ์การเขียนไฟล์ในโฟลเดอร์จัดเก็บข้อความ ทำให้บัญชีที่ใช้ MSMQ ไม่มีสิทธิ์เพียงพอ แม้จะรีสตาร์ทหรือรีบูตเซิร์ฟเวอร์ก็ไม่ช่วยแก้ปัญหา ทางออกเดียวตอนนี้คือถอนการติดตั้งอัปเดตแล้วรอ Microsoft ปล่อยแพตช์แก้ไขในเดือนถัดไป 🔗 https://securityonline.info/enterprise-alert-windows-10-update-kb5071546-breaks-msmq-service-with-insufficient-permissions 🖥️ ช่องโหว่ ScreenConnect เสี่ยงติดตั้งส่วนขยายไม่ปลอดภัย ConnectWise ออกแพตช์ใหม่สำหรับ ScreenConnect หลังพบช่องโหว่ CVE-2025-14265 ที่มีความรุนแรงสูงถึง 9.1 ช่องโหว่นี้อาจทำให้ผู้ที่มีสิทธิ์ระดับผู้ดูแลเข้าถึงข้อมูลการตั้งค่าหรือบังคับติดตั้งส่วนขยายที่ไม่น่าเชื่อถือได้ แม้จะไม่ใช่การเปิดช่องให้โจมตีจากภายนอกโดยตรง แต่หากบัญชีผู้ดูแลถูกเจาะก็อันตรายทันที แพตช์เวอร์ชัน 25.8 ได้เพิ่มการตรวจสอบความถูกต้องของส่วนขยายและเสริมความปลอดภัยของเซิร์ฟเวอร์ สำหรับผู้ใช้ระบบคลาวด์ไม่ต้องทำอะไรเพราะถูกแก้ไขแล้ว แต่ผู้ที่ติดตั้งเองในองค์กรต้องรีบอัปเดตด้วยตนเอง 🔗 https://securityonline.info/critical-screenconnect-flaw-cvss-9-1-risks-config-exposure-untrusted-extension-installation ☸️ OpenShift GitOps ช่องโหว่ยกระดับสิทธิ์จนยึดคลัสเตอร์ได้ Red Hat OpenShift GitOps ถูกพบช่องโหว่ CVE-2025-13888 ที่ร้ายแรงมาก ผู้ใช้ที่มีสิทธิ์เพียงระดับ namespace admin สามารถใช้ ArgoCD Custom Resources เพื่อยกระดับสิทธิ์จนเข้าถึงทั้งคลัสเตอร์ได้ วิธีการคือการแก้ไขค่า sourceNamespaces ใน CR ให้ชี้ไปยัง namespace ที่มีสิทธิ์สูง เช่น default จากนั้นระบบจะสร้าง RoleBinding และ Role ที่เปิดทางให้ผู้โจมตีรันงานที่มีสิทธิ์สูงสุดบน master node ได้ทันที เท่ากับว่าสามารถยึดครองคลัสเตอร์ Kubernetes ได้โดยสมบูรณ์ ผู้ดูแลระบบควรรีบอัปเดตแพตช์ล่าสุดและจำกัดสิทธิ์การสร้าง ArgoCD CR ให้เฉพาะผู้ดูแลที่เชื่อถือได้ 🔗 https://securityonline.info/critical-openshift-gitops-flaw-risks-cluster-takeover-cve-2025-13888-via-privilege-escalation-to-root 🕵️‍♂️ Phantom Stealer โจมตีการเงินรัสเซียผ่านไฟล์ ISO เรื่องนี้เป็นการโจมตีที่ซับซ้อนมาก แฮกเกอร์ใช้วิธีส่งอีเมลปลอมที่ดูเหมือนเป็นการยืนยันการโอนเงินจากบริษัทการเงินจริงๆ เพื่อหลอกให้เจ้าหน้าที่ฝ่ายการเงินเปิดไฟล์แนบที่เป็นไฟล์ ISO เมื่อเปิดแล้วจะมีโปรแกรมแฝงที่ชื่อ Phantom Stealer ทำงานทันที มันสามารถขโมยข้อมูลได้หลายอย่าง ทั้งรหัสผ่านในเบราว์เซอร์ ข้อมูลบัตรเครดิต ข้อมูลกระเป๋าเงินดิจิทัล รวมถึงดักจับการพิมพ์คีย์บอร์ดทุกครั้งที่เหยื่อกด Phantom Stealer ยังมีระบบป้องกันตัวเองจากการตรวจสอบ ถ้ารู้ว่ากำลังถูกนักวิจัยจับตามันจะลบตัวเองทันที การโจมตีนี้ถือเป็นการเปลี่ยนกลยุทธ์ใหม่ที่ใช้ไฟล์ ISO เพื่อหลบเลี่ยงระบบป้องกัน ทำให้เสี่ยงต่อการสูญเสียข้อมูลทางการเงินอย่างมาก 🔗 https://securityonline.info/phantom-stealer-targets-russian-finance-with-iso-phishing-deploying-keyloggers-and-crypto-wallet-theft 📱 Frogblight มัลแวร์ Android ปลอมเป็นแอปภาครัฐในตุรกี มัลแวร์ตัวใหม่ชื่อ Frogblight ถูกค้นพบว่ากำลังแพร่ระบาดในตุรกี โดยมันปลอมตัวเป็นแอปพลิเคชันของรัฐบาลที่ใช้ดูข้อมูลคดีความ ผู้ใช้จะได้รับ SMS หลอกว่ามีคดีความและต้องดาวน์โหลดแอปเพื่อดูรายละเอียด เมื่อดาวน์โหลดมาแล้ว แอปจะขอสิทธิ์เข้าถึงข้อมูลหลายอย่าง เช่น SMS รายชื่อผู้ติดต่อ และไฟล์ในเครื่อง จากนั้นมันจะเปิดหน้าเว็บจริงของรัฐบาลเพื่อให้ผู้ใช้ตายใจ แต่เบื้องหลังมันจะดักข้อมูลการเข้าสู่ระบบธนาคารและส่งไปยังผู้โจมตี Frogblight ยังมีฟังก์ชันสอดแนมอื่นๆ เช่นเก็บข้อมูลแอปที่ติดตั้งและไฟล์ในเครื่อง นักวิจัยพบว่ามันถูกพัฒนาอย่างต่อเนื่องและอาจถูกนำไปใช้ในรูปแบบบริการให้เช่าแก่แฮกเกอร์รายอื่น ทำให้ภัยนี้มีโอกาสแพร่กระจายไปนอกตุรกีได้ในอนาคต 🔗 https://securityonline.info/frogblight-android-banking-trojan-targets-turkey-via-fake-e-gov-smishing-and-webview 💻 ช่องโหว่ macOS LPE กลับมาอีกครั้ง นักวิจัยด้านความปลอดภัยพบว่าช่องโหว่เก่าใน macOS ที่เคยรายงานตั้งแต่ปี 2018 ยังไม่ถูกแก้ไขอย่างสมบูรณ์ แม้ Apple จะพยายามอุดหลายครั้ง ช่องโหว่นี้เกี่ยวข้องกับการติดตั้งแอปที่ต้องใช้สิทธิ์ root โดยหากมีแอปปลอมถูกวางไว้ในโฟลเดอร์ Applications ก่อน แอปจริงจะถูกติดตั้งเข้าไปในโฟลเดอร์พิเศษชื่อ .localized ทำให้ระบบเข้าใจผิดและไปเรียกใช้แอปปลอมแทน ผลคือผู้โจมตีสามารถรันโค้ดในสิทธิ์ root ได้ทันที ถือเป็นการเจาะระบบที่อันตรายมาก นักวิจัยย้ำว่าปัญหานี้ยังคงอยู่และต้องการการแก้ไขที่จริงจังจาก Apple เพื่อป้องกันการโจมตีในอนาคต 🔗 https://securityonline.info/macos-lpe-flaw-resurfaces-localized-directory-exploited-to-hijack-installers-and-gain-root-access 🪙 มัลแวร์ NuGet แฝงตัว 5 ปี ขโมยกระเป๋าเงินคริปโต มีการค้นพบแพ็กเกจ NuGet ปลอมชื่อ Tracer.Fody.NLog ที่ถูกปล่อยให้ดาวน์โหลดตั้งแต่ปี 2020 และอยู่รอดมาได้กว่า 5 ปีโดยไม่ถูกตรวจจับ มันปลอมตัวเป็นเครื่องมือ .NET ที่ใช้บันทึก log แต่จริงๆ แล้วมีโค้ดแฝงที่ใช้เทคนิคพิเศษ เช่นการใช้ตัวอักษร Cyrillic ที่หน้าตาเหมือนตัวอักษร Latin เพื่อหลบการตรวจสอบ เมื่อถูกติดตั้ง มันจะค้นหาไฟล์กระเป๋าเงินดิจิทัล Stratis และขโมยรหัสผ่านไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยไม่ให้ผู้ใช้รู้ตัว การโจมตีนี้ถือเป็นการโจมตี supply chain ที่อันตรายมาก เพราะนักพัฒนาที่เชื่อใจแพ็กเกจโอเพนซอร์สอาจถูกดักข้อมูลโดยไม่รู้ตัว 🔗 https://securityonline.info/5-year-threat-malicious-nuget-package-used-homoglyphs-and-typosquatting-to-steal-crypto-wallets 🖥️ Intel เตรียมเข้าซื้อกิจการ SambaNova ในราคาลดฮวบ เรื่องนี้น่าสนใจมาก เพราะเดิมทีมีข่าวว่า Intel จะทุ่มเงินกว่า 5 พันล้านดอลลาร์เพื่อซื้อสตาร์ทอัพด้าน AI อย่าง SambaNova แต่ล่าสุดกลับมีรายงานว่ามูลค่าดีลจริงอาจเหลือเพียง 1.6 พันล้านดอลลาร์เท่านั้น ซึ่งถือว่าเป็นราคาที่ต่ำมากเมื่อเทียบกับการประเมินมูลค่าเดิมของบริษัทในปี 2021 ที่สูงกว่า 5 พันล้านดอลลาร์ สาเหตุหลักมาจากการแข่งขันที่รุนแรงในตลาดชิป AI ที่ NVIDIA ครองความเป็นใหญ่ SambaNova มีจุดแข็งด้านสถาปัตยกรรมที่เน้นการประมวลผลสำหรับโมเดลภาษาและการทำงานแบบครบวงจร ทั้งฮาร์ดแวร์ ซอฟต์แวร์ และบริการ ซึ่งอาจช่วย Intel เติมเต็มช่องว่างที่ยังขาดอยู่ แต่ความท้าทายใหญ่คือการผสานเทคโนโลยีนี้เข้ากับระบบของ Intel โดยไม่กระทบต่อผลิตภัณฑ์ Gaudi ที่มีอยู่แล้ว 🔗 https://securityonline.info/intel-nears-sambanova-acquisition-at-1-6b-fire-sale-price-down-from-5b-valuation 💾 Claude AI ทำพลาด ลบข้อมูลทั้งเครื่อง Mac ของนักพัฒนา นี่คือเหตุการณ์ที่ทำให้หลายคนต้องระวังการใช้เครื่องมือ AI มากขึ้น นักพัฒนารายหนึ่งใช้ Claude CLI เพื่อจัดการแพ็กเกจ แต่กลับเกิดความผิดพลาดจากคำสั่งที่มีเครื่องหมาย ~ ต่อท้าย ทำให้ระบบไปลบทั้งโฟลเดอร์ Home Directory ของเครื่อง Mac ผลคือข้อมูลสำคัญอย่าง Desktop, Documents, Downloads และ Keychains หายไปทั้งหมด เหตุการณ์นี้สะท้อนถึงความเสี่ยงของการให้ AI เข้าถึงระบบโดยตรง นักพัฒนาบางคนจึงเสนอให้ใช้ Docker เป็นตัวกลางเพื่อป้องกันไม่ให้ AI สามารถทำลายข้อมูลในเครื่องจริงได้ 🔗 https://securityonline.info/data-disaster-claude-ai-executes-rm-rf-and-wipes-developers-mac-home-directory 🚀 SpaceX เตรียม IPO ปี 2026 หลังมูลค่าพุ่งถึง 800 พันล้านดอลลาร์ SpaceX กำลังเดินหน้าสู่การเข้าตลาดหุ้น โดยมีการเริ่มคัดเลือกธนาคารเพื่อเป็นที่ปรึกษา IPO และมีการส่งบันทึกภายในยืนยันว่าบริษัทกำลังเตรียมความพร้อมสำหรับการเข้าจดทะเบียนในปี 2026 แม้ยังไม่มีการกำหนดวันแน่นอน แต่สิ่งที่น่าทึ่งคือมูลค่าของบริษัทที่พุ่งขึ้นอย่างรวดเร็ว โดยการขายหุ้นภายในล่าสุดตีมูลค่าถึง 800 พันล้านดอลลาร์ แรงหนุนสำคัญมาจากบริการอินเทอร์เน็ตดาวเทียม Starlink ที่เติบโตอย่างก้าวกระโดด และยังส่งผลให้ Alphabet ซึ่งเคยลงทุนใน SpaceX ได้กำไรอย่างมหาศาลอีกด้วย 🔗 https://securityonline.info/spacex-ipo-company-prepares-for-2026-listing-after-valuation-soars-to-800-billion 🔐 Salt Typhoon กลุ่มแฮ็กเกอร์จากการแข่งขัน Cisco สู่การเจาะระบบโทรคมนาคมโลก เรื่องนี้เหมือนนิยาย แต่เกิดขึ้นจริง นักวิจัยพบว่ากลุ่มแฮ็กเกอร์ชื่อ Salt Typhoon มีจุดเริ่มต้นจากนักศึกษาที่เคยแข่งขัน Cisco Network Academy Cup ก่อนจะนำความรู้ไปใช้ในการเจาะระบบโทรคมนาคมกว่า 80 บริษัททั่วโลก พวกเขาสามารถดักฟังทั้งสายโทรศัพท์และข้อความ รวมถึงเข้าถึงระบบที่ใช้สำหรับการดักฟังโดยกฎหมายเองด้วย เบื้องหลังคือสองบุคคลที่เคยเป็นคู่แข่งกันในสมัยเรียน แต่กลับร่วมมือกันสร้างเครือข่ายไซเบอร์ที่ทรงพลัง เหตุการณ์นี้สะท้อนให้เห็นถึงความเสี่ยงจากการถ่ายทอดเทคโนโลยีที่อาจถูกนำไปใช้ในทางร้ายได้ 🔗 https://securityonline.info/from-cisco-student-rivalry-to-global-hackers-salt-typhoon-breaches-80-telecos-for-intelligence 🎭 BlackForce เครื่องมือ Phishing-as-a-Service รุ่นใหม่ที่อันตราย BlackForce คือชุดเครื่องมือฟิชชิ่งที่ถูกขายใน Telegram ในราคาหลักร้อยยูโร แต่มีความสามารถสูงมาก มันสามารถหลอกขโมยรหัสผ่านและยังเจาะผ่านระบบยืนยันตัวตนหลายขั้นตอน (MFA) ได้ โดยใช้เทคนิค Man-in-the-Browser เพื่อดักจับรหัส OTP แบบเรียลไทม์ จุดที่ทำให้มันน่ากลัวคือการใช้โค้ด React และ React Router ที่ดูเหมือนของจริง ทำให้ยากต่อการตรวจจับ อีกทั้งยังพัฒนาอย่างรวดเร็วจากเวอร์ชัน stateless ไปสู่ stateful ที่สามารถเก็บข้อมูลผู้ใช้แม้รีเฟรชหน้าเว็บได้ ทำให้การโจมตีมีความต่อเนื่องและยากต่อการป้องกัน 🔗 https://securityonline.info/blackforce-phaas-weaponizes-react-and-stateful-sessions-to-bypass-mfa-steal-credentials

SECURITYONLINE.INFO

Critical FortiGate SSO Flaw Under Active Exploitation: Attackers Bypass Auth and Exfiltrate Configs
A critical FortiGate SSO flaw (CVSS 9.1) is under active exploitation, letting unauthenticated attackers bypass login via crafted SAML. The flaw is armed by default registration, risking config exfiltration. Patch immediately.

0 Comments 0 Shares 339 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-16 02:08:24 -

วิกฤติช่องโหว่ FortiGate SSO ถูกโจมตีจริง

เมื่อวันที่ 12 ธันวาคม 2025 มีรายงานว่าแฮกเกอร์เริ่มใช้ช่องโหว่ CVE-2025-59718 และ CVE-2025-59719 ซึ่งมีคะแนนความรุนแรงสูงถึง 9.1–9.8 เพื่อเจาะระบบ FortiGate และผลิตภัณฑ์อื่น ๆ ของ Fortinet ผ่านการปลอมแปลงข้อความ SAML ทำให้สามารถเข้าสู่ระบบในสิทธิ์ผู้ดูแลได้โดยไม่ต้องมีรหัสผ่านใด ๆ การโจมตีนี้ถูกยืนยันว่าเกิดขึ้นจริงและมีการขโมยการตั้งค่าระบบออกไป ซึ่งอาจรวมถึงข้อมูลบัญชี VPN และผู้ใช้ภายในองค์กร

สาเหตุและความเสี่ยงที่แท้จริง
แม้ Fortinet ระบุว่า FortiCloud SSO ถูกปิดเป็นค่าเริ่มต้น แต่เมื่อผู้ดูแลลงทะเบียนอุปกรณ์ผ่าน FortiCare ฟีเจอร์นี้จะถูกเปิดโดยอัตโนมัติหากไม่ได้ปิดสวิตช์ “Allow administrative login using FortiCloud SSO” ทำให้หลายองค์กรไม่รู้ตัวว่ากำลังเปิดช่องโหว่ไว้โดยตรง การโจมตีที่พบมีรูปแบบชัดเจนคือเจาะเข้าบัญชี admin แล้วดึงการตั้งค่าผ่าน GUI ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี

การแก้ไขและแพตช์ล่าสุด
Fortinet ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน เช่น FortiOS 7.6.4, 7.4.9, 7.2.12 และ 7.0.18 รวมถึง FortiProxy, FortiWeb และ FortiSwitchManager รุ่นใหม่ ผู้ดูแลระบบที่ไม่สามารถอัปเดตได้ทันทีสามารถใช้วิธีแก้ไขชั่วคราวโดยปิดการใช้งาน FortiCloud SSO ผ่าน CLI หรือ GUI เพื่อป้องกันการโจมตีเพิ่มเติม

มุมมองจากวงการไซเบอร์
นักวิจัยด้านความปลอดภัยเตือนว่า ช่องโหว่ลักษณะนี้เป็นตัวอย่างของการที่ “ฟีเจอร์สะดวก” กลายเป็น “ประตูหลัง” ให้ผู้โจมตีเข้าถึงระบบได้โดยตรง หากองค์กรไม่ตรวจสอบการตั้งค่าอย่างละเอียด การโจมตีที่เกิดขึ้นยังสะท้อนให้เห็นถึงความจำเป็นในการใช้ MFA (Multi-Factor Authentication) และการตรวจสอบ log อย่างต่อเนื่อง เพื่อป้องกันการเข้าถึงที่ผิดปกติ

สรุปประเด็นสำคัญ
ช่องโหว่ที่ถูกโจมตี
CVE-2025-59718 และ CVE-2025-59719 มีคะแนน CVSS สูงถึง 9.1–9.8
ใช้การปลอมแปลง SAML เพื่อข้ามการยืนยันตัวตน SSO

สาเหตุที่ฟีเจอร์เสี่ยง
FortiCloud SSO ถูกเปิดอัตโนมัติเมื่อสมัคร FortiCare หากไม่ปิดสวิตช์
ทำให้ผู้ดูแลหลายคนไม่รู้ว่ากำลังเปิดช่องโหว่ไว้

การแก้ไขและแพตช์
อัปเดตเป็น FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18
ปิด FortiCloud SSO ผ่าน CLI หากยังไม่สามารถอัปเดตได้

คำเตือนด้านความปลอดภัย
การตั้งค่า firewall ที่ถูกขโมยอาจมีข้อมูลบัญชี VPN และผู้ใช้ภายใน
หากไม่อัปเดตหรือปิดฟีเจอร์ทันที อาจถูกยึดสิทธิ์ผู้ดูแลและควบคุมระบบทั้งหมด

https://securityonline.info/critical-fortigate-sso-flaw-under-active-exploitation-attackers-bypass-auth-and-exfiltrate-configs/

🔐 วิกฤติช่องโหว่ FortiGate SSO ถูกโจมตีจริง เมื่อวันที่ 12 ธันวาคม 2025 มีรายงานว่าแฮกเกอร์เริ่มใช้ช่องโหว่ CVE-2025-59718 และ CVE-2025-59719 ซึ่งมีคะแนนความรุนแรงสูงถึง 9.1–9.8 เพื่อเจาะระบบ FortiGate และผลิตภัณฑ์อื่น ๆ ของ Fortinet ผ่านการปลอมแปลงข้อความ SAML ทำให้สามารถเข้าสู่ระบบในสิทธิ์ผู้ดูแลได้โดยไม่ต้องมีรหัสผ่านใด ๆ การโจมตีนี้ถูกยืนยันว่าเกิดขึ้นจริงและมีการขโมยการตั้งค่าระบบออกไป ซึ่งอาจรวมถึงข้อมูลบัญชี VPN และผู้ใช้ภายในองค์กร ⚙️ สาเหตุและความเสี่ยงที่แท้จริง แม้ Fortinet ระบุว่า FortiCloud SSO ถูกปิดเป็นค่าเริ่มต้น แต่เมื่อผู้ดูแลลงทะเบียนอุปกรณ์ผ่าน FortiCare ฟีเจอร์นี้จะถูกเปิดโดยอัตโนมัติหากไม่ได้ปิดสวิตช์ “Allow administrative login using FortiCloud SSO” ทำให้หลายองค์กรไม่รู้ตัวว่ากำลังเปิดช่องโหว่ไว้โดยตรง การโจมตีที่พบมีรูปแบบชัดเจนคือเจาะเข้าบัญชี admin แล้วดึงการตั้งค่าผ่าน GUI ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี 🛡️ การแก้ไขและแพตช์ล่าสุด Fortinet ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน เช่น FortiOS 7.6.4, 7.4.9, 7.2.12 และ 7.0.18 รวมถึง FortiProxy, FortiWeb และ FortiSwitchManager รุ่นใหม่ ผู้ดูแลระบบที่ไม่สามารถอัปเดตได้ทันทีสามารถใช้วิธีแก้ไขชั่วคราวโดยปิดการใช้งาน FortiCloud SSO ผ่าน CLI หรือ GUI เพื่อป้องกันการโจมตีเพิ่มเติม 🌍 มุมมองจากวงการไซเบอร์ นักวิจัยด้านความปลอดภัยเตือนว่า ช่องโหว่ลักษณะนี้เป็นตัวอย่างของการที่ “ฟีเจอร์สะดวก” กลายเป็น “ประตูหลัง” ให้ผู้โจมตีเข้าถึงระบบได้โดยตรง หากองค์กรไม่ตรวจสอบการตั้งค่าอย่างละเอียด การโจมตีที่เกิดขึ้นยังสะท้อนให้เห็นถึงความจำเป็นในการใช้ MFA (Multi-Factor Authentication) และการตรวจสอบ log อย่างต่อเนื่อง เพื่อป้องกันการเข้าถึงที่ผิดปกติ 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ที่ถูกโจมตี ➡️ CVE-2025-59718 และ CVE-2025-59719 มีคะแนน CVSS สูงถึง 9.1–9.8 ➡️ ใช้การปลอมแปลง SAML เพื่อข้ามการยืนยันตัวตน SSO ✅ สาเหตุที่ฟีเจอร์เสี่ยง ➡️ FortiCloud SSO ถูกเปิดอัตโนมัติเมื่อสมัคร FortiCare หากไม่ปิดสวิตช์ ➡️ ทำให้ผู้ดูแลหลายคนไม่รู้ว่ากำลังเปิดช่องโหว่ไว้ ✅ การแก้ไขและแพตช์ ➡️ อัปเดตเป็น FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18 ➡️ ปิด FortiCloud SSO ผ่าน CLI หากยังไม่สามารถอัปเดตได้ ‼️ คำเตือนด้านความปลอดภัย ⛔ การตั้งค่า firewall ที่ถูกขโมยอาจมีข้อมูลบัญชี VPN และผู้ใช้ภายใน ⛔ หากไม่อัปเดตหรือปิดฟีเจอร์ทันที อาจถูกยึดสิทธิ์ผู้ดูแลและควบคุมระบบทั้งหมด https://securityonline.info/critical-fortigate-sso-flaw-under-active-exploitation-attackers-bypass-auth-and-exfiltrate-configs/

SECURITYONLINE.INFO

Critical FortiGate SSO Flaw Under Active Exploitation: Attackers Bypass Auth and Exfiltrate Configs
A critical FortiGate SSO flaw (CVSS 9.1) is under active exploitation, letting unauthenticated attackers bypass login via crafted SAML. The flaw is armed by default registration, risking config exfiltration. Patch immediately.

0 Comments 0 Shares 135 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-15 02:32:33 -

ลำโพงผ้าแห่งอนาคตจากญี่ปุ่น

บริษัทสตาร์ทอัพ Sensia Technology ของญี่ปุ่นได้เปิดตัวลำโพงผ้า (Fabric Speaker Portable) ที่ใช้เทคโนโลยีอิเล็กทรอนิกส์แบบยืดหยุ่น ซึ่งพัฒนามาจากงานวิจัยของสถาบัน AIST ตั้งแต่ปี 2018 จุดเด่นคือสามารถกระจายเสียงได้ทั่วทั้งพื้นผิวผ้า ทำให้ลำโพงมีความบาง เบา และยืดหยุ่นกว่าลำโพงทั่วไป

กลไกการทำงาน
ลำโพงนี้ถูกทอขึ้นจากเส้นใยนำไฟฟ้าที่จัดเรียงในโครงสร้างคล้ายตัวเก็บประจุ (capacitor) เมื่อมีสัญญาณเสียงเข้ามา สนามไฟฟ้าจะทำให้เส้นใยสั่นสะเทือนและผลักอากาศจนเกิดเสียงออกมาทั่วทั้งผืนผ้า เทคโนโลยีนี้ต่างจากลำโพงซ่อนในหมอนหรือเบาะที่มักมี “ก้อนแข็ง” อยู่ภายใน เพราะ Fabric Speaker ไม่มีจุด lump ทำให้เสียงกระจายสม่ำเสมอ

การใช้งานที่หลากหลาย
Sensia Technology โปรโมตว่าลำโพงสามารถแขวนบนผนังเหมือนผ้าตกแต่ง หรือซ่อนใต้หมอนและผ้าห่มเพื่อฟังเพลงขณะพักผ่อน โดยมีโมดูลเล็ก ๆ ติดอยู่ที่ขอบผ้า ทำหน้าที่เป็นวงจรขับเคลื่อนพร้อมการเชื่อมต่อไร้สายและพลังงาน เสียงสูงสุดที่ทำได้คือประมาณ 68–71 dB ซึ่งใกล้เคียงกับเสียงเครื่องดูดฝุ่นหรือเครื่องซักผ้าที่กำลังหมุน

ข้อจำกัดและคำถาม
แม้เทคโนโลยีจะน่าตื่นเต้น แต่ยังไม่มีข้อมูลชัดเจนเรื่องคุณภาพเสียงระดับ “audiophile” หากนำไปใช้จริง เช่น การตอบสนองความถี่หรือความคมชัดของเสียง นอกจากนี้การใช้งานใต้หมอนหรือในพื้นที่ปิดอาจทำให้คุณภาพเสียงลดลง จึงยังต้องรอการทดสอบเพิ่มเติมก่อนจะยืนยันได้ว่าลำโพงผ้านี้เหมาะสำหรับนักฟังเพลงจริงจังหรือไม่

สรุปสาระสำคัญ
เทคโนโลยี Fabric Speaker
ใช้อิเล็กทรอนิกส์ยืดหยุ่นจากงานวิจัย AIST
กระจายเสียงทั่วทั้งพื้นผิวผ้า

การใช้งาน
แขวนบนผนังเหมือนผ้าตกแต่ง
ซ่อนใต้หมอนหรือผ้าห่มเพื่อฟังเพลง

คุณสมบัติ
เบา บาง ยืดหยุ่น
ระดับเสียงสูงสุด 68–71 dB

ข้อจำกัด
ยังไม่มีข้อมูลคุณภาพเสียงระดับสูง
การใช้งานในพื้นที่ปิดอาจลดคุณภาพเสียง

https://www.tomshardware.com/speakers/new-fabric-speakers-use-flexible-electronics-to-be-thin-light-and-flexible-aist-japans-latest-breakthrough-audiophile-ready-or-only-suitable-for-cloth-ears

🎶 ลำโพงผ้าแห่งอนาคตจากญี่ปุ่น บริษัทสตาร์ทอัพ Sensia Technology ของญี่ปุ่นได้เปิดตัวลำโพงผ้า (Fabric Speaker Portable) ที่ใช้เทคโนโลยีอิเล็กทรอนิกส์แบบยืดหยุ่น ซึ่งพัฒนามาจากงานวิจัยของสถาบัน AIST ตั้งแต่ปี 2018 จุดเด่นคือสามารถกระจายเสียงได้ทั่วทั้งพื้นผิวผ้า ทำให้ลำโพงมีความบาง เบา และยืดหยุ่นกว่าลำโพงทั่วไป 🧵 กลไกการทำงาน ลำโพงนี้ถูกทอขึ้นจากเส้นใยนำไฟฟ้าที่จัดเรียงในโครงสร้างคล้ายตัวเก็บประจุ (capacitor) เมื่อมีสัญญาณเสียงเข้ามา สนามไฟฟ้าจะทำให้เส้นใยสั่นสะเทือนและผลักอากาศจนเกิดเสียงออกมาทั่วทั้งผืนผ้า เทคโนโลยีนี้ต่างจากลำโพงซ่อนในหมอนหรือเบาะที่มักมี “ก้อนแข็ง” อยู่ภายใน เพราะ Fabric Speaker ไม่มีจุด lump ทำให้เสียงกระจายสม่ำเสมอ 🖼️ การใช้งานที่หลากหลาย Sensia Technology โปรโมตว่าลำโพงสามารถแขวนบนผนังเหมือนผ้าตกแต่ง หรือซ่อนใต้หมอนและผ้าห่มเพื่อฟังเพลงขณะพักผ่อน โดยมีโมดูลเล็ก ๆ ติดอยู่ที่ขอบผ้า ทำหน้าที่เป็นวงจรขับเคลื่อนพร้อมการเชื่อมต่อไร้สายและพลังงาน เสียงสูงสุดที่ทำได้คือประมาณ 68–71 dB ซึ่งใกล้เคียงกับเสียงเครื่องดูดฝุ่นหรือเครื่องซักผ้าที่กำลังหมุน ⚠️ ข้อจำกัดและคำถาม แม้เทคโนโลยีจะน่าตื่นเต้น แต่ยังไม่มีข้อมูลชัดเจนเรื่องคุณภาพเสียงระดับ “audiophile” หากนำไปใช้จริง เช่น การตอบสนองความถี่หรือความคมชัดของเสียง นอกจากนี้การใช้งานใต้หมอนหรือในพื้นที่ปิดอาจทำให้คุณภาพเสียงลดลง จึงยังต้องรอการทดสอบเพิ่มเติมก่อนจะยืนยันได้ว่าลำโพงผ้านี้เหมาะสำหรับนักฟังเพลงจริงจังหรือไม่ 📌 สรุปสาระสำคัญ ✅ เทคโนโลยี Fabric Speaker ➡️ ใช้อิเล็กทรอนิกส์ยืดหยุ่นจากงานวิจัย AIST ➡️ กระจายเสียงทั่วทั้งพื้นผิวผ้า ✅ การใช้งาน ➡️ แขวนบนผนังเหมือนผ้าตกแต่ง ➡️ ซ่อนใต้หมอนหรือผ้าห่มเพื่อฟังเพลง ✅ คุณสมบัติ ➡️ เบา บาง ยืดหยุ่น ➡️ ระดับเสียงสูงสุด 68–71 dB ‼️ ข้อจำกัด ⛔ ยังไม่มีข้อมูลคุณภาพเสียงระดับสูง ⛔ การใช้งานในพื้นที่ปิดอาจลดคุณภาพเสียง https://www.tomshardware.com/speakers/new-fabric-speakers-use-flexible-electronics-to-be-thin-light-and-flexible-aist-japans-latest-breakthrough-audiophile-ready-or-only-suitable-for-cloth-ears

WWW.TOMSHARDWARE.COM

New fabric speakers use flexible electronics to be thin, light, and flexible — AIST Japan's latest breakthrough; audiophile ready, or only suitable for cloth ears?
Audio is emitted across the entire fabric surface.

0 Comments 0 Shares 143 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-15 02:12:41 -

ไม่ใช่รถทุกคันที่มี Apple CarPlay จะมี Android Auto ด้วย

บทความนี้อธิบายว่าไม่ใช่รถทุกคันที่มี Apple CarPlay จะมี Android Auto ด้วย แม้ปัจจุบันหลายรุ่นจะรองรับทั้งสอง แต่ยังมีข้อยกเว้นจากบางแบรนด์และบางรุ่นที่เลือกไม่ใส่ Android Auto หรือแม้แต่เลิกใช้ระบบทั้งคู่

ประวัติการพัฒนา CarPlay และ Android Auto
Apple เปิดตัว CarPlay ในปี 2014 โดยเริ่มใช้ใน Kia Soul และ Ferrari FF ก่อนจะขยายไปยัง GM, Hyundai, Honda และ Volkswagen ในปี 2016 ส่วน Google เปิดตัว Android Auto ในปี 2015 โดยเริ่มจาก Hyundai และตามมาด้วย Chevrolet, GMC และ Honda ในปี 2016 แต่กว่าที่ Toyota จะรองรับ Android Auto ก็ต้องรอถึงปี 2018 และ BMW เพิ่งเพิ่มในปี 2020 ซึ่งช้ากว่า CarPlay หลายปี

รถรุ่นที่ยังไม่รองรับ Android Auto
แม้ปัจจุบันรถส่วนใหญ่จะมีทั้ง CarPlay และ Android Auto แต่ยังมีข้อยกเว้น เช่น:
Toyota GR Supra 2025 ใช้ระบบ infotainment ที่พัฒนาจาก BMW ซึ่งไม่รองรับ Android Auto
Rivian R1T และ Tesla เลือกใช้ระบบซอฟต์แวร์ภายใน ไม่รองรับทั้ง CarPlay และ Android Auto
Porsche 718 Cayman และ Macan รองรับเฉพาะ CarPlay ทำให้ผู้ใช้ Android ต้องใช้ Bluetooth หรือแอปพื้นฐานของรถ

แนวโน้มในอนาคต
แม้ปัจจุบันผู้ใช้คาดหวังว่ารถใหม่จะรองรับทั้งสองระบบ แต่บางค่ายเริ่มวางแผนเลิกใช้ เช่น General Motors (GM) ที่ประกาศจะยกเลิก CarPlay และ Android Auto เพื่อพัฒนาแพลตฟอร์มของตัวเองบน Android Automotive OS ซึ่งเป็นระบบที่ฝังอยู่ในรถโดยตรง ไม่ต้องพึ่งสมาร์ทโฟน

สรุปประเด็นสำคัญ
CarPlay และ Android Auto ไม่ได้มาคู่เสมอไป
CarPlay เปิดตัวก่อนและถูกนำไปใช้ในหลายแบรนด์เร็วกว่าของ Google
Android Auto เข้ามาช้ากว่า ทำให้บางรุ่นยังไม่รองรับ

รถรุ่นที่ยังไม่รองรับ Android Auto
Toyota GR Supra 2025
Rivian R1T และ Tesla
Porsche 718 Cayman และ Macan

แนวโน้มในอนาคต
GM เตรียมเลิกใช้ CarPlay และ Android Auto
หันไปใช้ Android Automotive OS ที่ฝังในรถ

คำเตือนสำหรับผู้ซื้อรถใหม่
อย่าคิดว่ารถที่มี CarPlay จะมี Android Auto เสมอ
ควรตรวจสอบสเปก infotainment ก่อนซื้อ โดยเฉพาะรุ่นย่อยหรือรถ fleet

https://www.slashgear.com/2049633/does-every-car-with-carplay-have-android-auto/

🧭 ไม่ใช่รถทุกคันที่มี Apple CarPlay จะมี Android Auto ด้วย บทความนี้อธิบายว่าไม่ใช่รถทุกคันที่มี Apple CarPlay จะมี Android Auto ด้วย แม้ปัจจุบันหลายรุ่นจะรองรับทั้งสอง แต่ยังมีข้อยกเว้นจากบางแบรนด์และบางรุ่นที่เลือกไม่ใส่ Android Auto หรือแม้แต่เลิกใช้ระบบทั้งคู่ 📱 ประวัติการพัฒนา CarPlay และ Android Auto Apple เปิดตัว CarPlay ในปี 2014 โดยเริ่มใช้ใน Kia Soul และ Ferrari FF ก่อนจะขยายไปยัง GM, Hyundai, Honda และ Volkswagen ในปี 2016 ส่วน Google เปิดตัว Android Auto ในปี 2015 โดยเริ่มจาก Hyundai และตามมาด้วย Chevrolet, GMC และ Honda ในปี 2016 แต่กว่าที่ Toyota จะรองรับ Android Auto ก็ต้องรอถึงปี 2018 และ BMW เพิ่งเพิ่มในปี 2020 ซึ่งช้ากว่า CarPlay หลายปี 🚙 รถรุ่นที่ยังไม่รองรับ Android Auto แม้ปัจจุบันรถส่วนใหญ่จะมีทั้ง CarPlay และ Android Auto แต่ยังมีข้อยกเว้น เช่น: 💠 Toyota GR Supra 2025 ใช้ระบบ infotainment ที่พัฒนาจาก BMW ซึ่งไม่รองรับ Android Auto 💠 Rivian R1T และ Tesla เลือกใช้ระบบซอฟต์แวร์ภายใน ไม่รองรับทั้ง CarPlay และ Android Auto 💠 Porsche 718 Cayman และ Macan รองรับเฉพาะ CarPlay ทำให้ผู้ใช้ Android ต้องใช้ Bluetooth หรือแอปพื้นฐานของรถ 🛠️ แนวโน้มในอนาคต แม้ปัจจุบันผู้ใช้คาดหวังว่ารถใหม่จะรองรับทั้งสองระบบ แต่บางค่ายเริ่มวางแผนเลิกใช้ เช่น General Motors (GM) ที่ประกาศจะยกเลิก CarPlay และ Android Auto เพื่อพัฒนาแพลตฟอร์มของตัวเองบน Android Automotive OS ซึ่งเป็นระบบที่ฝังอยู่ในรถโดยตรง ไม่ต้องพึ่งสมาร์ทโฟน 📌 สรุปประเด็นสำคัญ ✅ CarPlay และ Android Auto ไม่ได้มาคู่เสมอไป ➡️ CarPlay เปิดตัวก่อนและถูกนำไปใช้ในหลายแบรนด์เร็วกว่าของ Google ➡️ Android Auto เข้ามาช้ากว่า ทำให้บางรุ่นยังไม่รองรับ ✅ รถรุ่นที่ยังไม่รองรับ Android Auto ➡️ Toyota GR Supra 2025 ➡️ Rivian R1T และ Tesla ➡️ Porsche 718 Cayman และ Macan ✅ แนวโน้มในอนาคต ➡️ GM เตรียมเลิกใช้ CarPlay และ Android Auto ➡️ หันไปใช้ Android Automotive OS ที่ฝังในรถ ‼️ คำเตือนสำหรับผู้ซื้อรถใหม่ ⛔ อย่าคิดว่ารถที่มี CarPlay จะมี Android Auto เสมอ ⛔ ควรตรวจสอบสเปก infotainment ก่อนซื้อ โดยเฉพาะรุ่นย่อยหรือรถ fleet https://www.slashgear.com/2049633/does-every-car-with-carplay-have-android-auto/

WWW.SLASHGEAR.COM

Does Every Car With Apple CarPlay Also Have Android Auto? - SlashGear
Apple CarPlay and Android Auto now dominate the infotainment screens of cars around the world, but do cars ever feature one over the other today?

0 Comments 0 Shares 144 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม
2025-12-11 06:51:30 -

รวมข่าวจากเวบ SecurityOnline

#รวมข่าวIT #20251211 #securityonline

Makop Ransomware กลับมาอีกครั้งพร้อมกลยุทธ์ใหม่
ภัยคุกคามที่เคยคุ้นชื่อ Makop ransomware ได้พัฒนาวิธีการโจมตีให้ซับซ้อนขึ้น แม้จะยังใช้ช่องโหว่เดิมคือการเจาะผ่านพอร์ต RDP ที่ไม่ได้ป้องกัน แต่ครั้งนี้พวกเขาเสริมเครื่องมืออย่าง GuLoader เพื่อดาวน์โหลดมัลแวร์เพิ่มเติม และยังใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อฆ่าโปรแกรมป้องกันไวรัสในระดับ kernel ได้โดยตรง การโจมตีส่วนใหญ่พุ่งเป้าไปที่องค์กรในอินเดีย แต่ก็พบในหลายประเทศอื่นด้วย จุดสำคัญคือ แม้จะเป็นการโจมตีที่ดู “ง่าย” แต่ผลลัพธ์กลับสร้างความเสียหายรุนแรงต่อองค์กรที่ละเลยการอัปเดตและการตั้งค่าความปลอดภัย
https://securityonline.info/makop-ransomware-evolves-guloader-and-byovd-edr-killers-used-to-attack-rdp-exposed-networks

DeadLock Ransomware ใช้ช่องโหว่ไดรเวอร์ Baidu เจาะระบบ
กลุ่มอาชญากรไซเบอร์ที่หวังผลทางการเงินได้ปล่อยแรนซัมแวร์ชื่อ DeadLock โดยใช้เทคนิค BYOVD เช่นกัน คราวนี้พวกเขาอาศัยไดรเวอร์จาก Baidu Antivirus ที่มีช่องโหว่ ทำให้สามารถสั่งงานในระดับ kernel และปิดการทำงานของโปรแกรมป้องกันได้ทันที หลังจากนั้นยังใช้ PowerShell script ปิดบริการสำคัญ เช่น SQL Server และลบ shadow copies เพื่อกันไม่ให้เหยื่อกู้คืนข้อมูลได้ ตัวแรนซัมแวร์ถูกเขียนขึ้นใหม่ด้วย C++ และใช้วิธีเข้ารหัสเฉพาะที่ไม่เหมือนใคร ที่น่าสนใจคือพวกเขาไม่ใช้วิธี “double extortion” แต่ให้เหยื่อติดต่อผ่านแอป Session เพื่อเจรจาจ่ายค่าไถ่เป็น Bitcoin หรือ Monero
https://securityonline.info/deadlock-ransomware-deploys-byovd-edr-killer-by-exploiting-baidu-driver-for-kernel-level-defense-bypass

ช่องโหว่ร้ายแรงใน PCIe 6.0 เสี่ยงข้อมูลเสียหาย
มาตรฐาน PCIe 6.0 ที่ใช้ในการส่งข้อมูลความเร็วสูงถูกพบว่ามีช่องโหว่ในกลไก IDE (Integrity and Data Encryption) ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงฮาร์ดแวร์สามารถฉีดข้อมูลที่ผิดพลาดหรือเก่าเข้ามาในระบบได้ ช่องโหว่นี้ถูกระบุเป็น CVE-2025-9612, 9613 และ 9614 แม้จะไม่สามารถโจมตีจากระยะไกล แต่ก็เป็นภัยใหญ่สำหรับศูนย์ข้อมูลหรือระบบที่ต้องการความปลอดภัยสูง ตอนนี้ PCI-SIG ได้ออก Draft Engineering Change Notice เพื่อแก้ไข และแนะนำให้ผู้ผลิตอัปเดตเฟิร์มแวร์เพื่อปิดช่องโหว่เหล่านี้โดยเร็ว
https://securityonline.info/critical-pcie-6-0-flaws-risk-secure-data-integrity-via-stale-data-injection-in-ide-mechanism

EtherRAT Malware ใช้บล็อกเชน Ethereum ซ่อนร่องรอย
หลังจากเกิดช่องโหว่ React2Shell เพียงไม่กี่วัน นักวิจัยพบมัลแวร์ใหม่ชื่อ EtherRAT ที่ใช้บล็อกเชน Ethereum เป็นช่องทางสื่อสารกับผู้ควบคุม โดยอาศัย smart contracts เพื่อรับคำสั่ง ทำให้แทบไม่สามารถปิดกั้นได้ เพราะเครือข่าย Ethereum เป็นระบบกระจายศูนย์ นอกจากนี้ EtherRAT ยังมีความคล้ายคลึงกับเครื่องมือที่เคยใช้โดยกลุ่ม Lazarus ของเกาหลีเหนือ และถูกออกแบบให้ฝังตัวแน่นหนาในระบบ Linux ด้วยหลายวิธีการ persistence พร้อมทั้งดาวน์โหลด runtime ของ Node.js เองเพื่อกลมกลืนกับการทำงานปกติ ถือเป็นการยกระดับการโจมตีจากช่องโหว่ React2Shell ไปสู่ระดับ APT ที่อันตรายยิ่งขึ้น
https://securityonline.info/etherrat-malware-hijacks-ethereum-blockchain-for-covert-c2-after-react2shell-exploit

Slack CEO ย้ายไปร่วมทีม OpenAI เป็น CRO
OpenAI กำลังเร่งหาทางสร้างรายได้เพื่อรองรับค่าใช้จ่ายมหาศาลในการประมวลผล AI ล่าสุดได้ดึง Denise Dresser ซีอีโอของ Slack เข้ามารับตำแหน่ง Chief Revenue Officer (CRO) เพื่อดูแลกลยุทธ์รายได้และการขยายตลาดองค์กร การเข้ามาของเธอสะท้อนให้เห็นว่า OpenAI กำลังใช้แนวทางแบบ Silicon Valley อย่างเต็มรูปแบบ ทั้งการขยายฐานผู้ใช้และการหาช่องทางทำเงิน ไม่ว่าจะเป็นการขาย subscription หรือแม้กระทั่งโฆษณาใน ChatGPT อย่างไรก็ตาม ความท้าทายใหญ่คือการทำให้รายได้เติบโตทันกับค่าใช้จ่ายที่สูงลิ่วจากการสร้างและดูแลโครงสร้างพื้นฐาน AI
https://securityonline.info/slack-ceo-denise-dresser-joins-openai-as-cro-to-solve-the-profitability-puzzle

Jenkins เจอช่องโหว่ร้ายแรง เสี่ยงถูกโจมตี DoS และ XSS
ทีมพัฒนา Jenkins ออกประกาศเตือนครั้งใหญ่ หลังพบช่องโหว่หลายรายการที่อาจทำให้ระบบ CI/CD ถูกโจมตีจนหยุดทำงาน หรือโดนฝังสคริปต์อันตราย (XSS) โดยเฉพาะช่องโหว่ CVE-2025-67635 ที่เปิดโอกาสให้แฮกเกอร์ส่งคำสั่งผ่าน HTTP CLI โดยไม่ต้องล็อกอิน ทำให้เซิร์ฟเวอร์ทรัพยากรถูกใช้จนล่ม อีกช่องโหว่ CVE-2025-67641 ใน Coverage Plugin ก็เปิดทางให้ผู้โจมตีฝังโค้ด JavaScript ลงในรายงาน เมื่อผู้ดูแลเปิดดู รายงานนั้นจะรันสคริปต์ทันที เสี่ยงต่อการถูกขโมย session และข้อมูลสำคัญ แม้จะมีการอัปเดตแก้ไขหลายจุด เช่น การเข้ารหัส token และการปิดช่องโหว่การเห็นรหัสผ่าน แต่ยังมีบางปลั๊กอินที่ยังไม่มีแพตช์ออกมา ทำให้ผู้ดูแลระบบต้องรีบอัปเดต Jenkins และปลั๊กอินที่เกี่ยวข้องเพื่อป้องกันความเสียหาย
https://securityonline.info/high-severity-jenkins-flaws-risk-unauthenticated-dos-via-http-cli-and-xss-via-coverage-reports

Gogs Zero-Day โดนเจาะกว่า 700 เซิร์ฟเวอร์ ผ่าน Symlink Path Traversal
นักวิจัยจาก Wiz พบช่องโหว่ใหม่ใน Gogs (CVE-2025-8110) ที่เปิดทางให้ผู้โจมตีสามารถเขียนไฟล์อันตรายลงในระบบได้ง่าย ๆ ผ่านการใช้ symlink โดยช่องโหว่นี้เป็นการเลี่ยงแพตช์เก่าที่เคยแก้ไขไปแล้ว ทำให้กว่า 700 เซิร์ฟเวอร์จาก 1,400 ที่ตรวจสอบถูกเจาะสำเร็จ การโจมตีมีลักษณะเป็นแคมเปญ “smash-and-grab” คือเข้ามาเร็ว ใช้ symlink เขียนทับไฟล์สำคัญ เช่น .git/config แล้วรันคำสั่งอันตราย จากนั้นติดตั้ง payload ที่ใช้ Supershell เพื่อควบคุมเครื่องจากระยะไกล ปัจจุบันยังไม่มีแพตช์ออกมา ผู้ดูแลระบบจึงถูกแนะนำให้ปิดการสมัครสมาชิกสาธารณะ และจำกัดการเข้าถึงระบบทันที
https://securityonline.info/gogs-zero-day-cve-2025-8110-risks-rce-for-700-servers-via-symlink-path-traversal-bypass

GitLab พบช่องโหว่ XSS เสี่ยงโดนขโมย session ผ่าน Wiki
GitLab ออกอัปเดตด่วนเพื่อแก้ไขช่องโหว่ CVE-2025-12716 ที่มีความรุนแรงสูง (CVSS 8.7) โดยช่องโหว่นี้เกิดขึ้นในฟีเจอร์ Wiki ที่ผู้ใช้สามารถสร้างเพจได้ หากมีการฝังโค้ดอันตรายลงไป เมื่อผู้ใช้รายอื่นเปิดดู เพจนั้นจะรันคำสั่งแทนผู้ใช้โดยอัตโนมัติ เสี่ยงต่อการถูกยึด session และสั่งงานแทนเจ้าของบัญชี นอกจากนี้ยังมีช่องโหว่อื่น ๆ เช่น การ inject HTML ในรายงานช่องโหว่ และการเปิดเผยข้อมูลโครงการที่ควรเป็น private ผ่าน error message และ GraphQL query GitLab.com และ GitLab Dedicated ได้รับการแก้ไขแล้ว แต่ผู้ที่ใช้ self-managed instance ต้องรีบอัปเดตเวอร์ชัน 18.6.2, 18.5.4 หรือ 18.4.6 เพื่อปิดช่องโหว่เหล่านี้
https://securityonline.info/high-severity-gitlab-xss-flaw-cve-2025-12716-risks-session-hijack-via-malicious-wiki-pages

Facebook ปรับโฉมใหม่ แต่ Instagram ใช้ AI ดึง SEO
มีรายงานว่า Facebook ได้ปรับโฉมหน้าตาใหม่ แต่สิ่งที่น่าสนใจคือ Instagram ถูกเปิดโปงว่าใช้ AI เพื่อสร้างคอนเทนต์ที่ดึง SEO ให้ติดอันดับการค้นหา คล้ายกับการทำ content farm โดยไม่ได้บอกผู้ใช้ตรง ๆ เรื่องนี้จึงถูกตั้งคำถามถึงความโปร่งใสและจริยธรรมของ Meta ที่อาจใช้ AI เพื่อผลักดันการเข้าถึงโดยไม่เปิดเผยต่อสาธารณะ
https://securityonline.info/facebook-gets-new-look-but-instagram-secretly-uses-ai-for-seo-bait

SpaceX เตรียม IPO มูลค่าเป้าหมายทะลุ 1.5 ล้านล้านดอลลาร์
SpaceX กำลังเดินหน้าแผน IPO ครั้งใหญ่ที่สุดในประวัติศาสตร์ โดยตั้งเป้าระดมทุนกว่า 30 พันล้านดอลลาร์ ซึ่งจะทำลายสถิติของ Saudi Aramco ที่เคยทำไว้ในปี 2019 ที่ 29 พันล้านดอลลาร์ สิ่งที่ทำให้ตลาดตะลึงคือการตั้งเป้ามูลค่าบริษัทไว้สูงถึง 1.5 ล้านล้านดอลลาร์ แม้รายได้ของ SpaceX ในปี 2025 จะอยู่ที่ประมาณ 15.5 พันล้านดอลลาร์ ซึ่งน้อยกว่า Tesla ถึง 6 เท่า แต่ความคาดหวังอยู่ที่อนาคตของ Starlink และ Starship รวมถึงแผนสร้างศูนย์ข้อมูลในอวกาศเพื่อรองรับ AI และการสื่อสารผ่านดาวเทียม Musk เชื่อว่าการรวมพลังของ Starlink และ Starship จะขยายตลาดได้มหาศาล และนี่อาจเป็นก้าวสำคัญที่สุดของ SpaceX
https://securityonline.info/spacex-ipo-targeting-a-1-5-trillion-valuation-to-fund-space-data-centers

จีนเปิดปฏิบัติการไซเบอร์ WARP PANDA ใช้ BRICKSTORM เจาะ VMware และ Azure
มีการเปิดโปงแคมเปญจารกรรมไซเบอร์ครั้งใหญ่ที่ดำเนินการโดยกลุ่มแฮกเกอร์จากจีนชื่อ WARP PANDA พวกเขาไม่ได้โจมตีแบบธรรมดา แต่เลือกเจาะเข้าไปในโครงสร้างพื้นฐาน IT ที่สำคัญอย่าง VMware vCenter และ ESXi รวมถึงระบบคลาวด์ Microsoft Azure จุดเด่นคือการใช้เครื่องมือที่สร้างขึ้นเองชื่อ BRICKSTORM ซึ่งเป็น backdoor ที่แฝงตัวเหมือนโปรเซสของระบบ ทำให้ยากต่อการตรวจจับ นอกจากนี้ยังมีเครื่องมือเสริมอย่าง Junction และ GuestConduit ที่ช่วยควบคุมการสื่อสารในระบบเสมือนจริงได้อย่างแนบเนียน สิ่งที่น่ากังวลคือพวกเขาสามารถอยู่ในระบบได้นานเป็นปีโดยไม่ถูกพบ และยังขยายการโจมตีไปสู่บริการ Microsoft 365 เพื่อขโมยข้อมูลสำคัญ การกระทำเหล่านี้สะท้อนให้เห็นถึงแรงจูงใจเชิงรัฐมากกว่าการเงิน เพราะเป้าหมายคือข้อมูลที่เกี่ยวข้องกับผลประโยชน์ของรัฐบาลจีน
https://securityonline.info/chinas-warp-panda-apt-deploys-brickstorm-backdoor-to-hijack-vmware-vcenter-esxi-and-azure-cloud

ช่องโหว่ร้ายแรง TOTOLINK AX1800 เปิดทางให้แฮกเกอร์เข้าถึง root โดยไม่ต้องล็อกอิน
มีการค้นพบช่องโหว่ในเราเตอร์ TOTOLINK AX1800 ที่ใช้กันแพร่หลายในบ้านและธุรกิจขนาดเล็ก ช่องโหว่นี้ทำให้ผู้โจมตีสามารถส่งคำสั่ง HTTP เพียงครั้งเดียวเพื่อเปิดบริการ Telnet โดยไม่ต้องผ่านการยืนยันตัวตน เมื่อ Telnet ถูกเปิดแล้ว แฮกเกอร์สามารถเข้าถึงสิทธิ์ระดับ root และควบคุมอุปกรณ์ได้เต็มรูปแบบ ผลกระทบคือสามารถดักจับข้อมูล เปลี่ยนเส้นทาง DNS หรือใช้เป็นฐานโจมตีอุปกรณ์อื่นในเครือข่ายได้ ที่น่ากังวลคือยังไม่มีแพตช์แก้ไขจากผู้ผลิต ทำให้ผู้ใช้ต้องป้องกันตัวเองด้วยการปิดการเข้าถึงจาก WAN และตรวจสอบการเปิดใช้งาน Telnet อย่างเข้มงวด
https://securityonline.info/unpatched-totolink-ax1800-router-flaw-allows-unauthenticated-telnet-root-rce

FBI และ CISA เตือนกลุ่มแฮกเกอร์สายโปรรัสเซียโจมตีโครงสร้างพื้นฐานผ่าน VNC ที่ไม่ปลอดภัย
หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ รวมถึง FBI และ CISA ออกคำเตือนว่ากลุ่มแฮกเกอร์ที่สนับสนุนรัสเซียกำลังโจมตีโครงสร้างพื้นฐานสำคัญ เช่น ระบบน้ำ พลังงาน และอาหาร โดยใช้วิธีง่าย ๆ คือค้นหา Human-Machine Interfaces (HMI) ที่เชื่อมต่อผ่าน VNC แต่ไม่ได้ตั้งรหัสผ่านที่แข็งแรง เมื่อเข้าถึงได้ พวกเขาจะปรับเปลี่ยนค่าการทำงาน เช่น ความเร็วปั๊ม หรือปิดระบบแจ้งเตือน ทำให้ผู้ควบคุมไม่เห็นภาพจริงของโรงงาน กลุ่มที่ถูกระบุมีทั้ง Cyber Army of Russia Reborn, NoName057(16), Z-Pentest และ Sector16 ซึ่งมีความเชื่อมโยงกับรัฐรัสเซีย แม้จะไม่ซับซ้อน แต่การโจมตีแบบนี้สร้างความเสียหายได้จริงและยากต่อการคาดเดา
https://securityonline.info/fbi-cisa-warn-pro-russia-hacktivists-target-critical-infrastructure-via-unsecured-vnc-hmis

ช่องโหว่ร้ายแรงใน CCTV (CVE-2025-13607) เสี่ยงถูกแฮกดูภาพสดและขโมยรหัสผ่าน
CISA ออกประกาศเตือนเกี่ยวกับช่องโหว่ในกล้องวงจรปิดที่เชื่อมต่อเครือข่าย โดยเฉพาะรุ่น D-Link DCS-F5614-L1 ที่เปิดช่องให้ผู้โจมตีเข้าถึงการตั้งค่าและข้อมูลบัญชีได้โดยไม่ต้องยืนยันตัวตน ผลคือสามารถดูภาพสดจากกล้องและขโมยรหัสผ่านผู้ดูแลเพื่อเจาะลึกเข้าไปในระบบต่อไปได้ ช่องโหว่นี้มีคะแนนความรุนแรงสูงถึง 9.4 และแม้ D-Link จะออกเฟิร์มแวร์แก้ไขแล้ว แต่ผู้ใช้แบรนด์อื่นอย่าง Securus และ Sparsh ยังไม่ได้รับการตอบสนอง ทำให้ผู้ใช้ต้องรีบตรวจสอบและติดต่อผู้ผลิตเองเพื่อความปลอดภัย
https://securityonline.info/critical-cctv-flaw-cve-2025-13607-risks-video-feed-hijack-credential-theft-via-missing-authentication

ข่าวด่วน: Google ออกแพตช์ฉุกเฉินแก้ช่องโหว่ Zero-Day บน Chrome
เรื่องนี้เป็นการอัปเดตที่สำคัญมากของ Google Chrome เพราะมีการค้นพบช่องโหว่ร้ายแรงที่ถูกโจมตีจริงแล้วในโลกออนไลน์ Google จึงรีบปล่อยเวอร์ชันใหม่ 143.0.7499.109/.110 เพื่ออุดช่องโหว่ โดยช่องโหว่นี้ถูกระบุว่าเป็น “Under coordination” ซึ่งหมายถึงยังอยู่ระหว่างการทำงานร่วมกับผู้พัฒนาซอฟต์แวร์อื่น ๆ ทำให้รายละเอียดเชิงเทคนิคยังไม่ถูกเปิดเผย แต่ที่แน่ ๆ คือมีผู้ไม่หวังดีนำไปใช้โจมตีแล้ว นอกจากนี้ยังมีการแก้ไขช่องโหว่ระดับกลางอีกสองรายการ ได้แก่ปัญหาใน Password Manager และ Toolbar ที่นักวิจัยภายนอกรายงานเข้ามา พร้อมได้รับรางวัลบั๊กบาวน์ตี้รวม 4,000 ดอลลาร์ เรื่องนี้จึงเป็นการเตือนผู้ใช้ทุกคนให้รีบตรวจสอบและอัปเดต Chrome ด้วยตนเองทันที ไม่ควรรอการอัปเดตอัตโนมัติ เพราะความเสี่ยงกำลังเกิดขึ้นจริงแล้ว
https://securityonline.info/emergency-chrome-update-google-patches-new-zero-day-under-active-attack

นวัตกรรมใหม่: สถาปัตยกรรม AI ของ Google แรงกว่า GPT-4 ในด้านความจำ
Google เปิดตัวสถาปัตยกรรมใหม่ชื่อ Titans และกรอบแนวคิด MIRAS ที่ออกแบบมาเพื่อแก้ปัญหาการจำข้อมูลระยะยาวของโมเดล AI แบบเดิม ๆ จุดเด่นคือสามารถ “อ่านไป จำไป” ได้เหมือนสมองมนุษย์ โดยใช้โมดูลความจำระยะยาวที่ทำงานคล้ายการแยกความจำสั้นและยาวในสมองจริง ๆ สิ่งที่น่าสนใจที่สุดคือ “surprise metric” กลไกที่เลือกจำเฉพาะข้อมูลที่แปลกใหม่หรือไม่คาดคิด เช่นเดียวกับที่มนุษย์มักจำเหตุการณ์ที่ไม่ธรรมดาได้ชัดเจน ผลลัพธ์คือโมเดลนี้สามารถจัดการข้อมูลยาวมหาศาลได้ถึงสองล้านโทเคน และยังทำงานได้ดีกว่า GPT-4 แม้จะมีพารามิเตอร์น้อยกว่า นอกจากนี้ MIRAS ยังเปิดทางให้สร้างโมเดลใหม่ ๆ ที่มีความสามารถเฉพาะด้าน เช่นการทนต่อสัญญาณรบกวนหรือการรักษาความจำระยะยาวอย่างมั่นคง การทดสอบกับชุดข้อมูล BABILong แสดงให้เห็นว่า Titans มีศักยภาพเหนือกว่าโมเดลชั้นนำอื่น ๆ ในการดึงข้อมูลที่กระจายอยู่ในเอกสารขนาดใหญ่ ทำให้อนาคตของ AI ในการทำความเข้าใจทั้งเอกสารหรือแม้แต่ข้อมูลทางพันธุกรรมดูสดใสและทรงพลังมากขึ้น
https://securityonline.info/the-surprise-metric-googles-new-ai-architecture-outperforms-gpt-4-in-memory

📌🔐🟠 รวมข่าวจากเวบ SecurityOnline 🟠🔐📌 #รวมข่าวIT #20251211 #securityonline 🛡️ Makop Ransomware กลับมาอีกครั้งพร้อมกลยุทธ์ใหม่ ภัยคุกคามที่เคยคุ้นชื่อ Makop ransomware ได้พัฒนาวิธีการโจมตีให้ซับซ้อนขึ้น แม้จะยังใช้ช่องโหว่เดิมคือการเจาะผ่านพอร์ต RDP ที่ไม่ได้ป้องกัน แต่ครั้งนี้พวกเขาเสริมเครื่องมืออย่าง GuLoader เพื่อดาวน์โหลดมัลแวร์เพิ่มเติม และยังใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อฆ่าโปรแกรมป้องกันไวรัสในระดับ kernel ได้โดยตรง การโจมตีส่วนใหญ่พุ่งเป้าไปที่องค์กรในอินเดีย แต่ก็พบในหลายประเทศอื่นด้วย จุดสำคัญคือ แม้จะเป็นการโจมตีที่ดู “ง่าย” แต่ผลลัพธ์กลับสร้างความเสียหายรุนแรงต่อองค์กรที่ละเลยการอัปเดตและการตั้งค่าความปลอดภัย 🔗 https://securityonline.info/makop-ransomware-evolves-guloader-and-byovd-edr-killers-used-to-attack-rdp-exposed-networks 💻 DeadLock Ransomware ใช้ช่องโหว่ไดรเวอร์ Baidu เจาะระบบ กลุ่มอาชญากรไซเบอร์ที่หวังผลทางการเงินได้ปล่อยแรนซัมแวร์ชื่อ DeadLock โดยใช้เทคนิค BYOVD เช่นกัน คราวนี้พวกเขาอาศัยไดรเวอร์จาก Baidu Antivirus ที่มีช่องโหว่ ทำให้สามารถสั่งงานในระดับ kernel และปิดการทำงานของโปรแกรมป้องกันได้ทันที หลังจากนั้นยังใช้ PowerShell script ปิดบริการสำคัญ เช่น SQL Server และลบ shadow copies เพื่อกันไม่ให้เหยื่อกู้คืนข้อมูลได้ ตัวแรนซัมแวร์ถูกเขียนขึ้นใหม่ด้วย C++ และใช้วิธีเข้ารหัสเฉพาะที่ไม่เหมือนใคร ที่น่าสนใจคือพวกเขาไม่ใช้วิธี “double extortion” แต่ให้เหยื่อติดต่อผ่านแอป Session เพื่อเจรจาจ่ายค่าไถ่เป็น Bitcoin หรือ Monero 🔗 https://securityonline.info/deadlock-ransomware-deploys-byovd-edr-killer-by-exploiting-baidu-driver-for-kernel-level-defense-bypass ⚙️ ช่องโหว่ร้ายแรงใน PCIe 6.0 เสี่ยงข้อมูลเสียหาย มาตรฐาน PCIe 6.0 ที่ใช้ในการส่งข้อมูลความเร็วสูงถูกพบว่ามีช่องโหว่ในกลไก IDE (Integrity and Data Encryption) ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงฮาร์ดแวร์สามารถฉีดข้อมูลที่ผิดพลาดหรือเก่าเข้ามาในระบบได้ ช่องโหว่นี้ถูกระบุเป็น CVE-2025-9612, 9613 และ 9614 แม้จะไม่สามารถโจมตีจากระยะไกล แต่ก็เป็นภัยใหญ่สำหรับศูนย์ข้อมูลหรือระบบที่ต้องการความปลอดภัยสูง ตอนนี้ PCI-SIG ได้ออก Draft Engineering Change Notice เพื่อแก้ไข และแนะนำให้ผู้ผลิตอัปเดตเฟิร์มแวร์เพื่อปิดช่องโหว่เหล่านี้โดยเร็ว 🔗 https://securityonline.info/critical-pcie-6-0-flaws-risk-secure-data-integrity-via-stale-data-injection-in-ide-mechanism 🪙 EtherRAT Malware ใช้บล็อกเชน Ethereum ซ่อนร่องรอย หลังจากเกิดช่องโหว่ React2Shell เพียงไม่กี่วัน นักวิจัยพบมัลแวร์ใหม่ชื่อ EtherRAT ที่ใช้บล็อกเชน Ethereum เป็นช่องทางสื่อสารกับผู้ควบคุม โดยอาศัย smart contracts เพื่อรับคำสั่ง ทำให้แทบไม่สามารถปิดกั้นได้ เพราะเครือข่าย Ethereum เป็นระบบกระจายศูนย์ นอกจากนี้ EtherRAT ยังมีความคล้ายคลึงกับเครื่องมือที่เคยใช้โดยกลุ่ม Lazarus ของเกาหลีเหนือ และถูกออกแบบให้ฝังตัวแน่นหนาในระบบ Linux ด้วยหลายวิธีการ persistence พร้อมทั้งดาวน์โหลด runtime ของ Node.js เองเพื่อกลมกลืนกับการทำงานปกติ ถือเป็นการยกระดับการโจมตีจากช่องโหว่ React2Shell ไปสู่ระดับ APT ที่อันตรายยิ่งขึ้น 🔗 https://securityonline.info/etherrat-malware-hijacks-ethereum-blockchain-for-covert-c2-after-react2shell-exploit 🤝 Slack CEO ย้ายไปร่วมทีม OpenAI เป็น CRO OpenAI กำลังเร่งหาทางสร้างรายได้เพื่อรองรับค่าใช้จ่ายมหาศาลในการประมวลผล AI ล่าสุดได้ดึง Denise Dresser ซีอีโอของ Slack เข้ามารับตำแหน่ง Chief Revenue Officer (CRO) เพื่อดูแลกลยุทธ์รายได้และการขยายตลาดองค์กร การเข้ามาของเธอสะท้อนให้เห็นว่า OpenAI กำลังใช้แนวทางแบบ Silicon Valley อย่างเต็มรูปแบบ ทั้งการขยายฐานผู้ใช้และการหาช่องทางทำเงิน ไม่ว่าจะเป็นการขาย subscription หรือแม้กระทั่งโฆษณาใน ChatGPT อย่างไรก็ตาม ความท้าทายใหญ่คือการทำให้รายได้เติบโตทันกับค่าใช้จ่ายที่สูงลิ่วจากการสร้างและดูแลโครงสร้างพื้นฐาน AI 🔗 https://securityonline.info/slack-ceo-denise-dresser-joins-openai-as-cro-to-solve-the-profitability-puzzle 🛠️ Jenkins เจอช่องโหว่ร้ายแรง เสี่ยงถูกโจมตี DoS และ XSS ทีมพัฒนา Jenkins ออกประกาศเตือนครั้งใหญ่ หลังพบช่องโหว่หลายรายการที่อาจทำให้ระบบ CI/CD ถูกโจมตีจนหยุดทำงาน หรือโดนฝังสคริปต์อันตราย (XSS) โดยเฉพาะช่องโหว่ CVE-2025-67635 ที่เปิดโอกาสให้แฮกเกอร์ส่งคำสั่งผ่าน HTTP CLI โดยไม่ต้องล็อกอิน ทำให้เซิร์ฟเวอร์ทรัพยากรถูกใช้จนล่ม อีกช่องโหว่ CVE-2025-67641 ใน Coverage Plugin ก็เปิดทางให้ผู้โจมตีฝังโค้ด JavaScript ลงในรายงาน เมื่อผู้ดูแลเปิดดู รายงานนั้นจะรันสคริปต์ทันที เสี่ยงต่อการถูกขโมย session และข้อมูลสำคัญ แม้จะมีการอัปเดตแก้ไขหลายจุด เช่น การเข้ารหัส token และการปิดช่องโหว่การเห็นรหัสผ่าน แต่ยังมีบางปลั๊กอินที่ยังไม่มีแพตช์ออกมา ทำให้ผู้ดูแลระบบต้องรีบอัปเดต Jenkins และปลั๊กอินที่เกี่ยวข้องเพื่อป้องกันความเสียหาย 🔗 https://securityonline.info/high-severity-jenkins-flaws-risk-unauthenticated-dos-via-http-cli-and-xss-via-coverage-reports 🐙 Gogs Zero-Day โดนเจาะกว่า 700 เซิร์ฟเวอร์ ผ่าน Symlink Path Traversal นักวิจัยจาก Wiz พบช่องโหว่ใหม่ใน Gogs (CVE-2025-8110) ที่เปิดทางให้ผู้โจมตีสามารถเขียนไฟล์อันตรายลงในระบบได้ง่าย ๆ ผ่านการใช้ symlink โดยช่องโหว่นี้เป็นการเลี่ยงแพตช์เก่าที่เคยแก้ไขไปแล้ว ทำให้กว่า 700 เซิร์ฟเวอร์จาก 1,400 ที่ตรวจสอบถูกเจาะสำเร็จ การโจมตีมีลักษณะเป็นแคมเปญ “smash-and-grab” คือเข้ามาเร็ว ใช้ symlink เขียนทับไฟล์สำคัญ เช่น .git/config แล้วรันคำสั่งอันตราย จากนั้นติดตั้ง payload ที่ใช้ Supershell เพื่อควบคุมเครื่องจากระยะไกล ปัจจุบันยังไม่มีแพตช์ออกมา ผู้ดูแลระบบจึงถูกแนะนำให้ปิดการสมัครสมาชิกสาธารณะ และจำกัดการเข้าถึงระบบทันที 🔗 https://securityonline.info/gogs-zero-day-cve-2025-8110-risks-rce-for-700-servers-via-symlink-path-traversal-bypass 🧩 GitLab พบช่องโหว่ XSS เสี่ยงโดนขโมย session ผ่าน Wiki GitLab ออกอัปเดตด่วนเพื่อแก้ไขช่องโหว่ CVE-2025-12716 ที่มีความรุนแรงสูง (CVSS 8.7) โดยช่องโหว่นี้เกิดขึ้นในฟีเจอร์ Wiki ที่ผู้ใช้สามารถสร้างเพจได้ หากมีการฝังโค้ดอันตรายลงไป เมื่อผู้ใช้รายอื่นเปิดดู เพจนั้นจะรันคำสั่งแทนผู้ใช้โดยอัตโนมัติ เสี่ยงต่อการถูกยึด session และสั่งงานแทนเจ้าของบัญชี นอกจากนี้ยังมีช่องโหว่อื่น ๆ เช่น การ inject HTML ในรายงานช่องโหว่ และการเปิดเผยข้อมูลโครงการที่ควรเป็น private ผ่าน error message และ GraphQL query GitLab.com และ GitLab Dedicated ได้รับการแก้ไขแล้ว แต่ผู้ที่ใช้ self-managed instance ต้องรีบอัปเดตเวอร์ชัน 18.6.2, 18.5.4 หรือ 18.4.6 เพื่อปิดช่องโหว่เหล่านี้ 🔗 https://securityonline.info/high-severity-gitlab-xss-flaw-cve-2025-12716-risks-session-hijack-via-malicious-wiki-pages 📱 Facebook ปรับโฉมใหม่ แต่ Instagram ใช้ AI ดึง SEO มีรายงานว่า Facebook ได้ปรับโฉมหน้าตาใหม่ แต่สิ่งที่น่าสนใจคือ Instagram ถูกเปิดโปงว่าใช้ AI เพื่อสร้างคอนเทนต์ที่ดึง SEO ให้ติดอันดับการค้นหา คล้ายกับการทำ content farm โดยไม่ได้บอกผู้ใช้ตรง ๆ เรื่องนี้จึงถูกตั้งคำถามถึงความโปร่งใสและจริยธรรมของ Meta ที่อาจใช้ AI เพื่อผลักดันการเข้าถึงโดยไม่เปิดเผยต่อสาธารณะ 🔗 https://securityonline.info/facebook-gets-new-look-but-instagram-secretly-uses-ai-for-seo-bait 🚀 SpaceX เตรียม IPO มูลค่าเป้าหมายทะลุ 1.5 ล้านล้านดอลลาร์ SpaceX กำลังเดินหน้าแผน IPO ครั้งใหญ่ที่สุดในประวัติศาสตร์ โดยตั้งเป้าระดมทุนกว่า 30 พันล้านดอลลาร์ ซึ่งจะทำลายสถิติของ Saudi Aramco ที่เคยทำไว้ในปี 2019 ที่ 29 พันล้านดอลลาร์ สิ่งที่ทำให้ตลาดตะลึงคือการตั้งเป้ามูลค่าบริษัทไว้สูงถึง 1.5 ล้านล้านดอลลาร์ แม้รายได้ของ SpaceX ในปี 2025 จะอยู่ที่ประมาณ 15.5 พันล้านดอลลาร์ ซึ่งน้อยกว่า Tesla ถึง 6 เท่า แต่ความคาดหวังอยู่ที่อนาคตของ Starlink และ Starship รวมถึงแผนสร้างศูนย์ข้อมูลในอวกาศเพื่อรองรับ AI และการสื่อสารผ่านดาวเทียม Musk เชื่อว่าการรวมพลังของ Starlink และ Starship จะขยายตลาดได้มหาศาล และนี่อาจเป็นก้าวสำคัญที่สุดของ SpaceX 🔗 https://securityonline.info/spacex-ipo-targeting-a-1-5-trillion-valuation-to-fund-space-data-centers 🐼 จีนเปิดปฏิบัติการไซเบอร์ WARP PANDA ใช้ BRICKSTORM เจาะ VMware และ Azure มีการเปิดโปงแคมเปญจารกรรมไซเบอร์ครั้งใหญ่ที่ดำเนินการโดยกลุ่มแฮกเกอร์จากจีนชื่อ WARP PANDA พวกเขาไม่ได้โจมตีแบบธรรมดา แต่เลือกเจาะเข้าไปในโครงสร้างพื้นฐาน IT ที่สำคัญอย่าง VMware vCenter และ ESXi รวมถึงระบบคลาวด์ Microsoft Azure จุดเด่นคือการใช้เครื่องมือที่สร้างขึ้นเองชื่อ BRICKSTORM ซึ่งเป็น backdoor ที่แฝงตัวเหมือนโปรเซสของระบบ ทำให้ยากต่อการตรวจจับ นอกจากนี้ยังมีเครื่องมือเสริมอย่าง Junction และ GuestConduit ที่ช่วยควบคุมการสื่อสารในระบบเสมือนจริงได้อย่างแนบเนียน สิ่งที่น่ากังวลคือพวกเขาสามารถอยู่ในระบบได้นานเป็นปีโดยไม่ถูกพบ และยังขยายการโจมตีไปสู่บริการ Microsoft 365 เพื่อขโมยข้อมูลสำคัญ การกระทำเหล่านี้สะท้อนให้เห็นถึงแรงจูงใจเชิงรัฐมากกว่าการเงิน เพราะเป้าหมายคือข้อมูลที่เกี่ยวข้องกับผลประโยชน์ของรัฐบาลจีน 🔗 https://securityonline.info/chinas-warp-panda-apt-deploys-brickstorm-backdoor-to-hijack-vmware-vcenter-esxi-and-azure-cloud 📡 ช่องโหว่ร้ายแรง TOTOLINK AX1800 เปิดทางให้แฮกเกอร์เข้าถึง root โดยไม่ต้องล็อกอิน มีการค้นพบช่องโหว่ในเราเตอร์ TOTOLINK AX1800 ที่ใช้กันแพร่หลายในบ้านและธุรกิจขนาดเล็ก ช่องโหว่นี้ทำให้ผู้โจมตีสามารถส่งคำสั่ง HTTP เพียงครั้งเดียวเพื่อเปิดบริการ Telnet โดยไม่ต้องผ่านการยืนยันตัวตน เมื่อ Telnet ถูกเปิดแล้ว แฮกเกอร์สามารถเข้าถึงสิทธิ์ระดับ root และควบคุมอุปกรณ์ได้เต็มรูปแบบ ผลกระทบคือสามารถดักจับข้อมูล เปลี่ยนเส้นทาง DNS หรือใช้เป็นฐานโจมตีอุปกรณ์อื่นในเครือข่ายได้ ที่น่ากังวลคือยังไม่มีแพตช์แก้ไขจากผู้ผลิต ทำให้ผู้ใช้ต้องป้องกันตัวเองด้วยการปิดการเข้าถึงจาก WAN และตรวจสอบการเปิดใช้งาน Telnet อย่างเข้มงวด 🔗 https://securityonline.info/unpatched-totolink-ax1800-router-flaw-allows-unauthenticated-telnet-root-rce ⚠️ FBI และ CISA เตือนกลุ่มแฮกเกอร์สายโปรรัสเซียโจมตีโครงสร้างพื้นฐานผ่าน VNC ที่ไม่ปลอดภัย หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ รวมถึง FBI และ CISA ออกคำเตือนว่ากลุ่มแฮกเกอร์ที่สนับสนุนรัสเซียกำลังโจมตีโครงสร้างพื้นฐานสำคัญ เช่น ระบบน้ำ พลังงาน และอาหาร โดยใช้วิธีง่าย ๆ คือค้นหา Human-Machine Interfaces (HMI) ที่เชื่อมต่อผ่าน VNC แต่ไม่ได้ตั้งรหัสผ่านที่แข็งแรง เมื่อเข้าถึงได้ พวกเขาจะปรับเปลี่ยนค่าการทำงาน เช่น ความเร็วปั๊ม หรือปิดระบบแจ้งเตือน ทำให้ผู้ควบคุมไม่เห็นภาพจริงของโรงงาน กลุ่มที่ถูกระบุมีทั้ง Cyber Army of Russia Reborn, NoName057(16), Z-Pentest และ Sector16 ซึ่งมีความเชื่อมโยงกับรัฐรัสเซีย แม้จะไม่ซับซ้อน แต่การโจมตีแบบนี้สร้างความเสียหายได้จริงและยากต่อการคาดเดา 🔗 https://securityonline.info/fbi-cisa-warn-pro-russia-hacktivists-target-critical-infrastructure-via-unsecured-vnc-hmis 🎥 ช่องโหว่ร้ายแรงใน CCTV (CVE-2025-13607) เสี่ยงถูกแฮกดูภาพสดและขโมยรหัสผ่าน CISA ออกประกาศเตือนเกี่ยวกับช่องโหว่ในกล้องวงจรปิดที่เชื่อมต่อเครือข่าย โดยเฉพาะรุ่น D-Link DCS-F5614-L1 ที่เปิดช่องให้ผู้โจมตีเข้าถึงการตั้งค่าและข้อมูลบัญชีได้โดยไม่ต้องยืนยันตัวตน ผลคือสามารถดูภาพสดจากกล้องและขโมยรหัสผ่านผู้ดูแลเพื่อเจาะลึกเข้าไปในระบบต่อไปได้ ช่องโหว่นี้มีคะแนนความรุนแรงสูงถึง 9.4 และแม้ D-Link จะออกเฟิร์มแวร์แก้ไขแล้ว แต่ผู้ใช้แบรนด์อื่นอย่าง Securus และ Sparsh ยังไม่ได้รับการตอบสนอง ทำให้ผู้ใช้ต้องรีบตรวจสอบและติดต่อผู้ผลิตเองเพื่อความปลอดภัย 🔗 https://securityonline.info/critical-cctv-flaw-cve-2025-13607-risks-video-feed-hijack-credential-theft-via-missing-authentication 🛡️ ข่าวด่วน: Google ออกแพตช์ฉุกเฉินแก้ช่องโหว่ Zero-Day บน Chrome เรื่องนี้เป็นการอัปเดตที่สำคัญมากของ Google Chrome เพราะมีการค้นพบช่องโหว่ร้ายแรงที่ถูกโจมตีจริงแล้วในโลกออนไลน์ Google จึงรีบปล่อยเวอร์ชันใหม่ 143.0.7499.109/.110 เพื่ออุดช่องโหว่ โดยช่องโหว่นี้ถูกระบุว่าเป็น “Under coordination” ซึ่งหมายถึงยังอยู่ระหว่างการทำงานร่วมกับผู้พัฒนาซอฟต์แวร์อื่น ๆ ทำให้รายละเอียดเชิงเทคนิคยังไม่ถูกเปิดเผย แต่ที่แน่ ๆ คือมีผู้ไม่หวังดีนำไปใช้โจมตีแล้ว นอกจากนี้ยังมีการแก้ไขช่องโหว่ระดับกลางอีกสองรายการ ได้แก่ปัญหาใน Password Manager และ Toolbar ที่นักวิจัยภายนอกรายงานเข้ามา พร้อมได้รับรางวัลบั๊กบาวน์ตี้รวม 4,000 ดอลลาร์ เรื่องนี้จึงเป็นการเตือนผู้ใช้ทุกคนให้รีบตรวจสอบและอัปเดต Chrome ด้วยตนเองทันที ไม่ควรรอการอัปเดตอัตโนมัติ เพราะความเสี่ยงกำลังเกิดขึ้นจริงแล้ว 🔗 https://securityonline.info/emergency-chrome-update-google-patches-new-zero-day-under-active-attack 🤖 นวัตกรรมใหม่: สถาปัตยกรรม AI ของ Google แรงกว่า GPT-4 ในด้านความจำ Google เปิดตัวสถาปัตยกรรมใหม่ชื่อ Titans และกรอบแนวคิด MIRAS ที่ออกแบบมาเพื่อแก้ปัญหาการจำข้อมูลระยะยาวของโมเดล AI แบบเดิม ๆ จุดเด่นคือสามารถ “อ่านไป จำไป” ได้เหมือนสมองมนุษย์ โดยใช้โมดูลความจำระยะยาวที่ทำงานคล้ายการแยกความจำสั้นและยาวในสมองจริง ๆ สิ่งที่น่าสนใจที่สุดคือ “surprise metric” กลไกที่เลือกจำเฉพาะข้อมูลที่แปลกใหม่หรือไม่คาดคิด เช่นเดียวกับที่มนุษย์มักจำเหตุการณ์ที่ไม่ธรรมดาได้ชัดเจน ผลลัพธ์คือโมเดลนี้สามารถจัดการข้อมูลยาวมหาศาลได้ถึงสองล้านโทเคน และยังทำงานได้ดีกว่า GPT-4 แม้จะมีพารามิเตอร์น้อยกว่า นอกจากนี้ MIRAS ยังเปิดทางให้สร้างโมเดลใหม่ ๆ ที่มีความสามารถเฉพาะด้าน เช่นการทนต่อสัญญาณรบกวนหรือการรักษาความจำระยะยาวอย่างมั่นคง การทดสอบกับชุดข้อมูล BABILong แสดงให้เห็นว่า Titans มีศักยภาพเหนือกว่าโมเดลชั้นนำอื่น ๆ ในการดึงข้อมูลที่กระจายอยู่ในเอกสารขนาดใหญ่ ทำให้อนาคตของ AI ในการทำความเข้าใจทั้งเอกสารหรือแม้แต่ข้อมูลทางพันธุกรรมดูสดใสและทรงพลังมากขึ้น 🔗 https://securityonline.info/the-surprise-metric-googles-new-ai-architecture-outperforms-gpt-4-in-memory

0 Comments 0 Shares 630 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-11 02:34:11 -

“5 แกดเจ็ตสุดร้อนแรงที่โลกจับตามองในปี 2026”

บทความนี้พูดถึง 5 แกดเจ็ตที่ถูกคาดว่าจะเปิดตัวในปี 2026 ได้แก่ Steam Machine, Steam Frame VR Headset, iPhone Fold, AYN Odin 3, และ Retroid Pocket 6 ซึ่งแต่ละตัวมีจุดเด่นและความคาดหวังสูงจากทั้งผู้ใช้ทั่วไปและนักเล่นเกม

Steam Machine และ Steam Controller
Valve เตรียมเปิดตัว Steam Machine รุ่นใหม่ ในไตรมาสแรกปี 2026 ตัวเครื่องเป็นทรงสี่เหลี่ยมเล็ก (ถูกเรียกเล่น ๆ ว่า GabeCube) ใช้ระบบ SteamOS แทน Windows รองรับการเล่นเกม AAA ที่ 4K 60fps (ผ่าน FSR Upscaling) มีรุ่น 512GB และ 2TB จุดเด่นคือขนาดเล็ก ใช้งานได้ทั้งเป็นคอนโซลในห้องนั่งเล่นหรือคอมพิวเตอร์ตั้งโต๊ะ แต่ยังมีข้อกังวลเรื่องราคา (คาด $600–$800) และประสิทธิภาพจริงเมื่อเทียบกับคอนโซล.

Steam Frame VR Headset
Valve ยังเปิดตัว Steam Frame ซึ่งเป็น VR Headset รุ่นใหม่ ใช้เทคโนโลยี 6GHz Wireless Adapter ที่ให้ประสบการณ์ไร้สายแต่ใกล้เคียงการเชื่อมต่อแบบสาย และมี Foveated Streaming ที่เรนเดอร์ภาพเฉพาะจุดที่สายตามอง ทำให้ประสิทธิภาพสูงขึ้นโดยไม่เสียคุณภาพภาพรวม ใช้ชิป ARM64 Snapdragon SoC พร้อม FEX Translation Layer ที่อาจเปิดประตูให้ PC Gaming บนสถาปัตยกรรม ARM64 เช่น Android และ macOS.

iPhone Fold
Apple ถูกคาดว่าจะเปิดตัว iPhone Fold ในเดือนกันยายน 2026 โดยมีดีไซน์แบบ Book-Fold ขนาด 7.8 นิ้ว (หรือรุ่น Max 8.3 นิ้ว) พร้อมจอด้านนอก 5.5 นิ้วและกล้องหลัก 48MP จุดเด่นคือความบางเพียง 4.5 มม. เมื่อกางออก และการใช้ Liquid-Metal Hinge ที่อาจทำให้ iPhone Fold เป็นรุ่นแรกที่ “ไร้รอยพับ” ราคาคาดว่าจะเกิน $2,000.

AYN Odin 3
ตลาดเครื่องเล่นเกมพกพา Android กำลังเติบโต และ AYN Odin 3 ที่จะเปิดตัวมกราคม 2026 เป็นที่จับตามองมากที่สุด ใช้ชิป Snapdragon 8 Elite (3nm), จอ OLED 120Hz, แบต 8,000 mAh และมีระบบระบายความร้อนด้วยพัดลม รองรับการเล่นเกม Emulator ตั้งแต่ N64 ถึง PS3 และยังสามารถเล่นเกม PC AAA อย่าง The Witcher 3 ได้ที่ 40fps ผ่าน GameHub ราคาเริ่มต้น $329.

Retroid Pocket 6
สำหรับผู้ที่มองหาตัวเลือกที่ถูกกว่า Retroid Pocket 6 เปิดตัวพร้อมกันในมกราคม 2026 ใช้ Snapdragon 8 Gen 2, RAM สูงสุด 12GB, จอ AMOLED 5.5 นิ้ว 1080p และแบต 6,000 mAh ราคาถูกกว่า Odin 3 มาก ($229–$279) แม้ประสิทธิภาพต่ำกว่า แต่ยังสามารถเล่นเกม AAA รุ่นเก่าได้ดี เช่น Skyrim 75fps และ Tomb Raider 60fps.

สรุปเป็นหัวข้อ
Steam Machine (Q1 2026)
SteamOS, ขนาดเล็ก, รองรับ 4K 60fps (FSR Upscaling)
ราคา $600–$800, ยังมีข้อกังวลเรื่องประสิทธิภาพ

Steam Frame VR Headset
6GHz Wireless Adapter, Foveated Streaming
ใช้ ARM64 Snapdragon SoC + FEX Translation

iPhone Fold (Sep 2026)
Book-Fold 7.8 นิ้ว, รุ่น Max 8.3 นิ้ว
Liquid-Metal Hinge, บางเพียง 4.5 มม., ราคา > $2,000

AYN Odin 3 (Jan 2026)
Snapdragon 8 Elite, OLED 120Hz, แบต 8,000 mAh
ราคาเริ่มต้น $329, รองรับ Emulator และ PC Gaming

Retroid Pocket 6 (Jan 2026)
Snapdragon 8 Gen 2, RAM 8–12GB, AMOLED 1080p
ราคา $229–$279, เหมาะกับเกม AAA รุ่นเก่าและ Emulator

คำเตือนสำหรับผู้ใช้
Steam Machine อาจไม่ถึง 60fps จริงในเกม AAA
iPhone Fold ราคาสูงเกิน $2,000 และอาจเข้าถึงยาก
Odin 3 ยังมีปัญหา Driver Support บางเกมไม่รันได้ดี

https://www.slashgear.com/2047164/gadgets-2026-most-anticipated-expected-to-release/

🎮 “5 แกดเจ็ตสุดร้อนแรงที่โลกจับตามองในปี 2026” บทความนี้พูดถึง 5 แกดเจ็ตที่ถูกคาดว่าจะเปิดตัวในปี 2026 ได้แก่ Steam Machine, Steam Frame VR Headset, iPhone Fold, AYN Odin 3, และ Retroid Pocket 6 ซึ่งแต่ละตัวมีจุดเด่นและความคาดหวังสูงจากทั้งผู้ใช้ทั่วไปและนักเล่นเกม 🖥️ Steam Machine และ Steam Controller Valve เตรียมเปิดตัว Steam Machine รุ่นใหม่ ในไตรมาสแรกปี 2026 ตัวเครื่องเป็นทรงสี่เหลี่ยมเล็ก (ถูกเรียกเล่น ๆ ว่า GabeCube) ใช้ระบบ SteamOS แทน Windows รองรับการเล่นเกม AAA ที่ 4K 60fps (ผ่าน FSR Upscaling) มีรุ่น 512GB และ 2TB จุดเด่นคือขนาดเล็ก ใช้งานได้ทั้งเป็นคอนโซลในห้องนั่งเล่นหรือคอมพิวเตอร์ตั้งโต๊ะ แต่ยังมีข้อกังวลเรื่องราคา (คาด $600–$800) และประสิทธิภาพจริงเมื่อเทียบกับคอนโซล. 🕶️ Steam Frame VR Headset Valve ยังเปิดตัว Steam Frame ซึ่งเป็น VR Headset รุ่นใหม่ ใช้เทคโนโลยี 6GHz Wireless Adapter ที่ให้ประสบการณ์ไร้สายแต่ใกล้เคียงการเชื่อมต่อแบบสาย และมี Foveated Streaming ที่เรนเดอร์ภาพเฉพาะจุดที่สายตามอง ทำให้ประสิทธิภาพสูงขึ้นโดยไม่เสียคุณภาพภาพรวม ใช้ชิป ARM64 Snapdragon SoC พร้อม FEX Translation Layer ที่อาจเปิดประตูให้ PC Gaming บนสถาปัตยกรรม ARM64 เช่น Android และ macOS. 📱 iPhone Fold Apple ถูกคาดว่าจะเปิดตัว iPhone Fold ในเดือนกันยายน 2026 โดยมีดีไซน์แบบ Book-Fold ขนาด 7.8 นิ้ว (หรือรุ่น Max 8.3 นิ้ว) พร้อมจอด้านนอก 5.5 นิ้วและกล้องหลัก 48MP จุดเด่นคือความบางเพียง 4.5 มม. เมื่อกางออก และการใช้ Liquid-Metal Hinge ที่อาจทำให้ iPhone Fold เป็นรุ่นแรกที่ “ไร้รอยพับ” ราคาคาดว่าจะเกิน $2,000. 🎮 AYN Odin 3 ตลาดเครื่องเล่นเกมพกพา Android กำลังเติบโต และ AYN Odin 3 ที่จะเปิดตัวมกราคม 2026 เป็นที่จับตามองมากที่สุด ใช้ชิป Snapdragon 8 Elite (3nm), จอ OLED 120Hz, แบต 8,000 mAh และมีระบบระบายความร้อนด้วยพัดลม รองรับการเล่นเกม Emulator ตั้งแต่ N64 ถึง PS3 และยังสามารถเล่นเกม PC AAA อย่าง The Witcher 3 ได้ที่ 40fps ผ่าน GameHub ราคาเริ่มต้น $329. 🎮 Retroid Pocket 6 สำหรับผู้ที่มองหาตัวเลือกที่ถูกกว่า Retroid Pocket 6 เปิดตัวพร้อมกันในมกราคม 2026 ใช้ Snapdragon 8 Gen 2, RAM สูงสุด 12GB, จอ AMOLED 5.5 นิ้ว 1080p และแบต 6,000 mAh ราคาถูกกว่า Odin 3 มาก ($229–$279) แม้ประสิทธิภาพต่ำกว่า แต่ยังสามารถเล่นเกม AAA รุ่นเก่าได้ดี เช่น Skyrim 75fps และ Tomb Raider 60fps. 📌 สรุปเป็นหัวข้อ ✅ Steam Machine (Q1 2026) ➡️ SteamOS, ขนาดเล็ก, รองรับ 4K 60fps (FSR Upscaling) ➡️ ราคา $600–$800, ยังมีข้อกังวลเรื่องประสิทธิภาพ ✅ Steam Frame VR Headset ➡️ 6GHz Wireless Adapter, Foveated Streaming ➡️ ใช้ ARM64 Snapdragon SoC + FEX Translation ✅ iPhone Fold (Sep 2026) ➡️ Book-Fold 7.8 นิ้ว, รุ่น Max 8.3 นิ้ว ➡️ Liquid-Metal Hinge, บางเพียง 4.5 มม., ราคา > $2,000 ✅ AYN Odin 3 (Jan 2026) ➡️ Snapdragon 8 Elite, OLED 120Hz, แบต 8,000 mAh ➡️ ราคาเริ่มต้น $329, รองรับ Emulator และ PC Gaming ✅ Retroid Pocket 6 (Jan 2026) ➡️ Snapdragon 8 Gen 2, RAM 8–12GB, AMOLED 1080p ➡️ ราคา $229–$279, เหมาะกับเกม AAA รุ่นเก่าและ Emulator ‼️ คำเตือนสำหรับผู้ใช้ ⛔ Steam Machine อาจไม่ถึง 60fps จริงในเกม AAA ⛔ iPhone Fold ราคาสูงเกิน $2,000 และอาจเข้าถึงยาก ⛔ Odin 3 ยังมีปัญหา Driver Support บางเกมไม่รันได้ดี https://www.slashgear.com/2047164/gadgets-2026-most-anticipated-expected-to-release/

WWW.SLASHGEAR.COM

5 Of The Most Anticipated Gadgets Expected To Release In 2026 - SlashGear
Tech in 2026 might not be as dull as it looks. From Valve’s hardware push to Apple’s foldable iPhone, these upcoming releases actually feel worth tracking.

0 Comments 0 Shares 192 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-11 02:20:07 -

หัวข้อข่าว: “GitLab พบช่องโหว่ XSS ร้ายแรง เสี่ยงถูกยึดบัญชีผ่าน Wiki Pages”

ช่องโหว่ร้ายแรง CVE-2025-12716 ถูกค้นพบใน GitLab Wiki Pages โดยเป็นช่องโหว่แบบ Cross-Site Scripting (XSS) ที่เปิดทางให้ผู้โจมตีสามารถฝังโค้ดอันตรายลงในหน้า Wiki และใช้เพื่อ ขโมย Session Token ของผู้ใช้ ทำให้เสี่ยงต่อการถูกยึดบัญชีและเข้าถึงข้อมูลโครงการที่สำคัญ

ลักษณะของช่องโหว่
ช่องโหว่นี้เกิดจากการที่ระบบ Wiki ของ GitLab ไม่ได้กรองโค้ดอันตรายอย่างเหมาะสม ทำให้ผู้โจมตีสามารถฝัง JavaScript Payload ลงในหน้า Wiki ได้ เมื่อผู้ใช้เปิดหน้า Wiki ที่ถูกฝังโค้ด จะทำให้ Session Token ของผู้ใช้ถูกส่งไปยังผู้โจมตีทันที

ความเสี่ยงและการโจมตี
หากผู้โจมตีได้ Session Token พวกเขาสามารถ เข้าสู่ระบบในฐานะผู้ใช้เป้าหมาย โดยไม่ต้องใช้รหัสผ่าน และเข้าถึงข้อมูลโครงการ, Repository, Pipeline รวมถึงการตั้งค่าที่สำคัญได้ การโจมตีลักษณะนี้เสี่ยงต่อการรั่วไหลของข้อมูลและการแก้ไขโค้ดโดยไม่ได้รับอนุญาต

ผลกระทบในวงกว้าง
GitLab ถูกใช้อย่างแพร่หลายทั้งในองค์กร, บริษัทซอฟต์แวร์ และโครงการโอเพ่นซอร์สทั่วโลก ช่องโหว่นี้จึงมีผลกระทบในวงกว้าง โดยเฉพาะองค์กรที่ใช้ GitLab ในการจัดการโค้ดและ CI/CD หากไม่อัปเดตแพตช์ อาจเสี่ยงต่อการสูญเสียข้อมูลสำคัญ

การแก้ไขและคำแนะนำ
GitLab ได้ออกแพตช์แก้ไขในเวอร์ชันล่าสุดแล้ว ผู้ใช้ควรอัปเดตทันที พร้อมทั้งตรวจสอบ Wiki Pages ที่มีการแก้ไขล่าสุด หากพบโค้ดที่ไม่ปกติควรลบออก และตั้งค่า Content Security Policy (CSP) เพื่อเพิ่มการป้องกัน

สรุปเป็นหัวข้อ
รายละเอียดช่องโหว่ CVE-2025-12716
เป็นช่องโหว่ XSS ใน GitLab Wiki Pages
เปิดทางให้ฝัง JavaScript Payload อันตราย

ความเสี่ยงจากการโจมตี
ผู้โจมตีสามารถขโมย Session Token ของผู้ใช้
เข้าสู่ระบบในฐานะผู้ใช้เป้าหมายโดยไม่ต้องใช้รหัสผ่าน
เข้าถึง Repository และ Pipeline ได้

ผลกระทบในวงกว้าง
GitLab ถูกใช้อย่างแพร่หลายทั้งองค์กรและโครงการโอเพ่นซอร์ส
เสี่ยงต่อการรั่วไหลและแก้ไขโค้ดโดยไม่ได้รับอนุญาต

การแก้ไขและคำแนะนำ
อัปเดต GitLab เป็นเวอร์ชันล่าสุดทันที
ตรวจสอบ Wiki Pages ที่ถูกแก้ไขล่าสุด
ตั้งค่า Content Security Policy (CSP) เพื่อเพิ่มการป้องกัน

คำเตือนสำหรับผู้ใช้และองค์กร
หากไม่อัปเดตแพตช์ ผู้ใช้เสี่ยงถูกยึดบัญชี
การละเลยการตรวจสอบ Wiki Pages อาจเปิดช่องให้โค้ดอันตรายทำงาน
การไม่ตั้งค่า CSP ทำให้ระบบเสี่ยงต่อการโจมตี XSS ซ้ำ

https://securityonline.info/high-severity-gitlab-xss-flaw-cve-2025-12716-risks-session-hijack-via-malicious-wiki-pages/

🛠️ หัวข้อข่าว: “GitLab พบช่องโหว่ XSS ร้ายแรง เสี่ยงถูกยึดบัญชีผ่าน Wiki Pages” ช่องโหว่ร้ายแรง CVE-2025-12716 ถูกค้นพบใน GitLab Wiki Pages โดยเป็นช่องโหว่แบบ Cross-Site Scripting (XSS) ที่เปิดทางให้ผู้โจมตีสามารถฝังโค้ดอันตรายลงในหน้า Wiki และใช้เพื่อ ขโมย Session Token ของผู้ใช้ ทำให้เสี่ยงต่อการถูกยึดบัญชีและเข้าถึงข้อมูลโครงการที่สำคัญ 🔓 ลักษณะของช่องโหว่ ช่องโหว่นี้เกิดจากการที่ระบบ Wiki ของ GitLab ไม่ได้กรองโค้ดอันตรายอย่างเหมาะสม ทำให้ผู้โจมตีสามารถฝัง JavaScript Payload ลงในหน้า Wiki ได้ เมื่อผู้ใช้เปิดหน้า Wiki ที่ถูกฝังโค้ด จะทำให้ Session Token ของผู้ใช้ถูกส่งไปยังผู้โจมตีทันที 🕵️ ความเสี่ยงและการโจมตี หากผู้โจมตีได้ Session Token พวกเขาสามารถ เข้าสู่ระบบในฐานะผู้ใช้เป้าหมาย โดยไม่ต้องใช้รหัสผ่าน และเข้าถึงข้อมูลโครงการ, Repository, Pipeline รวมถึงการตั้งค่าที่สำคัญได้ การโจมตีลักษณะนี้เสี่ยงต่อการรั่วไหลของข้อมูลและการแก้ไขโค้ดโดยไม่ได้รับอนุญาต 🌍 ผลกระทบในวงกว้าง GitLab ถูกใช้อย่างแพร่หลายทั้งในองค์กร, บริษัทซอฟต์แวร์ และโครงการโอเพ่นซอร์สทั่วโลก ช่องโหว่นี้จึงมีผลกระทบในวงกว้าง โดยเฉพาะองค์กรที่ใช้ GitLab ในการจัดการโค้ดและ CI/CD หากไม่อัปเดตแพตช์ อาจเสี่ยงต่อการสูญเสียข้อมูลสำคัญ 🛡️ การแก้ไขและคำแนะนำ GitLab ได้ออกแพตช์แก้ไขในเวอร์ชันล่าสุดแล้ว ผู้ใช้ควรอัปเดตทันที พร้อมทั้งตรวจสอบ Wiki Pages ที่มีการแก้ไขล่าสุด หากพบโค้ดที่ไม่ปกติควรลบออก และตั้งค่า Content Security Policy (CSP) เพื่อเพิ่มการป้องกัน 📌 สรุปเป็นหัวข้อ ✅ รายละเอียดช่องโหว่ CVE-2025-12716 ➡️ เป็นช่องโหว่ XSS ใน GitLab Wiki Pages ➡️ เปิดทางให้ฝัง JavaScript Payload อันตราย ✅ ความเสี่ยงจากการโจมตี ➡️ ผู้โจมตีสามารถขโมย Session Token ของผู้ใช้ ➡️ เข้าสู่ระบบในฐานะผู้ใช้เป้าหมายโดยไม่ต้องใช้รหัสผ่าน ➡️ เข้าถึง Repository และ Pipeline ได้ ✅ ผลกระทบในวงกว้าง ➡️ GitLab ถูกใช้อย่างแพร่หลายทั้งองค์กรและโครงการโอเพ่นซอร์ส ➡️ เสี่ยงต่อการรั่วไหลและแก้ไขโค้ดโดยไม่ได้รับอนุญาต ✅ การแก้ไขและคำแนะนำ ➡️ อัปเดต GitLab เป็นเวอร์ชันล่าสุดทันที ➡️ ตรวจสอบ Wiki Pages ที่ถูกแก้ไขล่าสุด ➡️ ตั้งค่า Content Security Policy (CSP) เพื่อเพิ่มการป้องกัน ‼️ คำเตือนสำหรับผู้ใช้และองค์กร ⛔ หากไม่อัปเดตแพตช์ ผู้ใช้เสี่ยงถูกยึดบัญชี ⛔ การละเลยการตรวจสอบ Wiki Pages อาจเปิดช่องให้โค้ดอันตรายทำงาน ⛔ การไม่ตั้งค่า CSP ทำให้ระบบเสี่ยงต่อการโจมตี XSS ซ้ำ https://securityonline.info/high-severity-gitlab-xss-flaw-cve-2025-12716-risks-session-hijack-via-malicious-wiki-pages/

SECURITYONLINE.INFO

High-Severity GitLab XSS Flaw (CVE-2025-12716) Risks Session Hijack via Malicious Wiki Pages
A High-severity XSS (CVSS 8.7) flaw in GitLab Wiki allows session hijack via malicious pages, enabling unauthorized actions. Other HTML Injection flaws patched. Self-managed admins must update to v18.6.2.

0 Comments 0 Shares 125 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-09 04:53:18 -

มัลแวร์ใหม่ FvncBot โจมตีผู้ใช้ mBank

นักวิจัยด้านความปลอดภัยจาก Intel 471 พบมัลแวร์ Android banking trojan ตัวใหม่ชื่อ FvncBot เมื่อวันที่ 25 พฤศจิกายน 2025 โดยมันถูกปลอมตัวเป็นแอปชื่อ “Klucz bezpieczeństwa Mbank” (Security Key Mbank) เพื่อหลอกให้ผู้ใช้ติดตั้ง โดยอ้างว่าเป็นเครื่องมือยืนยันตัวตนที่เชื่อถือได้ แต่แท้จริงแล้วเป็น payload ที่ซ่อนอยู่ในแอป

เมื่อผู้ใช้ติดตั้ง แอปจะขอให้เพิ่มส่วนประกอบ “Play” เพื่อเสริมความปลอดภัย แต่จริง ๆ แล้วเป็นการเรียกใช้โค้ดของ FvncBot ที่ถูกฝังไว้ใน assets ของแอปโดยไม่เข้ารหัส ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้ทันที

เทคนิคการโจมตีที่ซับซ้อน
FvncBot ไม่ใช่การดัดแปลงจาก trojan รุ่นเก่า แต่ถูกเขียนขึ้นใหม่ทั้งหมด มันใช้หลายเทคนิค เช่น keylogging ผ่าน accessibility services, web-inject attacks, และ HVNC (Hidden Virtual Network Computing) ที่ช่วยให้ผู้โจมตีควบคุมอุปกรณ์จากระยะไกลโดยที่ผู้ใช้ไม่รู้ตัว นอกจากนี้ยังมีฟีเจอร์ screen streaming ด้วย H.264 ทำให้ผู้โจมตีเห็นหน้าจอของเหยื่อแบบเรียลไทม์

ความสามารถเหล่านี้ทำให้ FvncBot เป็นภัยคุกคามที่ร้ายแรงต่อผู้ใช้ mobile banking เพราะสามารถขโมยรหัสผ่าน, ข้อมูลการเข้าสู่ระบบ และแม้กระทั่งทำธุรกรรมแทนผู้ใช้ได้โดยตรง

ความเสี่ยงและคำเตือน
แม้ว่าเป้าหมายหลักคือผู้ใช้ mBank ในโปแลนด์ แต่มัลแวร์ลักษณะนี้สามารถถูกปรับใช้กับธนาคารหรือผู้ใช้ในประเทศอื่น ๆ ได้เช่นกัน การแพร่กระจายผ่านการปลอมตัวเป็นแอปที่ดูน่าเชื่อถือ ทำให้ผู้ใช้ทั่วไปมีโอกาสตกเป็นเหยื่อสูง หากไม่ได้ตรวจสอบแหล่งที่มาของแอปอย่างรอบคอบ

นักวิจัยเตือนว่าผู้ใช้ควรดาวน์โหลดแอปจาก Google Play Store หรือแหล่งที่เชื่อถือได้เท่านั้น และควรตรวจสอบสิทธิ์ที่แอปขออย่างละเอียด หากพบว่ามีการขอสิทธิ์ที่ไม่จำเป็น เช่น การเข้าถึง accessibility services หรือการควบคุมหน้าจอ ควรหลีกเลี่ยงทันที

สรุปประเด็นสำคัญ
การค้นพบมัลแวร์ FvncBot
ปลอมตัวเป็นแอป Security Key ของ mBank
ถูกพบครั้งแรกในเดือนพฤศจิกายน 2025

ความสามารถของ FvncBot
ใช้ HVNC เพื่อควบคุมเครื่องจากระยะไกล
สตรีมหน้าจอด้วย H.264 แบบเรียลไทม์
ทำ keylogging และ web-inject เพื่อขโมยข้อมูล

ความเสี่ยงต่อผู้ใช้
อาจถูกใช้โจมตีธนาคารอื่น ๆ นอกโปแลนด์
ผู้ใช้ที่ติดตั้งแอปจากแหล่งไม่ปลอดภัยมีโอกาสตกเป็นเหยื่อสูง

คำแนะนำด้านความปลอดภัย
ดาวน์โหลดแอปจาก Google Play Store เท่านั้น
ตรวจสอบสิทธิ์ที่แอปขอก่อนติดตั้งทุกครั้ง

https://securityonline.info/new-fvncbot-android-trojan-targets-mbank-users-with-hvnc-and-h-264-screen-streaming/

🔒 มัลแวร์ใหม่ FvncBot โจมตีผู้ใช้ mBank นักวิจัยด้านความปลอดภัยจาก Intel 471 พบมัลแวร์ Android banking trojan ตัวใหม่ชื่อ FvncBot เมื่อวันที่ 25 พฤศจิกายน 2025 โดยมันถูกปลอมตัวเป็นแอปชื่อ “Klucz bezpieczeństwa Mbank” (Security Key Mbank) เพื่อหลอกให้ผู้ใช้ติดตั้ง โดยอ้างว่าเป็นเครื่องมือยืนยันตัวตนที่เชื่อถือได้ แต่แท้จริงแล้วเป็น payload ที่ซ่อนอยู่ในแอป เมื่อผู้ใช้ติดตั้ง แอปจะขอให้เพิ่มส่วนประกอบ “Play” เพื่อเสริมความปลอดภัย แต่จริง ๆ แล้วเป็นการเรียกใช้โค้ดของ FvncBot ที่ถูกฝังไว้ใน assets ของแอปโดยไม่เข้ารหัส ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้ทันที 🖥️ เทคนิคการโจมตีที่ซับซ้อน FvncBot ไม่ใช่การดัดแปลงจาก trojan รุ่นเก่า แต่ถูกเขียนขึ้นใหม่ทั้งหมด มันใช้หลายเทคนิค เช่น keylogging ผ่าน accessibility services, web-inject attacks, และ HVNC (Hidden Virtual Network Computing) ที่ช่วยให้ผู้โจมตีควบคุมอุปกรณ์จากระยะไกลโดยที่ผู้ใช้ไม่รู้ตัว นอกจากนี้ยังมีฟีเจอร์ screen streaming ด้วย H.264 ทำให้ผู้โจมตีเห็นหน้าจอของเหยื่อแบบเรียลไทม์ ความสามารถเหล่านี้ทำให้ FvncBot เป็นภัยคุกคามที่ร้ายแรงต่อผู้ใช้ mobile banking เพราะสามารถขโมยรหัสผ่าน, ข้อมูลการเข้าสู่ระบบ และแม้กระทั่งทำธุรกรรมแทนผู้ใช้ได้โดยตรง ⚠️ ความเสี่ยงและคำเตือน แม้ว่าเป้าหมายหลักคือผู้ใช้ mBank ในโปแลนด์ แต่มัลแวร์ลักษณะนี้สามารถถูกปรับใช้กับธนาคารหรือผู้ใช้ในประเทศอื่น ๆ ได้เช่นกัน การแพร่กระจายผ่านการปลอมตัวเป็นแอปที่ดูน่าเชื่อถือ ทำให้ผู้ใช้ทั่วไปมีโอกาสตกเป็นเหยื่อสูง หากไม่ได้ตรวจสอบแหล่งที่มาของแอปอย่างรอบคอบ นักวิจัยเตือนว่าผู้ใช้ควรดาวน์โหลดแอปจาก Google Play Store หรือแหล่งที่เชื่อถือได้เท่านั้น และควรตรวจสอบสิทธิ์ที่แอปขออย่างละเอียด หากพบว่ามีการขอสิทธิ์ที่ไม่จำเป็น เช่น การเข้าถึง accessibility services หรือการควบคุมหน้าจอ ควรหลีกเลี่ยงทันที 📌 สรุปประเด็นสำคัญ ✅ การค้นพบมัลแวร์ FvncBot ➡️ ปลอมตัวเป็นแอป Security Key ของ mBank ➡️ ถูกพบครั้งแรกในเดือนพฤศจิกายน 2025 ✅ ความสามารถของ FvncBot ➡️ ใช้ HVNC เพื่อควบคุมเครื่องจากระยะไกล ➡️ สตรีมหน้าจอด้วย H.264 แบบเรียลไทม์ ➡️ ทำ keylogging และ web-inject เพื่อขโมยข้อมูล ‼️ ความเสี่ยงต่อผู้ใช้ ⛔ อาจถูกใช้โจมตีธนาคารอื่น ๆ นอกโปแลนด์ ⛔ ผู้ใช้ที่ติดตั้งแอปจากแหล่งไม่ปลอดภัยมีโอกาสตกเป็นเหยื่อสูง ‼️ คำแนะนำด้านความปลอดภัย ⛔ ดาวน์โหลดแอปจาก Google Play Store เท่านั้น ⛔ ตรวจสอบสิทธิ์ที่แอปขอก่อนติดตั้งทุกครั้ง https://securityonline.info/new-fvncbot-android-trojan-targets-mbank-users-with-hvnc-and-h-264-screen-streaming/

SECURITYONLINE.INFO

New FvncBot Android Trojan Targets mBank Users with HVNC and H.264 Screen Streaming
A unique Android banking trojan, FvncBot, targets mBank (Poland) customers. It uses HVNC and H.264 to stream screens and performs web-inject attacks via FCM/WebSocket C2.

0 Comments 0 Shares 150 Views 0 Reviews

Please log in to like, share and comment!
Nikhom Ektheera added a photo
2025-12-08 12:48:49 -

แผนชั่ว ตอนที่ 11

นิทานเรื่องจริง เรื่อง “แผนชั่ว”
ตอน 11
ในช่วงหลายปีมานี้ จีนให้ความช่วยเหลือพม่า ด้านการทหารอย่างมหาศาล ให้ทั้งเครื่องบินรบ เครื่องบินขนส่ง รถถัง และอาวุธ รวมทั้งส่งเรือรบ และเครื่องป้องกันจรวดจากพื้นดินด้วย นอกจากนี้ จีนยังสร้างทางรถไฟ ถนนให้กับพม่า และพม่ายังมีข้อตกลงกับจีน ให้จีนสามารถนำกองกำลังเข้ามาในพม่าได้ด้วย เรื่องนี้ มันเหลือเชื่อ … นอกจากนี้ จีนยังสร้างเครื่องตรวจจับโดยใช้ระบบอีเล็กโทรนิค ไว้ที่เกาะโกโก้ของพม่า ในมหาสมุทรอินเดีย และพม่ายังยอมให้จีน สร้างฐานทัพเรือ ไว้แถวนั้นอีกด้วย
เขาจับมือกันแน่นขนาดนี้ อเมริกาจะทนดูไหวหรือ
น้ำมันและแก๊สของพม่า ก็เป็นอีกเรื่องหนึ่ง
ทั้ง 2 เรื่องนี้ น่าจะเป็นสาเหตุ ที่ทำให้อเมริกาแยกเขี้ยวคำราม จนขนสันหลังตั้งชัน ใส่จีน
พม่าเริ่มผลิตน้ำมันและแก๊สได้เอง ตั้งแต่ยังเป็นอาณานิคมของอังกฤษ แล้ว โดยอังกฤษตั้งบริษัท ชื่อ Rangoon Oil Company ในปี ค.ศ.1871 ต่อมาเปลี่ยนชื่อเป็น Burmah Oil Company ในปี ค.ศ.1970 พม่าผลิตแก๊สธรรมชาติได้ และในปี ค.ศ.1990 พม่าให้สัมปทานแก๊ส ในอ่าวเมาะตะมะ Martaban แก่ Elf Total ของฝรั่งเศส และ Premier Oil ของอังกฤษ ต่อมา Texaco และ Unocal (ปัจจุบันเปลี่ยนชื่อเป็น Chevron) ก็ได้สัมปทาน จากแหล่ง ยาดานา Yadana และเยตากุน Yatagun ด้วย ใครว่าพม่าปิดประตูแน่น
แหล่งยาดานา มีแก๊สประมาณ 5 ล้านล้านคิวบิกฟุต คาดกันว่ามีอายุใช้งานอย่างน้อย 30 ปี ส่วนเยตากุน มีประมาณ 1 ใน 3 ของ ยาดานา พม่าไม่น่าจนนะ
ในปี ค.ศ.2004 ยังมีการค้นพบแหล่งแก๊สใหญ่ ฉ่วย Shwe นอกอ่าวอาระกัน Arakan
ในปี ค.ศ.2002 Texaco และ Premier Oil ต่างถอนตัวจาก โครงการที่เยตากุน หลังจากมีการกดดันจากรัฐบาลอังกฤษ และพวก เอ็นจีโอ NGO หลังจากนั้น Petronas ของมาเลเซีย ก็เข้ามาซื้อหุ้นใน Premier ไป 27% และ Premier ก็กลับเข้าไปทำโครงการ ในเยตากุนต่อร่วมกับ Nippon’s Oil ของญี่ปุ่นกับ PTT-EP ของไทย แก๊สจากแหล่งนี้ ส่งออกไปตามท่อของยาดานา การร่วมทุนรายการนี้ น่าสนใจนะครับ มาเลเซีย อังกฤษ ญี่ปุ่น ไทย ในปี ค.ศ. 2002 ที่เรามีไอ้โจรร้ายเป็นนายกรัฐมนตรี (ไอ้โจรร้าย เป็นนายกรัฐมนตรี ค.ศ.2001 ถึง 2006)
ส่วนที่ยาดานา มีการร่วมลงทุนระหว่าง Elf Total, Unocal, PTT-EP และ MOGE องค์กรของรัฐบาลพม่า โดยมี Total เป็นผู้ดำเนินการ
ในช่วงปี ค.ศ.2005 จีน ไทย เกาหลีใต้ ต่างขยายการลงทุนในพม่า ด้านน้ำมันและแก๊สอย่างมาก การส่งออกแก็สของพม่า มายังไทยเพิ่มขึ้นถึง 50% แก๊ส กลายเป็นสินค้าส่งออกสำคัญที่นำรายได้มาเลี้ยงพม่า
จีน อินเดีย พม่า และบังคลาเทศ มีข้อพิพาทเกี่ยวกับสิทธิในแหล่งทรัพยากรในทะเล ซึ่งรวมไปถึงสิทธืในแหล่งแก็ส ฉ่วย Shwe
ในปี ค.ศ.2007 พม่าลงนามในบันทึกข้อตกลงกับ PetroChina ที่จะส่งแก๊สจากแหล่งฉ่วยในอ่าวเบงกอลให้แก่จีน ในปริมาณมหาศาล เป็นเวลา 30 ปี รายการนี้ อีนี่ อินเดียเสียหายมาก เดิมพม่าให้สัมปทานกับอินเดีย ที่จะขุดเจาะแก๊ส 2 หลุมในทะเล และอินเดียมีแผนที่จะส่งแก๊ส เข้าท่อส่งแก๊ส ที่จะวางผ่านบังคลาเทศ ไปเข้าอินเดีย แต่แขกคุยกันเองไม่รู้เรื่อง เกี่ยวกับเรื่องเขตแดนในทะเล คงส่ายหน้าไปกันคนละทาง เขาว่า กว่าจะตกลงกันได้ ก็ปาเข้าปี ค.ศ.2014 นี่เอง
พม่าขี้เกียจรอแขกทะเลาะกัน เลยตัดสินใจคุยกับจีน ซึ่งเสนอเงินลงทุนหลายพันล้านเหรียญ เพื่อสร้างท่อส่งแก๊สและน้ำมัน จากท่าเรือน้ำลึกในสิตเว Sittwe ที่อ่าวเบงกอล ข้ามไปนู่น ถึงคุนหมิง แค้วนยูนนานของจีน เป็นท่อส่งที่มีความยาวถึง 2,400 กิโลเมตร (บางข้อมูล บอก 2,800 กิโลเมตร) และจีนกำลังสร้างโรงกลั่นน้ำมัน ที่คุนหมิงอีกด้วย คงพอเห็นยุทธศาสตร์ของอาเฮีย เพื่อแก้เกมรัดคอนะครับ (จีนเริ่มคุยกับพม่า ตั้งแต่ปี ค.ศ.2004 แต่มาทำสัญญากันปี ค.ศ.2008)
ท่อส่งรายการนี้ จะช่วยให้น้ำมันจากอาฟริกา (ซูดานและชาด เป็นต้น) และตะวันออกกลาง (อิหร่าน ซาอุดิอารเบีย) ส่งมาถึงจีน โดยไม่ต้องผ่านจุดรัดคอ ที่ช่องแคบมะละกา ห่างมือห่างตีน ของอเมริกา ที่คิดจะมาคุมช่องแคบมะละกา และพม่าก็กลายเป็นสะพานเชื่อมจีน กับ บังคลาเทศ อีกด้วย
ฝ่ายหนึ่ง เตรียมแผนคุมบริเวณห่วงรัดคอ อีกฝ่าย กำลังหนีห่วงรัดคอ ด้วยแผนสร้างท่อ สู้ด้วยท่อเหมือนเพื่อนรัก ถ้าจีนสร้างท่อส่งเสร็จเมื่อไหร่ แผนห่วงรัดคอ ก็คงเป็นหมันใช้กับจีนไม่ได้
แล้วอย่างเงียบๆ ท่อส่งแก๊ส น้ำมัน พม่าจีน ก็สร้างเสร็จ ทำพิธีปล่อยลูกโป่งไปเมื่อ เดือนมกราคม ต้นปี ค.ศ.2015 นี้เอง กว่าจะเสร็จ เขาว่ามี เอ็นจีโอ ประท้วงเกือบทุกกิโลเมตร
จีนบอกว่า เรามาขออาศัยใช้พื้นที่วางท่อ เราไม่ได้มายุให้ประชาชนตีกัน ทะเลาะกัน เราไม่คิดยุ่งกับการบ้านการเมืองของใคร ไม่บังคับข่มขืนจิตใจใคร ให้ปกครองบ้านเมืองอย่างไร ไม่ต้องมาใช้ตะเกียบเหมือนเรา ถนัดนุ่งโสร่งก็นุ่งต่อไป เราไม่ยุ่งอะไรด้วย อาเฮียหวังมาผูกมิตร เซ็งลี้ฮ้อด้วยกันอย่างเดียว และเพื่อให้แน่ใจว่าไม่ได้มาเอา เปรียบ จีนตกลงจะจ่ายค่าชดเชย (ค่าใช้ที่ดินในการวางท่อ) ให้พม่าเป็นระยะเวลา 30 ปี รวมเป็นเงินประมาณ 5 หมื่น 3 พันล้านเหรียญ และสร้างโรงเรียน โรงพยาบาล ใบบริเวณ ที่ท่อส่งผ่าน อีกประมาณ 25 ล้านเหรียญ แล้วทั้งเสียงของ เอ็นจีโอ และรัฐบาลพม่าก็เงียบไป
แล้วอีกเสียงจะเงียบไหม คุณนายซู ยังไม่ได้คุมประเทศตามที่ต้องการ โปรโมเตอร์เสียงอ่อยไปจม เหลือให้เล่นไม่กี่ฉาก ตามสันดานนักล่า หมากพม่ากระดานนี้ ดูเหมือนนักล่าจะเสียให้แก่จีน เหมือนตอนเสียซูดานใต้ยกแรก แบบนี้ นักล่าคงเตรียมยุทธศาสตร์รุกกลับ รุนแรงตามสันดาน และอาจจะหนักกว่าสมัยซูดานใต้
สวัสดีครับ
คนเล่านิทาน
24 ก.ย. 2558

แผนชั่ว ตอนที่ 11 นิทานเรื่องจริง เรื่อง “แผนชั่ว” ตอน 11 ในช่วงหลายปีมานี้ จีนให้ความช่วยเหลือพม่า ด้านการทหารอย่างมหาศาล ให้ทั้งเครื่องบินรบ เครื่องบินขนส่ง รถถัง และอาวุธ รวมทั้งส่งเรือรบ และเครื่องป้องกันจรวดจากพื้นดินด้วย นอกจากนี้ จีนยังสร้างทางรถไฟ ถนนให้กับพม่า และพม่ายังมีข้อตกลงกับจีน ให้จีนสามารถนำกองกำลังเข้ามาในพม่าได้ด้วย เรื่องนี้ มันเหลือเชื่อ … นอกจากนี้ จีนยังสร้างเครื่องตรวจจับโดยใช้ระบบอีเล็กโทรนิค ไว้ที่เกาะโกโก้ของพม่า ในมหาสมุทรอินเดีย และพม่ายังยอมให้จีน สร้างฐานทัพเรือ ไว้แถวนั้นอีกด้วย เขาจับมือกันแน่นขนาดนี้ อเมริกาจะทนดูไหวหรือ น้ำมันและแก๊สของพม่า ก็เป็นอีกเรื่องหนึ่ง ทั้ง 2 เรื่องนี้ น่าจะเป็นสาเหตุ ที่ทำให้อเมริกาแยกเขี้ยวคำราม จนขนสันหลังตั้งชัน ใส่จีน พม่าเริ่มผลิตน้ำมันและแก๊สได้เอง ตั้งแต่ยังเป็นอาณานิคมของอังกฤษ แล้ว โดยอังกฤษตั้งบริษัท ชื่อ Rangoon Oil Company ในปี ค.ศ.1871 ต่อมาเปลี่ยนชื่อเป็น Burmah Oil Company ในปี ค.ศ.1970 พม่าผลิตแก๊สธรรมชาติได้ และในปี ค.ศ.1990 พม่าให้สัมปทานแก๊ส ในอ่าวเมาะตะมะ Martaban แก่ Elf Total ของฝรั่งเศส และ Premier Oil ของอังกฤษ ต่อมา Texaco และ Unocal (ปัจจุบันเปลี่ยนชื่อเป็น Chevron) ก็ได้สัมปทาน จากแหล่ง ยาดานา Yadana และเยตากุน Yatagun ด้วย ใครว่าพม่าปิดประตูแน่น แหล่งยาดานา มีแก๊สประมาณ 5 ล้านล้านคิวบิกฟุต คาดกันว่ามีอายุใช้งานอย่างน้อย 30 ปี ส่วนเยตากุน มีประมาณ 1 ใน 3 ของ ยาดานา พม่าไม่น่าจนนะ ในปี ค.ศ.2004 ยังมีการค้นพบแหล่งแก๊สใหญ่ ฉ่วย Shwe นอกอ่าวอาระกัน Arakan ในปี ค.ศ.2002 Texaco และ Premier Oil ต่างถอนตัวจาก โครงการที่เยตากุน หลังจากมีการกดดันจากรัฐบาลอังกฤษ และพวก เอ็นจีโอ NGO หลังจากนั้น Petronas ของมาเลเซีย ก็เข้ามาซื้อหุ้นใน Premier ไป 27% และ Premier ก็กลับเข้าไปทำโครงการ ในเยตากุนต่อร่วมกับ Nippon’s Oil ของญี่ปุ่นกับ PTT-EP ของไทย แก๊สจากแหล่งนี้ ส่งออกไปตามท่อของยาดานา การร่วมทุนรายการนี้ น่าสนใจนะครับ มาเลเซีย อังกฤษ ญี่ปุ่น ไทย ในปี ค.ศ. 2002 ที่เรามีไอ้โจรร้ายเป็นนายกรัฐมนตรี (ไอ้โจรร้าย เป็นนายกรัฐมนตรี ค.ศ.2001 ถึง 2006) ส่วนที่ยาดานา มีการร่วมลงทุนระหว่าง Elf Total, Unocal, PTT-EP และ MOGE องค์กรของรัฐบาลพม่า โดยมี Total เป็นผู้ดำเนินการ ในช่วงปี ค.ศ.2005 จีน ไทย เกาหลีใต้ ต่างขยายการลงทุนในพม่า ด้านน้ำมันและแก๊สอย่างมาก การส่งออกแก็สของพม่า มายังไทยเพิ่มขึ้นถึง 50% แก๊ส กลายเป็นสินค้าส่งออกสำคัญที่นำรายได้มาเลี้ยงพม่า จีน อินเดีย พม่า และบังคลาเทศ มีข้อพิพาทเกี่ยวกับสิทธิในแหล่งทรัพยากรในทะเล ซึ่งรวมไปถึงสิทธืในแหล่งแก็ส ฉ่วย Shwe ในปี ค.ศ.2007 พม่าลงนามในบันทึกข้อตกลงกับ PetroChina ที่จะส่งแก๊สจากแหล่งฉ่วยในอ่าวเบงกอลให้แก่จีน ในปริมาณมหาศาล เป็นเวลา 30 ปี รายการนี้ อีนี่ อินเดียเสียหายมาก เดิมพม่าให้สัมปทานกับอินเดีย ที่จะขุดเจาะแก๊ส 2 หลุมในทะเล และอินเดียมีแผนที่จะส่งแก๊ส เข้าท่อส่งแก๊ส ที่จะวางผ่านบังคลาเทศ ไปเข้าอินเดีย แต่แขกคุยกันเองไม่รู้เรื่อง เกี่ยวกับเรื่องเขตแดนในทะเล คงส่ายหน้าไปกันคนละทาง เขาว่า กว่าจะตกลงกันได้ ก็ปาเข้าปี ค.ศ.2014 นี่เอง พม่าขี้เกียจรอแขกทะเลาะกัน เลยตัดสินใจคุยกับจีน ซึ่งเสนอเงินลงทุนหลายพันล้านเหรียญ เพื่อสร้างท่อส่งแก๊สและน้ำมัน จากท่าเรือน้ำลึกในสิตเว Sittwe ที่อ่าวเบงกอล ข้ามไปนู่น ถึงคุนหมิง แค้วนยูนนานของจีน เป็นท่อส่งที่มีความยาวถึง 2,400 กิโลเมตร (บางข้อมูล บอก 2,800 กิโลเมตร) และจีนกำลังสร้างโรงกลั่นน้ำมัน ที่คุนหมิงอีกด้วย คงพอเห็นยุทธศาสตร์ของอาเฮีย เพื่อแก้เกมรัดคอนะครับ (จีนเริ่มคุยกับพม่า ตั้งแต่ปี ค.ศ.2004 แต่มาทำสัญญากันปี ค.ศ.2008) ท่อส่งรายการนี้ จะช่วยให้น้ำมันจากอาฟริกา (ซูดานและชาด เป็นต้น) และตะวันออกกลาง (อิหร่าน ซาอุดิอารเบีย) ส่งมาถึงจีน โดยไม่ต้องผ่านจุดรัดคอ ที่ช่องแคบมะละกา ห่างมือห่างตีน ของอเมริกา ที่คิดจะมาคุมช่องแคบมะละกา และพม่าก็กลายเป็นสะพานเชื่อมจีน กับ บังคลาเทศ อีกด้วย ฝ่ายหนึ่ง เตรียมแผนคุมบริเวณห่วงรัดคอ อีกฝ่าย กำลังหนีห่วงรัดคอ ด้วยแผนสร้างท่อ สู้ด้วยท่อเหมือนเพื่อนรัก ถ้าจีนสร้างท่อส่งเสร็จเมื่อไหร่ แผนห่วงรัดคอ ก็คงเป็นหมันใช้กับจีนไม่ได้ แล้วอย่างเงียบๆ ท่อส่งแก๊ส น้ำมัน พม่าจีน ก็สร้างเสร็จ ทำพิธีปล่อยลูกโป่งไปเมื่อ เดือนมกราคม ต้นปี ค.ศ.2015 นี้เอง กว่าจะเสร็จ เขาว่ามี เอ็นจีโอ ประท้วงเกือบทุกกิโลเมตร จีนบอกว่า เรามาขออาศัยใช้พื้นที่วางท่อ เราไม่ได้มายุให้ประชาชนตีกัน ทะเลาะกัน เราไม่คิดยุ่งกับการบ้านการเมืองของใคร ไม่บังคับข่มขืนจิตใจใคร ให้ปกครองบ้านเมืองอย่างไร ไม่ต้องมาใช้ตะเกียบเหมือนเรา ถนัดนุ่งโสร่งก็นุ่งต่อไป เราไม่ยุ่งอะไรด้วย อาเฮียหวังมาผูกมิตร เซ็งลี้ฮ้อด้วยกันอย่างเดียว และเพื่อให้แน่ใจว่าไม่ได้มาเอา เปรียบ จีนตกลงจะจ่ายค่าชดเชย (ค่าใช้ที่ดินในการวางท่อ) ให้พม่าเป็นระยะเวลา 30 ปี รวมเป็นเงินประมาณ 5 หมื่น 3 พันล้านเหรียญ และสร้างโรงเรียน โรงพยาบาล ใบบริเวณ ที่ท่อส่งผ่าน อีกประมาณ 25 ล้านเหรียญ แล้วทั้งเสียงของ เอ็นจีโอ และรัฐบาลพม่าก็เงียบไป แล้วอีกเสียงจะเงียบไหม คุณนายซู ยังไม่ได้คุมประเทศตามที่ต้องการ โปรโมเตอร์เสียงอ่อยไปจม เหลือให้เล่นไม่กี่ฉาก ตามสันดานนักล่า หมากพม่ากระดานนี้ ดูเหมือนนักล่าจะเสียให้แก่จีน เหมือนตอนเสียซูดานใต้ยกแรก แบบนี้ นักล่าคงเตรียมยุทธศาสตร์รุกกลับ รุนแรงตามสันดาน และอาจจะหนักกว่าสมัยซูดานใต้ สวัสดีครับ คนเล่านิทาน 24 ก.ย. 2558

0 Comments 0 Shares 403 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-06 14:16:12 -

เครื่องคิดเลขเชิงกลยุค 1950 พบกับโจทย์ "หารด้วยศูนย์"

ในยุคก่อนคอมพิวเตอร์ดิจิทัล เครื่องคิดเลขเชิงกลถูกใช้กันอย่างแพร่หลาย แต่เมื่อมีการป้อนคำสั่งให้หารด้วยศูนย์ กลไกภายในไม่สามารถหยุดหรือแจ้งข้อผิดพลาดได้ ผลลัพธ์คือเฟืองและเกียร์หมุนอย่างไร้ทิศทาง คล้ายกับการเข้าสู่ “วงจรอนันต์” ที่ไม่สามารถออกมาได้

การพัฒนาสู่ยุคไมโครโปรเซสเซอร์
เมื่อ Intel เปิดตัวชิป 4004 ในปี 1971 แม้ยังไม่มีคำสั่งหารโดยตรง แต่ก็เริ่มมีการตรวจจับข้อผิดพลาดผ่านเฟิร์มแวร์ในเครื่องคิดเลขเชิงดิจิทัล ทำให้สามารถแสดงข้อความ error แทนการเข้าสู่ภาวะค้างหรือหมุนไม่หยุดเหมือนเครื่องเชิงกล

จุดเปลี่ยนสำคัญ: Intel 8086 และมาตรฐาน IEEE 754
ปี 1978 Intel เปิดตัว 8086 ที่สามารถตรวจจับการหารด้วยศูนย์ในระดับฮาร์ดแวร์ และต่อมาในปี 1985 มาตรฐาน IEEE 754 ได้เพิ่มการจัดการตัวเลขทศนิยมแบบพิเศษ เช่น Infinity และ NaN ซึ่งช่วยให้ระบบไม่ล่ม แต่แสดงผลลัพธ์ที่บ่งบอกถึงความผิดพลาดแทน

ปัญหาที่ยังคงอยู่ในยุคใหม่
แม้เทคโนโลยีจะพัฒนาไปมาก แต่รายงานล่าสุดยังพบว่าเกมบางเกม เช่น World of Warcraft บนซีพียูรุ่นใหม่ Raptor Lake ยังประสบปัญหา crash จากการหารด้วยศูนย์ แสดงให้เห็นว่าปัญหานี้ยังคงเป็น “บทเรียนอมตะ” ของวงการคอมพิวเตอร์

สรุปประเด็นสำคัญ
เครื่องคิดเลขเชิงกลยุค 1950
เมื่อถูกสั่งหารด้วยศูนย์ เฟืองหมุนไม่หยุดและไม่สามารถแจ้ง error ได้

Intel 4004 และการตรวจจับข้อผิดพลาดผ่านเฟิร์มแวร์
เริ่มต้นการป้องกันการ crash ในเครื่องคิดเลขดิจิทัล

Intel 8086 และ IEEE 754
เพิ่มการตรวจจับในฮาร์ดแวร์และการแสดงผล Infinity/NaN

ปัญหายังคงพบในซอฟต์แวร์ยุคใหม่
เกมบางเกมยัง crash เมื่อเจอการหารด้วยศูนย์

ความเสี่ยงจากการไม่จัดการ error อย่างถูกต้อง
อาจทำให้ระบบเข้าสู่ภาวะค้างหรือ crash ได้

การพึ่งพาซอฟต์แวร์ที่ไม่รองรับการตรวจจับ
ยังคงเป็นช่องโหว่ที่นักพัฒนาต้องระวัง

https://www.tomshardware.com/pc-components/cpus/1950s-mechanical-calculator-crumbles-in-the-face-of-divide-by-zero-conundrum-relic-spins-its-gears-uncontrollably-in-chaotic-loop-of-endless-motion

⚙️ เครื่องคิดเลขเชิงกลยุค 1950 พบกับโจทย์ "หารด้วยศูนย์" ในยุคก่อนคอมพิวเตอร์ดิจิทัล เครื่องคิดเลขเชิงกลถูกใช้กันอย่างแพร่หลาย แต่เมื่อมีการป้อนคำสั่งให้หารด้วยศูนย์ กลไกภายในไม่สามารถหยุดหรือแจ้งข้อผิดพลาดได้ ผลลัพธ์คือเฟืองและเกียร์หมุนอย่างไร้ทิศทาง คล้ายกับการเข้าสู่ “วงจรอนันต์” ที่ไม่สามารถออกมาได้ 🖥️ การพัฒนาสู่ยุคไมโครโปรเซสเซอร์ เมื่อ Intel เปิดตัวชิป 4004 ในปี 1971 แม้ยังไม่มีคำสั่งหารโดยตรง แต่ก็เริ่มมีการตรวจจับข้อผิดพลาดผ่านเฟิร์มแวร์ในเครื่องคิดเลขเชิงดิจิทัล ทำให้สามารถแสดงข้อความ error แทนการเข้าสู่ภาวะค้างหรือหมุนไม่หยุดเหมือนเครื่องเชิงกล 🔑 จุดเปลี่ยนสำคัญ: Intel 8086 และมาตรฐาน IEEE 754 ปี 1978 Intel เปิดตัว 8086 ที่สามารถตรวจจับการหารด้วยศูนย์ในระดับฮาร์ดแวร์ และต่อมาในปี 1985 มาตรฐาน IEEE 754 ได้เพิ่มการจัดการตัวเลขทศนิยมแบบพิเศษ เช่น Infinity และ NaN ซึ่งช่วยให้ระบบไม่ล่ม แต่แสดงผลลัพธ์ที่บ่งบอกถึงความผิดพลาดแทน 🎮 ปัญหาที่ยังคงอยู่ในยุคใหม่ แม้เทคโนโลยีจะพัฒนาไปมาก แต่รายงานล่าสุดยังพบว่าเกมบางเกม เช่น World of Warcraft บนซีพียูรุ่นใหม่ Raptor Lake ยังประสบปัญหา crash จากการหารด้วยศูนย์ แสดงให้เห็นว่าปัญหานี้ยังคงเป็น “บทเรียนอมตะ” ของวงการคอมพิวเตอร์ 📌 สรุปประเด็นสำคัญ ✅ เครื่องคิดเลขเชิงกลยุค 1950 ➡️ เมื่อถูกสั่งหารด้วยศูนย์ เฟืองหมุนไม่หยุดและไม่สามารถแจ้ง error ได้ ✅ Intel 4004 และการตรวจจับข้อผิดพลาดผ่านเฟิร์มแวร์ ➡️ เริ่มต้นการป้องกันการ crash ในเครื่องคิดเลขดิจิทัล ✅ Intel 8086 และ IEEE 754 ➡️ เพิ่มการตรวจจับในฮาร์ดแวร์และการแสดงผล Infinity/NaN ✅ ปัญหายังคงพบในซอฟต์แวร์ยุคใหม่ ➡️ เกมบางเกมยัง crash เมื่อเจอการหารด้วยศูนย์ ‼️ ความเสี่ยงจากการไม่จัดการ error อย่างถูกต้อง ⛔ อาจทำให้ระบบเข้าสู่ภาวะค้างหรือ crash ได้ ‼️ การพึ่งพาซอฟต์แวร์ที่ไม่รองรับการตรวจจับ ⛔ ยังคงเป็นช่องโหว่ที่นักพัฒนาต้องระวัง https://www.tomshardware.com/pc-components/cpus/1950s-mechanical-calculator-crumbles-in-the-face-of-divide-by-zero-conundrum-relic-spins-its-gears-uncontrollably-in-chaotic-loop-of-endless-motion

WWW.TOMSHARDWARE.COM

1950s mechanical calculator crumbles in the face of divide-by-zero conundrum — relic spins its gears uncontrollably in 'chaotic loop' of endless motion
Decades of standards and error‑handling improvements mean similar system-breaking moments are rare in 2025.

0 Comments 0 Shares 182 Views 0 Reviews

Please log in to like, share and comment!
นทีทิพย์ ธรรมนูญรักษ์
2025-12-05 14:07:26 -

ท่องเที่ยวดูเพลินๆ
https://youtu.be/UK9S71RLMBY?si=3GPNtAE5uR9pDSEB
#แบกเป้เกอร์
#เที่ยวจีน
#china

ท่องเที่ยวดูเพลินๆ https://youtu.be/UK9S71RLMBY?si=3GPNtAE5uR9pDSEB #แบกเป้เกอร์ #เที่ยวจีน #china

0 Comments 0 Shares 136 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-05 03:22:56 -

"AI จุดกระแสเศรษฐกิจโลก – ระหว่างโอกาสและความกังวลด้านงาน"

AI ถูกมองว่าเป็นการปฏิวัติเทคโนโลยีครั้งใหญ่ที่สุดนับตั้งแต่การเกิดอินเทอร์เน็ต โดยในครึ่งแรกของปี 2025 การลงทุนด้าน AI มีส่วนสำคัญต่อการเติบโตของ GDP สหรัฐฯ มากกว่าการบริโภคภาคครัวเรือน สะท้อนถึงการทุ่มทุนมหาศาลจากบริษัทเทคโนโลยีและนักลงทุน.

อย่างไรก็ตาม ความกังวลเรื่อง การแทนที่แรงงาน เริ่มชัดเจนขึ้น รายงานของธนาคารกลางสหรัฐฯ ระบุว่า AI กำลังแทนที่ตำแหน่งงานระดับเริ่มต้น และทำให้บริษัทชะลอการจ้างงานใหม่ ขณะที่ผลสำรวจ Reuters/Ipsos พบว่า 71% ของประชาชนกังวลว่า AI จะทำให้คนตกงานถาวร.

นักเศรษฐศาสตร์บางคน เช่น Joseph Lavorgna จากกระทรวงการคลังสหรัฐฯ มองในเชิงบวกว่า AI เป็นเครื่องมือเสริมแรงงานมากกว่าการแทนที่ แต่ผู้บริหารบริษัทใหญ่ เช่น EY และ Moderna ชี้ว่าองค์กรเริ่มวางแผนทรัพยากรบุคคลควบคู่กับการลงทุนด้านเทคโนโลยี ซึ่งสะท้อนการเปลี่ยนแปลงเชิงโครงสร้างของตลาดแรงงาน.

นอกจากเรื่องงานแล้ว ยังมีความกังวลด้าน พลังงานและสิ่งแวดล้อม เนื่องจากศูนย์ข้อมูลที่รองรับ AI ใช้ไฟฟ้าและน้ำจำนวนมหาศาล Cisco เตือนว่าการประมวลผล AI แบบต่อเนื่องสร้างภาระต่อโครงสร้างพื้นฐานพลังงาน ขณะที่ชุมชนในบางรัฐเริ่มต่อต้านการขยายศูนย์ข้อมูลเพราะค่าไฟฟ้าที่สูงขึ้น.

สรุปประเด็นสำคัญ
ข้อมูลจากข่าว
AI มีส่วนสำคัญต่อการเติบโต GDP สหรัฐฯ ในปี 2025
รายงาน Fed ระบุว่า AI แทนที่งานระดับเริ่มต้น
ผลสำรวจ Reuters/Ipsos: 71% กังวลตกงานถาวร
Cisco เตือนการใช้พลังงานของศูนย์ข้อมูล AI สูงมาก

ข้อมูลเสริมจาก Internet
ตลาด AI ทั่วโลกคาดว่าจะมีมูลค่าเกิน 1 ล้านล้านดอลลาร์ภายในปี 2030
หลายประเทศเริ่มออกกฎหมายควบคุมการใช้พลังงานของศูนย์ข้อมูล
บริษัทเทคโนโลยีลงทุนในระบบระบายความร้อนด้วยน้ำเพื่อลดผลกระทบสิ่งแวดล้อม

คำเตือนจากข่าว
AI อาจทำให้แรงงานระดับเริ่มต้นตกงานจำนวนมาก
การใช้พลังงานสูงของศูนย์ข้อมูลอาจกระทบสิ่งแวดล้อมและค่าไฟฟ้าในชุมชน
การพึ่งพา AI โดยไม่วางนโยบายรองรับอาจทำให้เศรษฐกิจไม่สมดุล

https://www.thestar.com.my/tech/tech-news/2025/12/05/ai039s-rise-stirs-excitement-sparks-job-worries-

🤖 "AI จุดกระแสเศรษฐกิจโลก – ระหว่างโอกาสและความกังวลด้านงาน" AI ถูกมองว่าเป็นการปฏิวัติเทคโนโลยีครั้งใหญ่ที่สุดนับตั้งแต่การเกิดอินเทอร์เน็ต โดยในครึ่งแรกของปี 2025 การลงทุนด้าน AI มีส่วนสำคัญต่อการเติบโตของ GDP สหรัฐฯ มากกว่าการบริโภคภาคครัวเรือน สะท้อนถึงการทุ่มทุนมหาศาลจากบริษัทเทคโนโลยีและนักลงทุน. อย่างไรก็ตาม ความกังวลเรื่อง การแทนที่แรงงาน เริ่มชัดเจนขึ้น รายงานของธนาคารกลางสหรัฐฯ ระบุว่า AI กำลังแทนที่ตำแหน่งงานระดับเริ่มต้น และทำให้บริษัทชะลอการจ้างงานใหม่ ขณะที่ผลสำรวจ Reuters/Ipsos พบว่า 71% ของประชาชนกังวลว่า AI จะทำให้คนตกงานถาวร. นักเศรษฐศาสตร์บางคน เช่น Joseph Lavorgna จากกระทรวงการคลังสหรัฐฯ มองในเชิงบวกว่า AI เป็นเครื่องมือเสริมแรงงานมากกว่าการแทนที่ แต่ผู้บริหารบริษัทใหญ่ เช่น EY และ Moderna ชี้ว่าองค์กรเริ่มวางแผนทรัพยากรบุคคลควบคู่กับการลงทุนด้านเทคโนโลยี ซึ่งสะท้อนการเปลี่ยนแปลงเชิงโครงสร้างของตลาดแรงงาน. นอกจากเรื่องงานแล้ว ยังมีความกังวลด้าน พลังงานและสิ่งแวดล้อม เนื่องจากศูนย์ข้อมูลที่รองรับ AI ใช้ไฟฟ้าและน้ำจำนวนมหาศาล Cisco เตือนว่าการประมวลผล AI แบบต่อเนื่องสร้างภาระต่อโครงสร้างพื้นฐานพลังงาน ขณะที่ชุมชนในบางรัฐเริ่มต่อต้านการขยายศูนย์ข้อมูลเพราะค่าไฟฟ้าที่สูงขึ้น. 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ AI มีส่วนสำคัญต่อการเติบโต GDP สหรัฐฯ ในปี 2025 ➡️ รายงาน Fed ระบุว่า AI แทนที่งานระดับเริ่มต้น ➡️ ผลสำรวจ Reuters/Ipsos: 71% กังวลตกงานถาวร ➡️ Cisco เตือนการใช้พลังงานของศูนย์ข้อมูล AI สูงมาก ✅ ข้อมูลเสริมจาก Internet ➡️ ตลาด AI ทั่วโลกคาดว่าจะมีมูลค่าเกิน 1 ล้านล้านดอลลาร์ภายในปี 2030 ➡️ หลายประเทศเริ่มออกกฎหมายควบคุมการใช้พลังงานของศูนย์ข้อมูล ➡️ บริษัทเทคโนโลยีลงทุนในระบบระบายความร้อนด้วยน้ำเพื่อลดผลกระทบสิ่งแวดล้อม ‼️ คำเตือนจากข่าว ⛔ AI อาจทำให้แรงงานระดับเริ่มต้นตกงานจำนวนมาก ⛔ การใช้พลังงานสูงของศูนย์ข้อมูลอาจกระทบสิ่งแวดล้อมและค่าไฟฟ้าในชุมชน ⛔ การพึ่งพา AI โดยไม่วางนโยบายรองรับอาจทำให้เศรษฐกิจไม่สมดุล https://www.thestar.com.my/tech/tech-news/2025/12/05/ai039s-rise-stirs-excitement-sparks-job-worries-

WWW.THESTAR.COM.MY

AI's rise stirs excitement, sparks job worries
NEW YORK, Dec 4 (Reuters) - The transformative effects of artificial intelligence dominated discussions at the Reuters NEXT conference in New York, with panelists concentrating on how it may upend work - and job growth - sidestepping concerns about an AI bubble.

0 Comments 0 Shares 292 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-05 03:01:09 -

“3 รุ่น VR Headset ที่มือใหม่ควรเลี่ยง”

ตลาด VR เติบโตขึ้นอย่างมาก แต่ไม่ใช่ว่าทุกอุปกรณ์จะเหมาะกับผู้เริ่มต้น บทความต้นทางได้ยกตัวอย่าง HTC Vive XR Elite ที่แม้จะมีโครงสร้างโมดูลาร์และฟีเจอร์หลากหลาย แต่กลับซับซ้อนและราคาแพงเกินไปสำหรับผู้ใช้ใหม่ อีกทั้งยังมีปัญหาด้านความสบายและการใช้งานคอนโทรลเลอร์ที่ไม่สมดุล

ในอีกด้านหนึ่ง Destek VR Headset แม้จะราคาถูกและใช้งานร่วมกับสมาร์ทโฟนได้ แต่กลับมีข้อจำกัด เช่น เลนส์ที่เกิดฝ้าได้ง่าย ความไม่สบายจากวัสดุ และปัญหาการเชื่อมต่อบ่อยครั้ง ทำให้ประสบการณ์ VR ไม่ราบรื่นอย่างที่ควรจะเป็น

สุดท้ายคือ Meta Quest 2 ที่แม้เคยเป็นรุ่นยอดนิยม แต่ถูกยุติการผลิตเพื่อเปิดทางให้ Quest 3 ปัญหาที่พบคือวัสดุที่ทำให้เกิดการระคายเคืองผิวหนัง ความร้อนสูง และแบตเตอรี่หมดเร็ว อีกทั้งการหยุดสนับสนุนซอฟต์แวร์ในอนาคตทำให้ไม่เหมาะกับผู้เริ่มต้นที่ต้องการใช้งานระยะยาว

“ตลาด VR ปี 2025 โตแรง”
ข้อมูลล่าสุดเผยว่า ตลาด VR Headset ปี 2025 มีมูลค่า 10.3 พันล้านดอลลาร์ และคาดว่าจะโตถึง 51.9 พันล้านดอลลาร์ในปี 2034 ด้วยอัตราเติบโตเฉลี่ยเกือบ 20% ต่อปี ปัจจัยสำคัญคือการผสาน AI เข้ากับ VR ทำให้ประสบการณ์เสมือนจริงตอบสนองผู้ใช้ได้ดียิ่งขึ้น รวมถึงการขยายเครือข่าย 5G ที่ช่วยให้การสตรีมคอนเทนต์ VR มีคุณภาพสูงขึ้น

สรุปประเด็นสำคัญ
HTC Vive XR Elite
โครงสร้างโมดูลาร์ แต่ซับซ้อนและราคาแพง
คอนโทรลเลอร์ใหญ่เกินไป ใช้งานไม่ถนัด

Destek VR Headset
ราคาถูก ใช้ร่วมกับสมาร์ทโฟนได้
ปัญหาเลนส์ฝ้าและการเชื่อมต่อไม่เสถียร

Meta Quest 2
เคยนิยม แต่ถูกยกเลิกการผลิต
มีปัญหาความร้อนและแบตเตอรี่หมดเร็ว

ตลาด VR ปี 2025
มูลค่า 10.3 พันล้านดอลลาร์ และโตต่อเนื่อง
AI และ 5G เป็นตัวขับเคลื่อนหลัก

คำเตือนสำหรับผู้เริ่มต้น
อย่าซื้อรุ่นที่ถูกยกเลิก เพราะจะหมดการสนับสนุน
ระวังรุ่นราคาถูกที่คุณภาพต่ำ อาจทำให้ประสบการณ์ VR แย่ลง
ตรวจสอบความสบายและวัสดุ เพราะอาจทำให้เกิดการระคายเคืองหรือไม่เหมาะกับการใช้งานนาน ๆ

https://www.slashgear.com/1716941/worst-vr-headset-beginners/

🕶️ “3 รุ่น VR Headset ที่มือใหม่ควรเลี่ยง” ตลาด VR เติบโตขึ้นอย่างมาก แต่ไม่ใช่ว่าทุกอุปกรณ์จะเหมาะกับผู้เริ่มต้น บทความต้นทางได้ยกตัวอย่าง HTC Vive XR Elite ที่แม้จะมีโครงสร้างโมดูลาร์และฟีเจอร์หลากหลาย แต่กลับซับซ้อนและราคาแพงเกินไปสำหรับผู้ใช้ใหม่ อีกทั้งยังมีปัญหาด้านความสบายและการใช้งานคอนโทรลเลอร์ที่ไม่สมดุล ในอีกด้านหนึ่ง Destek VR Headset แม้จะราคาถูกและใช้งานร่วมกับสมาร์ทโฟนได้ แต่กลับมีข้อจำกัด เช่น เลนส์ที่เกิดฝ้าได้ง่าย ความไม่สบายจากวัสดุ และปัญหาการเชื่อมต่อบ่อยครั้ง ทำให้ประสบการณ์ VR ไม่ราบรื่นอย่างที่ควรจะเป็น สุดท้ายคือ Meta Quest 2 ที่แม้เคยเป็นรุ่นยอดนิยม แต่ถูกยุติการผลิตเพื่อเปิดทางให้ Quest 3 ปัญหาที่พบคือวัสดุที่ทำให้เกิดการระคายเคืองผิวหนัง ความร้อนสูง และแบตเตอรี่หมดเร็ว อีกทั้งการหยุดสนับสนุนซอฟต์แวร์ในอนาคตทำให้ไม่เหมาะกับผู้เริ่มต้นที่ต้องการใช้งานระยะยาว 📈 “ตลาด VR ปี 2025 โตแรง” ข้อมูลล่าสุดเผยว่า ตลาด VR Headset ปี 2025 มีมูลค่า 10.3 พันล้านดอลลาร์ และคาดว่าจะโตถึง 51.9 พันล้านดอลลาร์ในปี 2034 ด้วยอัตราเติบโตเฉลี่ยเกือบ 20% ต่อปี ปัจจัยสำคัญคือการผสาน AI เข้ากับ VR ทำให้ประสบการณ์เสมือนจริงตอบสนองผู้ใช้ได้ดียิ่งขึ้น รวมถึงการขยายเครือข่าย 5G ที่ช่วยให้การสตรีมคอนเทนต์ VR มีคุณภาพสูงขึ้น 📌 สรุปประเด็นสำคัญ ✅ HTC Vive XR Elite ➡️ โครงสร้างโมดูลาร์ แต่ซับซ้อนและราคาแพง ➡️ คอนโทรลเลอร์ใหญ่เกินไป ใช้งานไม่ถนัด ✅ Destek VR Headset ➡️ ราคาถูก ใช้ร่วมกับสมาร์ทโฟนได้ ➡️ ปัญหาเลนส์ฝ้าและการเชื่อมต่อไม่เสถียร ✅ Meta Quest 2 ➡️ เคยนิยม แต่ถูกยกเลิกการผลิต ➡️ มีปัญหาความร้อนและแบตเตอรี่หมดเร็ว ✅ ตลาด VR ปี 2025 ➡️ มูลค่า 10.3 พันล้านดอลลาร์ และโตต่อเนื่อง ➡️ AI และ 5G เป็นตัวขับเคลื่อนหลัก ‼️ คำเตือนสำหรับผู้เริ่มต้น ⛔ อย่าซื้อรุ่นที่ถูกยกเลิก เพราะจะหมดการสนับสนุน ⛔ ระวังรุ่นราคาถูกที่คุณภาพต่ำ อาจทำให้ประสบการณ์ VR แย่ลง ⛔ ตรวจสอบความสบายและวัสดุ เพราะอาจทำให้เกิดการระคายเคืองหรือไม่เหมาะกับการใช้งานนาน ๆ https://www.slashgear.com/1716941/worst-vr-headset-beginners/

WWW.SLASHGEAR.COM

3 Of The Worst VR Headsets To Buy For Beginners - SlashGear
If you're planning to buy a VR headset, it's not just the best options you should know about. It's also helpful to know the worst headsets on the market.

0 Comments 0 Shares 155 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-04 03:55:17 -

วิวัฒนาการของโทรศัพท์มือถือจากยุคแรกที่เป็น “Car Phones” จนถึงสมาร์ทโฟนยุคใหม่

บทความนี้เล่าถึงวิวัฒนาการของโทรศัพท์มือถือจากยุคแรกที่เป็น “Car Phones” จนถึงสมาร์ทโฟนยุคใหม่ โดยเน้นเหตุการณ์สำคัญ เช่น การเปิดตัว Motorola DynaTAC, Nokia Cityman, Motorola MicroTAC (Flip Phone), ข้อความ SMS แรก, IBM Simon (Smartphone แรก), โทรศัพท์ที่เชื่อมต่ออินเทอร์เน็ต, โทรศัพท์ที่เล่นเพลง MP3, โทรศัพท์กล้อง และการเปิดตัว iPhone

ยุคแรก: Car Phones และ Motorola DynaTAC
โทรศัพท์มือถือเริ่มต้นในปี 1946 โดย AT&T แต่ยังมีข้อจำกัดด้านช่องสัญญาณและพลังงาน จึงถูกติดตั้งในรถยนต์และเรียกว่า “Car Phones” ต่อมาในปี 1973 Martin Cooper จาก Motorola ได้โทรศัพท์ครั้งแรกด้วย DynaTAC 8000X ซึ่งหนักถึง 2.5 ปอนด์และใช้งานได้เพียง 35 นาที

การพัฒนาในยุค 80s–90s: Nokia และ Flip Phone
ปี 1987 Nokia Mobira Cityman ได้รับความนิยมเมื่อถูกใช้โดย Mikhail Gorbachev และถือเป็นโทรศัพท์ที่เบากว่า DynaTAC แม้ราคาสูงมาก ต่อมาในปี 1989 Motorola เปิดตัว MicroTAC 9800X ซึ่งเป็น โทรศัพท์ฝาพับ (Flip Phone) รุ่นแรก ทำให้โทรศัพท์เริ่มมีขนาดเล็กลงและพกพาสะดวกขึ้น

การสื่อสารใหม่: SMS และ IBM Simon
วันที่ 3 ธันวาคม 1992 มีการส่ง ข้อความ SMS แรก (“Merry Christmas”) โดย Neil Papworth ถือเป็นการเปลี่ยนแปลงครั้งใหญ่ในวิธีการสื่อสาร ต่อมาในปี 1992 IBM เปิดตัว Simon Personal Communicator ซึ่งถูกมองว่าเป็น สมาร์ทโฟนรุ่นแรก เพราะมีหน้าจอสัมผัสและสามารถส่งอีเมล, fax และเก็บข้อมูลติดต่อได้

ฟีเจอร์ใหม่: อินเทอร์เน็ต, MP3 และกล้อง
ช่วงกลางยุค 90s โทรศัพท์เริ่มเชื่อมต่ออินเทอร์เน็ต เช่น Nokia 9000 Communicator (1996) และ Nokia 7110 ที่รองรับ WAP ต่อมาในปี 2000 Samsung UpRoar กลายเป็นโทรศัพท์ที่เล่น MP3 ได้ และในปีเดียวกัน Samsung SCH-V200 และ Sharp J-SH04 ถือเป็นโทรศัพท์กล้องรุ่นแรกที่สามารถถ่ายและส่งภาพได้

จุดเปลี่ยนครั้งใหญ่: iPhone
ปี 2007 Apple เปิดตัว iPhone รุ่นแรก ที่รวมการโทร, อินเทอร์เน็ต, เพลง และแอปพลิเคชันไว้ในเครื่องเดียว แม้รุ่นแรกยังไม่มี App Store หรือการส่ง MMS แต่ก็เป็นจุดเริ่มต้นของสมาร์ทโฟนยุคใหม่ที่เปลี่ยนโลกไปตลอดกาล

สรุปประเด็นสำคัญ
ยุคแรก (1946–1973)
Car Phones ใช้พลังงานจากแบตรถยนต์
Motorola DynaTAC โทรศัพท์มือถือเชิงพาณิชย์รุ่นแรก

ยุค 80s–90s
Nokia Cityman เบากว่าและถูกใช้โดยผู้นำโลก
Motorola MicroTAC โทรศัพท์ฝาพับรุ่นแรก

การสื่อสารใหม่
SMS แรกในปี 1992
IBM Simon สมาร์ทโฟนรุ่นแรก

ฟีเจอร์ใหม่ในยุค 90s–2000s
Nokia 9000 เชื่อมต่ออินเทอร์เน็ต
Samsung UpRoar เล่น MP3
Samsung SCH-V200 และ Sharp J-SH04 โทรศัพท์กล้องรุ่นแรก

ยุคสมาร์ทโฟน
iPhone (2007) ปฏิวัติวงการมือถือ

คำเตือนต่อผู้ใช้
โทรศัพท์รุ่นเก่าไม่มีการอัปเดตความปลอดภัย เสี่ยงต่อการใช้งานในปัจจุบัน
การพึ่งพาเทคโนโลยีใหม่ทำให้ข้อมูลส่วนตัวเสี่ยงต่อการถูกเก็บและใช้งานโดยบริษัทใหญ่

https://www.slashgear.com/947221/the-stunning-transformation-of-cell-phones/

📳 วิวัฒนาการของโทรศัพท์มือถือจากยุคแรกที่เป็น “Car Phones” จนถึงสมาร์ทโฟนยุคใหม่ บทความนี้เล่าถึงวิวัฒนาการของโทรศัพท์มือถือจากยุคแรกที่เป็น “Car Phones” จนถึงสมาร์ทโฟนยุคใหม่ โดยเน้นเหตุการณ์สำคัญ เช่น การเปิดตัว Motorola DynaTAC, Nokia Cityman, Motorola MicroTAC (Flip Phone), ข้อความ SMS แรก, IBM Simon (Smartphone แรก), โทรศัพท์ที่เชื่อมต่ออินเทอร์เน็ต, โทรศัพท์ที่เล่นเพลง MP3, โทรศัพท์กล้อง และการเปิดตัว iPhone 📞 ยุคแรก: Car Phones และ Motorola DynaTAC โทรศัพท์มือถือเริ่มต้นในปี 1946 โดย AT&T แต่ยังมีข้อจำกัดด้านช่องสัญญาณและพลังงาน จึงถูกติดตั้งในรถยนต์และเรียกว่า “Car Phones” ต่อมาในปี 1973 Martin Cooper จาก Motorola ได้โทรศัพท์ครั้งแรกด้วย DynaTAC 8000X ซึ่งหนักถึง 2.5 ปอนด์และใช้งานได้เพียง 35 นาที 📱 การพัฒนาในยุค 80s–90s: Nokia และ Flip Phone ปี 1987 Nokia Mobira Cityman ได้รับความนิยมเมื่อถูกใช้โดย Mikhail Gorbachev และถือเป็นโทรศัพท์ที่เบากว่า DynaTAC แม้ราคาสูงมาก ต่อมาในปี 1989 Motorola เปิดตัว MicroTAC 9800X ซึ่งเป็น โทรศัพท์ฝาพับ (Flip Phone) รุ่นแรก ทำให้โทรศัพท์เริ่มมีขนาดเล็กลงและพกพาสะดวกขึ้น 💬 การสื่อสารใหม่: SMS และ IBM Simon วันที่ 3 ธันวาคม 1992 มีการส่ง ข้อความ SMS แรก (“Merry Christmas”) โดย Neil Papworth ถือเป็นการเปลี่ยนแปลงครั้งใหญ่ในวิธีการสื่อสาร ต่อมาในปี 1992 IBM เปิดตัว Simon Personal Communicator ซึ่งถูกมองว่าเป็น สมาร์ทโฟนรุ่นแรก เพราะมีหน้าจอสัมผัสและสามารถส่งอีเมล, fax และเก็บข้อมูลติดต่อได้ 🎶📷 ฟีเจอร์ใหม่: อินเทอร์เน็ต, MP3 และกล้อง ช่วงกลางยุค 90s โทรศัพท์เริ่มเชื่อมต่ออินเทอร์เน็ต เช่น Nokia 9000 Communicator (1996) และ Nokia 7110 ที่รองรับ WAP ต่อมาในปี 2000 Samsung UpRoar กลายเป็นโทรศัพท์ที่เล่น MP3 ได้ และในปีเดียวกัน Samsung SCH-V200 และ Sharp J-SH04 ถือเป็นโทรศัพท์กล้องรุ่นแรกที่สามารถถ่ายและส่งภาพได้ 🍏 จุดเปลี่ยนครั้งใหญ่: iPhone ปี 2007 Apple เปิดตัว iPhone รุ่นแรก ที่รวมการโทร, อินเทอร์เน็ต, เพลง และแอปพลิเคชันไว้ในเครื่องเดียว แม้รุ่นแรกยังไม่มี App Store หรือการส่ง MMS แต่ก็เป็นจุดเริ่มต้นของสมาร์ทโฟนยุคใหม่ที่เปลี่ยนโลกไปตลอดกาล 📌 สรุปประเด็นสำคัญ ✅ ยุคแรก (1946–1973) ➡️ Car Phones ใช้พลังงานจากแบตรถยนต์ ➡️ Motorola DynaTAC โทรศัพท์มือถือเชิงพาณิชย์รุ่นแรก ✅ ยุค 80s–90s ➡️ Nokia Cityman เบากว่าและถูกใช้โดยผู้นำโลก ➡️ Motorola MicroTAC โทรศัพท์ฝาพับรุ่นแรก ✅ การสื่อสารใหม่ ➡️ SMS แรกในปี 1992 ➡️ IBM Simon สมาร์ทโฟนรุ่นแรก ✅ ฟีเจอร์ใหม่ในยุค 90s–2000s ➡️ Nokia 9000 เชื่อมต่ออินเทอร์เน็ต ➡️ Samsung UpRoar เล่น MP3 ➡️ Samsung SCH-V200 และ Sharp J-SH04 โทรศัพท์กล้องรุ่นแรก ✅ ยุคสมาร์ทโฟน ➡️ iPhone (2007) ปฏิวัติวงการมือถือ ‼️ คำเตือนต่อผู้ใช้ ⛔ โทรศัพท์รุ่นเก่าไม่มีการอัปเดตความปลอดภัย เสี่ยงต่อการใช้งานในปัจจุบัน ⛔ การพึ่งพาเทคโนโลยีใหม่ทำให้ข้อมูลส่วนตัวเสี่ยงต่อการถูกเก็บและใช้งานโดยบริษัทใหญ่ https://www.slashgear.com/947221/the-stunning-transformation-of-cell-phones/

WWW.SLASHGEAR.COM

The Stunning Transformation Of Cell Phones - SlashGear
It's hard to imagine life without a phone in your pocket. The incredible transformation of cell phones proves just how far these modern marvels have come.

0 Comments 0 Shares 265 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-04 03:53:47 -

12 เหตุการณ์สำคัญในประวัติศาสตร์ของ Microsoft

บทความนี้เล่าถึง 12 เหตุการณ์สำคัญในประวัติศาสตร์ของ Microsoft ตั้งแต่การเปิดตัว Windows 95, การเข้าสู่ตลาดเกมด้วย Xbox, ความล้มเหลวของ Zune, ไปจนถึงการซื้อกิจการใหญ่ ๆ อย่าง Skype, LinkedIn และ Minecraft รวมถึงการเปิดตัวบริการสำคัญอย่าง Azure และ Teams

12 เหตุการณ์สำคัญในประวัติศาสตร์ของ Microsoft ตามลำดับเวลา:
1975 – ก่อตั้ง Microsoft Bill Gates และ Paul Allen ก่อตั้งบริษัทเพื่อพัฒนา software ให้กับ Altair 8800
1985 – เปิดตัว Windows รุ่นแรก แม้จะยังไม่ประสบความสำเร็จมาก แต่เป็นจุดเริ่มต้นของระบบปฏิบัติการ Windows
1995 – เปิดตัว Windows 95 จุดเปลี่ยนครั้งใหญ่ที่ทำให้คอมพิวเตอร์ส่วนบุคคลใช้งานง่ายขึ้นและแพร่หลายทั่วโลก
2001 – เปิดตัว Xbox รุ่นแรก Microsoft เข้าสู่ตลาดเกมคอนโซลและกลายเป็นคู่แข่งสำคัญของ Sony และ Nintendo
2006 – เปิดตัว Zune พยายามแข่งขันกับ iPod แต่ไม่ประสบความสำเร็จ และยุติในปี 2011
2008 – เปิดตัว Azure Cloud Services ก้าวเข้าสู่ตลาดคลาวด์ ปัจจุบันเป็นผู้ให้บริการอันดับสองรองจาก AWS
2009 – เปิดตัว Bing กลายเป็นเครื่องมือค้นหาหลักของ Microsoft และยังคงพัฒนาอย่างต่อเนื่อง
2010 – เปิดตัว Windows Phone ความพยายามเข้าสู่ตลาดมือถือ แต่ไม่สามารถแข่งขันกับ iOS และ Android ได้
2011 – ซื้อกิจการ Skype ขยายเข้าสู่ตลาด VoIP และการสื่อสารออนไลน์
2012 – เปิดตัว Surface Tablet รุ่นแรก เข้าสู่ตลาดแท็บเล็ต แข่งขันกับ Apple iPad
2014 – ซื้อกิจการ Minecraft (Mojang) เสริมความแข็งแกร่งในตลาดเกม ด้วยเกมยอดนิยมระดับโลก
2016 – ซื้อกิจการ LinkedIn ขยายเข้าสู่ตลาดเครือข่ายมืออาชีพ มูลค่าการซื้อกว่า $26.2 พันล้าน

จุดเปลี่ยนครั้งใหญ่: Windows 95
Microsoft เริ่มต้นในปี 1975 แต่การเปิดตัว Windows 95 ในปี 1995 ถือเป็นจุดเปลี่ยนสำคัญที่ทำให้คอมพิวเตอร์ส่วนบุคคลเข้าถึงผู้ใช้ทั่วไปได้ง่ายขึ้น ระบบปฏิบัติการนี้ทำให้ผู้ใช้สามารถใช้งานโปรแกรมและอินเทอร์เน็ตได้โดยไม่ต้องมีความรู้เชิงลึกด้านการเขียนโค้ด ถือเป็นการปฏิวัติวงการคอมพิวเตอร์ในยุคนั้น

การเข้าสู่ตลาดเกม: Xbox
ในปี 2001 Microsoft เปิดตัว Xbox รุ่นแรก ซึ่งเป็นก้าวสำคัญในการแข่งขันกับ Nintendo และ Sony การมาพร้อมระบบดิสก์และความสามารถในการเล่น DVD ทำให้ Xbox ได้รับความนิยมอย่างรวดเร็ว และต่อยอดไปสู่ Xbox 360, Xbox One และ Xbox Series X|S ที่ยังคงเป็นหนึ่งในคอนโซลเกมหลักของโลก

ความล้มเหลวและบทเรียน: Zune และ Windows Phone
ปี 2006 Microsoft เปิดตัว Zune เพื่อต่อกรกับ iPod แต่ไม่ประสบความสำเร็จและถูกยุติในปี 2011 อย่างไรก็ตาม บทเรียนจาก Zune ถูกนำไปใช้พัฒนา Windows Phone ที่เปิดตัวในปี 2010 แม้ Windows Phone จะถูกยุติในปี 2017 แต่ก็ทำให้ Microsoft ได้เรียนรู้ว่าตลาดมือถือไม่ใช่จุดแข็งของบริษัท

การขยายสู่บริการคลาวด์และซอฟต์แวร์
ปี 2008 Microsoft เปิดตัว Azure Cloud Services ซึ่งปัจจุบันครองตลาดคลาวด์เป็นอันดับสองรองจาก AWS และในปี 2009 เปิดตัว Bing ที่ยังคงเป็นหนึ่งในเครื่องมือค้นหาหลักของโลก นอกจากนี้ยังมีการพัฒนา Outlook.com (2013) และการเปิดตัว Teams (2017) ที่กลายเป็นแพลตฟอร์มสื่อสารสำคัญในองค์กรทั่วโลก

การซื้อกิจการครั้งใหญ่
Microsoft ใช้กลยุทธ์การซื้อกิจการเพื่อขยายธุรกิจ เช่น:
Skype (2011) เพื่อเข้าสู่ตลาด VoIP
Minecraft (2014) เพื่อเสริมความแข็งแกร่งในตลาดเกม
LinkedIn (2016) เพื่อครองตลาดเครือข่ายมืออาชีพ

ทั้งหมดนี้ช่วยให้ Microsoft ขยายอิทธิพลไปสู่หลายอุตสาหกรรมและสร้างรายได้มหาศาล

https://www.slashgear.com/1718888/most-important-moments-microsoft-history/

💻 12 เหตุการณ์สำคัญในประวัติศาสตร์ของ Microsoft บทความนี้เล่าถึง 12 เหตุการณ์สำคัญในประวัติศาสตร์ของ Microsoft ตั้งแต่การเปิดตัว Windows 95, การเข้าสู่ตลาดเกมด้วย Xbox, ความล้มเหลวของ Zune, ไปจนถึงการซื้อกิจการใหญ่ ๆ อย่าง Skype, LinkedIn และ Minecraft รวมถึงการเปิดตัวบริการสำคัญอย่าง Azure และ Teams 📆 12 เหตุการณ์สำคัญในประวัติศาสตร์ของ Microsoft ตามลำดับเวลา: 1975 – ก่อตั้ง Microsoft Bill Gates และ Paul Allen ก่อตั้งบริษัทเพื่อพัฒนา software ให้กับ Altair 8800 1985 – เปิดตัว Windows รุ่นแรก แม้จะยังไม่ประสบความสำเร็จมาก แต่เป็นจุดเริ่มต้นของระบบปฏิบัติการ Windows 1995 – เปิดตัว Windows 95 จุดเปลี่ยนครั้งใหญ่ที่ทำให้คอมพิวเตอร์ส่วนบุคคลใช้งานง่ายขึ้นและแพร่หลายทั่วโลก 2001 – เปิดตัว Xbox รุ่นแรก Microsoft เข้าสู่ตลาดเกมคอนโซลและกลายเป็นคู่แข่งสำคัญของ Sony และ Nintendo 2006 – เปิดตัว Zune พยายามแข่งขันกับ iPod แต่ไม่ประสบความสำเร็จ และยุติในปี 2011 2008 – เปิดตัว Azure Cloud Services ก้าวเข้าสู่ตลาดคลาวด์ ปัจจุบันเป็นผู้ให้บริการอันดับสองรองจาก AWS 2009 – เปิดตัว Bing กลายเป็นเครื่องมือค้นหาหลักของ Microsoft และยังคงพัฒนาอย่างต่อเนื่อง 2010 – เปิดตัว Windows Phone ความพยายามเข้าสู่ตลาดมือถือ แต่ไม่สามารถแข่งขันกับ iOS และ Android ได้ 2011 – ซื้อกิจการ Skype ขยายเข้าสู่ตลาด VoIP และการสื่อสารออนไลน์ 2012 – เปิดตัว Surface Tablet รุ่นแรก เข้าสู่ตลาดแท็บเล็ต แข่งขันกับ Apple iPad 2014 – ซื้อกิจการ Minecraft (Mojang) เสริมความแข็งแกร่งในตลาดเกม ด้วยเกมยอดนิยมระดับโลก 2016 – ซื้อกิจการ LinkedIn ขยายเข้าสู่ตลาดเครือข่ายมืออาชีพ มูลค่าการซื้อกว่า $26.2 พันล้าน 💻 จุดเปลี่ยนครั้งใหญ่: Windows 95 Microsoft เริ่มต้นในปี 1975 แต่การเปิดตัว Windows 95 ในปี 1995 ถือเป็นจุดเปลี่ยนสำคัญที่ทำให้คอมพิวเตอร์ส่วนบุคคลเข้าถึงผู้ใช้ทั่วไปได้ง่ายขึ้น ระบบปฏิบัติการนี้ทำให้ผู้ใช้สามารถใช้งานโปรแกรมและอินเทอร์เน็ตได้โดยไม่ต้องมีความรู้เชิงลึกด้านการเขียนโค้ด ถือเป็นการปฏิวัติวงการคอมพิวเตอร์ในยุคนั้น 🎮 การเข้าสู่ตลาดเกม: Xbox ในปี 2001 Microsoft เปิดตัว Xbox รุ่นแรก ซึ่งเป็นก้าวสำคัญในการแข่งขันกับ Nintendo และ Sony การมาพร้อมระบบดิสก์และความสามารถในการเล่น DVD ทำให้ Xbox ได้รับความนิยมอย่างรวดเร็ว และต่อยอดไปสู่ Xbox 360, Xbox One และ Xbox Series X|S ที่ยังคงเป็นหนึ่งในคอนโซลเกมหลักของโลก 📱 ความล้มเหลวและบทเรียน: Zune และ Windows Phone ปี 2006 Microsoft เปิดตัว Zune เพื่อต่อกรกับ iPod แต่ไม่ประสบความสำเร็จและถูกยุติในปี 2011 อย่างไรก็ตาม บทเรียนจาก Zune ถูกนำไปใช้พัฒนา Windows Phone ที่เปิดตัวในปี 2010 แม้ Windows Phone จะถูกยุติในปี 2017 แต่ก็ทำให้ Microsoft ได้เรียนรู้ว่าตลาดมือถือไม่ใช่จุดแข็งของบริษัท ☁️ การขยายสู่บริการคลาวด์และซอฟต์แวร์ ปี 2008 Microsoft เปิดตัว Azure Cloud Services ซึ่งปัจจุบันครองตลาดคลาวด์เป็นอันดับสองรองจาก AWS และในปี 2009 เปิดตัว Bing ที่ยังคงเป็นหนึ่งในเครื่องมือค้นหาหลักของโลก นอกจากนี้ยังมีการพัฒนา Outlook.com (2013) และการเปิดตัว Teams (2017) ที่กลายเป็นแพลตฟอร์มสื่อสารสำคัญในองค์กรทั่วโลก 🛒 การซื้อกิจการครั้งใหญ่ Microsoft ใช้กลยุทธ์การซื้อกิจการเพื่อขยายธุรกิจ เช่น: 💠 Skype (2011) เพื่อเข้าสู่ตลาด VoIP 💠 Minecraft (2014) เพื่อเสริมความแข็งแกร่งในตลาดเกม 💠 LinkedIn (2016) เพื่อครองตลาดเครือข่ายมืออาชีพ ทั้งหมดนี้ช่วยให้ Microsoft ขยายอิทธิพลไปสู่หลายอุตสาหกรรมและสร้างรายได้มหาศาล https://www.slashgear.com/1718888/most-important-moments-microsoft-history/

WWW.SLASHGEAR.COM

12 Of The Most Important Moments In Microsoft's History - SlashGear
Microsoft has been a major player in the tech industry for decades. Over those years, it's had a lot of big milestones moments, for better and for worse.

0 Comments 0 Shares 262 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม
2025-12-02 03:22:34 -

🩷 รวมข่าวจากเวบ SecurityOnline 🩷
#รวมข่าวIT #20251202 #securityonline

Android เจอช่องโหว่ร้ายแรง ต้องรีบอัปเดต
Google ออก Android Security Bulletin เดือนธันวาคม 2025 ที่ทำให้หลายคนต้องรีบอัปเดตเครื่องทันที เพราะมีการยืนยันว่ามีการโจมตีจริงในโลกออนไลน์แล้ว โดยมีช่องโหว่สำคัญใน Android Framework ที่อาจทำให้เครื่องถูกสั่งให้หยุดทำงานจากระยะไกลได้โดยไม่ต้องมีสิทธิ์พิเศษใด ๆ นอกจากนี้ยังมีช่องโหว่ที่เปิดทางให้ผู้โจมตีเข้าถึงข้อมูลหรือยกระดับสิทธิ์ในเครื่องได้ โดยเฉพาะ CVE-2025-48631 ที่ถูกจัดว่าเป็น Critical DoS flaw ซึ่งสามารถทำให้เครื่องค้างหรือใช้งานไม่ได้ทันที รวมถึงยังมีปัญหาใน Kernel อย่าง PKVM และ IOMMU ที่ถ้าโดนเจาะก็อาจทะลุผ่านระบบป้องกันข้อมูลสำคัญได้ ผู้ใช้ Android จึงถูกแนะนำให้ตรวจสอบว่าเครื่องได้รับแพตช์ระดับ 2025-12-05 แล้ว เพื่อความปลอดภัยทั้งจากซอฟต์แวร์และฮาร์ดแวร์
https://securityonline.info/android-emergency-critical-dos-flaw-and-2-exploited-zero-days-in-framework-require-immediate-patch

nopCommerce มีช่องโหว่ยึดระบบแอดมินได้
แพลตฟอร์มอีคอมเมิร์ซชื่อดังอย่าง nopCommerce ถูกพบช่องโหว่ใหม่ CVE-2025-11699 ที่อันตรายมาก เพราะผู้โจมตีสามารถใช้ session cookie ที่หมดอายุแล้วกลับมาใช้งานอีกครั้งเพื่อเข้าสู่ระบบในสิทธิ์แอดมินได้ เท่ากับว่าผู้โจมตีสามารถเข้าควบคุมระบบหลังบ้านได้เต็มที่ แม้ผู้ใช้จะออกจากระบบไปแล้วก็ตาม ช่องโหว่นี้ทำให้ข้อมูลลูกค้าและธุรกรรมเสี่ยงต่อการถูกเข้าถึงหรือแก้ไขโดยไม่ได้รับอนุญาต ผู้ดูแลระบบจึงควรรีบอัปเดตแพตช์และตรวจสอบการจัดการ session อย่างเข้มงวดเพื่อป้องกันการโจมตี
https://securityonline.info/nopcommerce-flaw-cve-2025-11699-allows-admin-takeover-by-reusing-session-cookies-after-logout

มัลแวร์รุ่นใหม่ Arkanix หลบการเข้ารหัส Chrome ได้
มีการค้นพบมัลแวร์สายขโมยข้อมูลรุ่นใหม่ชื่อ Arkanix ที่พัฒนาให้ฉลาดขึ้นกว่าเดิม โดยมันสามารถเลี่ยงการป้องกันของ Chrome ที่ใช้ App-Bound Encryption ได้ ด้วยเทคนิคการฉีดโค้ดเข้าไปใน process ของ C++ ทำให้สามารถดึงข้อมูลที่ควรถูกเข้ารหัสออกมาได้อย่างง่ายดาย จุดนี้ถือว่าอันตรายมากเพราะ Chrome เป็นเบราว์เซอร์ที่มีผู้ใช้มหาศาล และการหลบเลี่ยงระบบเข้ารหัสได้หมายถึงข้อมูลสำคัญอย่างรหัสผ่านหรือ session อาจถูกขโมยไปโดยไม่รู้ตัว นักวิจัยเตือนว่ามัลแวร์นี้เป็น “next-gen stealer” ที่อาจถูกใช้ในแคมเปญโจมตีครั้งใหญ่ในอนาคต
https://securityonline.info/next-gen-stealer-arkanix-bypasses-chrome-app-bound-encryption-using-c-process-injection

ช่องโหว่ Apache Struts ทำเซิร์ฟเวอร์ล่มด้วยไฟล์ชั่วคราว
เรื่องนี้เป็นการเตือนครั้งใหญ่จาก Apache Software Foundation เกี่ยวกับช่องโหว่ที่ชื่อว่า CVE-2025-64775 ซึ่งเกิดขึ้นจากการจัดการไฟล์ชั่วคราวที่ผิดพลาดในกระบวนการอัปโหลดไฟล์ของ Struts framework เมื่อผู้โจมตีส่งคำขอแบบ multipart จำนวนมาก ไฟล์ชั่วคราวที่ควรถูกลบกลับถูกทิ้งไว้ ทำให้พื้นที่ดิสก์เต็มไปเรื่อย ๆ จนระบบไม่สามารถทำงานต่อได้ กลายเป็นการโจมตีแบบ Denial of Service ถึงแม้จะไม่ใช่การรันโค้ดจากระยะไกล แต่ก็สามารถทำให้บริการสำคัญหยุดชะงักได้ง่ายมาก ทางออกคือผู้ใช้ต้องรีบอัปเดตไปยังเวอร์ชันที่ถูกแก้ไขแล้วคือ Struts 6.8.0 และ 7.1.1
https://securityonline.info/cve-2025-64775-apache-struts-file-leak-vulnerability-threatens-disk-exhaustion

APT36 หันเป้าโจมตี Linux ด้วยทางลัดเงียบ
กลุ่มแฮกเกอร์ที่มีชื่อเสียง APT36 หรือ Transparent Tribe ซึ่งเคยโจมตีระบบ Windows มานาน ตอนนี้ได้พัฒนาเครื่องมือใหม่เพื่อเจาะระบบ Linux โดยเฉพาะ BOSS Linux ที่ใช้ในหน่วยงานรัฐบาลอินเดีย พวกเขาส่งอีเมลฟิชชิ่งที่แนบไฟล์ .desktop ปลอมให้ดูเหมือนเอกสารจริง แต่เมื่อเปิดขึ้นมา มัลแวร์จะถูกติดตั้งอย่างเงียบ ๆ พร้อมสร้างความคงอยู่ในระบบโดยไม่ต้องใช้สิทธิ์ root จุดเด่นคือเป็น Remote Administration Tool ที่ทำงานได้ทั้ง Windows และ Linux สามารถสั่งรันคำสั่ง ดูดข้อมูล และจับภาพหน้าจอได้ การขยายเป้าหมายไปยัง Linux ถือเป็นการยกระดับครั้งสำคัญของกลุ่มนี้
https://securityonline.info/the-boss-breach-apt36-pivots-to-linux-espionage-with-silent-shortcuts

Albiriox มัลแวร์ Android แบบบริการเช่า
นักวิจัยพบมัลแวร์ใหม่ชื่อ Albiriox ที่ถูกพัฒนาเป็น Malware-as-a-Service โดยกลุ่มผู้พูดภาษารัสเซีย เปิดให้เช่าใช้เดือนละราว 650–720 ดอลลาร์ จุดแข็งคือสามารถทำ On-Device Fraud ได้ หมายถึงการทำธุรกรรมหลอกลวงจากเครื่องของเหยื่อเองเพื่อหลบเลี่ยงระบบตรวจสอบของธนาคาร ฟีเจอร์เด่นคือ AcVNC ที่สามารถควบคุมหน้าจอแม้แอปธนาคารจะพยายามบล็อกการบันทึกหน้าจอ แคมเปญแรกเริ่มโจมตีผู้ใช้ในออสเตรียผ่านแอป Penny Market ปลอม แต่จริง ๆ แล้วมีรายชื่อเป้าหมายกว่า 400 แอปธนาคารและคริปโตทั่วโลก ถือเป็นการยกระดับภัยคุกคามบนมือถืออย่างชัดเจน
https://securityonline.info/albiriox-the-russian-maas-android-trojan-redefining-mobile-fraud

ศึกชิปขั้นสูง Apple ปะทะ NVIDIA
ในโลกเซมิคอนดักเตอร์ตอนนี้ Apple และ NVIDIA กำลังแย่งชิงกำลังการผลิตขั้นสูงของ TSMC โดยเฉพาะกระบวนการ A16 และ A14 ที่ถือเป็นระดับ angstrom-class ซึ่งมีความสำคัญต่อการผลิตชิปประสิทธิภาพสูง ทั้งสองบริษัทต่างต้องการพื้นที่ผลิตที่จำกัดนี้เพื่อรองรับความต้องการด้าน AI ที่พุ่งสูงขึ้น ขณะเดียวกัน Apple ยังมองหาทางเลือกใหม่โดยอาจร่วมมือกับ Intel ในกระบวนการ 18AP สำหรับชิประดับเริ่มต้น เพื่อกระจายความเสี่ยงและเพิ่มอำนาจต่อรองกับ TSMC การแข่งขันนี้สะท้อนให้เห็นว่าชิปขั้นสูงได้กลายเป็นสมรภูมิที่ดุเดือดระหว่างยักษ์ใหญ่เทคโนโลยี
https://securityonline.info/semiconductor-showdown-apple-and-nvidia-battle-for-tsmcs-a16-capacity

OpenAI เริ่มทดลองโฆษณาใน ChatGPT
แม้ ChatGPT จะมีผู้ใช้มหาศาล แต่ OpenAI ก็ยังขาดทุนหนัก โดยคาดว่าจะสะสมการขาดทุนถึง 115 พันล้านดอลลาร์ก่อนจะเริ่มมีกำไร นักพัฒนาพบโค้ดที่เกี่ยวข้องกับโฆษณาในแอป ChatGPT บน Android ซึ่งบ่งชี้ว่าบริษัทกำลังทดลองโมเดลรายได้ใหม่ผ่านการแสดงโฆษณาในคำตอบ โดยเฉพาะโฆษณาแบบค้นหา (Search Ads) ที่ฝังลิงก์สปอนเซอร์ในผลลัพธ์ หากเปิดใช้งานจริงจะเป็นแหล่งรายได้มหาศาลเสริมจากค่าสมาชิกและ API การเคลื่อนไหวนี้สะท้อนถึงความพยายามของ OpenAI ที่จะหาทางออกจากภาระขาดทุนมหาศาล
https://securityonline.info/chatgpt-ads-spotted-monetization-push-underway-to-offset-115-billion-in-openai-losses

BreachLock ครองแชมป์ PTaaS ต่อเนื่อง
BreachLock ได้รับการจัดอันดับจากรายงาน GigaOm Radar ปี 2025 ให้เป็นผู้นำด้านบริการ Penetration Testing as a Service (PTaaS) ต่อเนื่องเป็นปีที่สาม จุดเด่นของบริษัทคือการผสมผสานการทดสอบเจาะระบบแบบอัตโนมัติและการตรวจสอบโดยผู้เชี่ยวชาญ ทำให้ลูกค้าได้รับผลลัพธ์ที่รวดเร็วและแม่นยำ พร้อมทั้งสามารถปรับขนาดการทดสอบให้เหมาะสมกับองค์กรทุกระดับ การได้รับการยอมรับซ้ำ ๆ แสดงถึงความแข็งแกร่งและความน่าเชื่อถือในตลาดที่กำลังเติบโตอย่างรวดเร็ว
https://securityonline.info/breachlock-named-a-leader-in-2025-gigaom-radar-report-for-penetration-testing-as-a-service-ptaas-for-third-consecutive-year

ช่องโหว่ร้ายแรงใน Snapdragon และโมเด็ม 5G
พบช่องโหว่ใหม่ CVE-2025-47372 ที่กระทบ Snapdragon 8 Gen 3 และโมเด็ม 5G โดยปัญหานี้เกิดขึ้นในกระบวนการบูต ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับสูงตั้งแต่เริ่มต้นระบบ ผลกระทบคืออุปกรณ์อาจถูกควบคุมหรือทำงานผิดพลาดตั้งแต่เปิดเครื่อง ถือเป็นภัยร้ายแรงเพราะเกี่ยวข้องกับชิปที่ใช้กันอย่างแพร่หลายทั้งในสมาร์ทโฟนและอุปกรณ์เครือข่าย การแก้ไขคือผู้ผลิตต้องรีบอัปเดตเฟิร์มแวร์เพื่ออุดช่องโหว่ก่อนที่จะถูกนำไปใช้โจมตีจริง
https://securityonline.info/boot-process-compromised-critical-flaw-cve-2025-47372-hits-snapdragon-8-gen-3-5g-modems

Kevin Lancaster เข้าร่วมบอร์ด usecure Kevin Lancaster
ผู้เชี่ยวชาญด้านการพัฒนาช่องทางธุรกิจ ได้เข้าร่วมบอร์ดของบริษัท usecure เพื่อช่วยเร่งการเติบโตในตลาดอเมริกาเหนือ Lancaster มีประสบการณ์ยาวนานในการสร้างเครือข่ายพันธมิตรและการขยายธุรกิจด้านความปลอดภัยไซเบอร์ การเข้ามาของเขาถือเป็นการเสริมกำลังสำคัญให้ usecure สามารถขยายฐานลูกค้าและเพิ่มความแข็งแกร่งในการแข่งขันในภูมิภาคนี้
https://securityonline.info/kevin-lancaster-joins-the-usecure-board-to-accelerate-north-american-channel-growth

ช่องโหว่ Windows EoP พร้อม PoC
มีการเผยแพร่โค้ดทดสอบการโจมตี (PoC) สำหรับช่องโหว่ CVE-2025-60718 ที่เกี่ยวข้องกับ Windows Administrator Protection ซึ่งเป็นช่องโหว่ Elevation of Privilege ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ ช่องโหว่นี้ถือว่าอันตรายเพราะสามารถใช้เป็นขั้นตอนหนึ่งในการเข้าควบคุมระบบทั้งหมดได้ การที่ PoC ถูกปล่อยออกมาแล้วทำให้ความเสี่ยงเพิ่มขึ้นอย่างมาก ผู้ใช้และผู้ดูแลระบบควรเร่งอัปเดตแพตช์ทันที
https://securityonline.info/poc-exploit-releases-for-cve-2025-60718-windows-administrator-protection-elevation-of-privilege-vulnerability

OpenVPN อุดช่องโหว่ร้ายแรง
OpenVPN ได้ออกแพตช์แก้ไขช่องโหว่สำคัญสองรายการ ได้แก่ Heap Over-Read ที่มีคะแนน CVSS 9.1 และช่องโหว่ HMAC Bypass ซึ่งสามารถทำให้เกิดการโจมตีแบบ DoS ได้ ช่องโหว่เหล่านี้หากถูกนำไปใช้จะทำให้การเชื่อมต่อ VPN ไม่ปลอดภัยและอาจถูกโจมตีจนระบบล่ม การอัปเดตเวอร์ชันล่าสุดจึงเป็นสิ่งจำเป็นสำหรับผู้ใช้งานทุกคนเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น
https://securityonline.info/critical-openvpn-flaws-fix-heap-over-read-cvss-9-1-and-hmac-bypass-allow-dos-attacks

📌🔐🩷 รวมข่าวจากเวบ SecurityOnline 🩷🔐📌 #รวมข่าวIT #20251202 #securityonline 🛡️ Android เจอช่องโหว่ร้ายแรง ต้องรีบอัปเดต Google ออก Android Security Bulletin เดือนธันวาคม 2025 ที่ทำให้หลายคนต้องรีบอัปเดตเครื่องทันที เพราะมีการยืนยันว่ามีการโจมตีจริงในโลกออนไลน์แล้ว โดยมีช่องโหว่สำคัญใน Android Framework ที่อาจทำให้เครื่องถูกสั่งให้หยุดทำงานจากระยะไกลได้โดยไม่ต้องมีสิทธิ์พิเศษใด ๆ นอกจากนี้ยังมีช่องโหว่ที่เปิดทางให้ผู้โจมตีเข้าถึงข้อมูลหรือยกระดับสิทธิ์ในเครื่องได้ โดยเฉพาะ CVE-2025-48631 ที่ถูกจัดว่าเป็น Critical DoS flaw ซึ่งสามารถทำให้เครื่องค้างหรือใช้งานไม่ได้ทันที รวมถึงยังมีปัญหาใน Kernel อย่าง PKVM และ IOMMU ที่ถ้าโดนเจาะก็อาจทะลุผ่านระบบป้องกันข้อมูลสำคัญได้ ผู้ใช้ Android จึงถูกแนะนำให้ตรวจสอบว่าเครื่องได้รับแพตช์ระดับ 2025-12-05 แล้ว เพื่อความปลอดภัยทั้งจากซอฟต์แวร์และฮาร์ดแวร์ 🔗 https://securityonline.info/android-emergency-critical-dos-flaw-and-2-exploited-zero-days-in-framework-require-immediate-patch ⚠️ nopCommerce มีช่องโหว่ยึดระบบแอดมินได้ แพลตฟอร์มอีคอมเมิร์ซชื่อดังอย่าง nopCommerce ถูกพบช่องโหว่ใหม่ CVE-2025-11699 ที่อันตรายมาก เพราะผู้โจมตีสามารถใช้ session cookie ที่หมดอายุแล้วกลับมาใช้งานอีกครั้งเพื่อเข้าสู่ระบบในสิทธิ์แอดมินได้ เท่ากับว่าผู้โจมตีสามารถเข้าควบคุมระบบหลังบ้านได้เต็มที่ แม้ผู้ใช้จะออกจากระบบไปแล้วก็ตาม ช่องโหว่นี้ทำให้ข้อมูลลูกค้าและธุรกรรมเสี่ยงต่อการถูกเข้าถึงหรือแก้ไขโดยไม่ได้รับอนุญาต ผู้ดูแลระบบจึงควรรีบอัปเดตแพตช์และตรวจสอบการจัดการ session อย่างเข้มงวดเพื่อป้องกันการโจมตี 🔗 https://securityonline.info/nopcommerce-flaw-cve-2025-11699-allows-admin-takeover-by-reusing-session-cookies-after-logout 🕵️‍♂️ มัลแวร์รุ่นใหม่ Arkanix หลบการเข้ารหัส Chrome ได้ มีการค้นพบมัลแวร์สายขโมยข้อมูลรุ่นใหม่ชื่อ Arkanix ที่พัฒนาให้ฉลาดขึ้นกว่าเดิม โดยมันสามารถเลี่ยงการป้องกันของ Chrome ที่ใช้ App-Bound Encryption ได้ ด้วยเทคนิคการฉีดโค้ดเข้าไปใน process ของ C++ ทำให้สามารถดึงข้อมูลที่ควรถูกเข้ารหัสออกมาได้อย่างง่ายดาย จุดนี้ถือว่าอันตรายมากเพราะ Chrome เป็นเบราว์เซอร์ที่มีผู้ใช้มหาศาล และการหลบเลี่ยงระบบเข้ารหัสได้หมายถึงข้อมูลสำคัญอย่างรหัสผ่านหรือ session อาจถูกขโมยไปโดยไม่รู้ตัว นักวิจัยเตือนว่ามัลแวร์นี้เป็น “next-gen stealer” ที่อาจถูกใช้ในแคมเปญโจมตีครั้งใหญ่ในอนาคต 🔗 https://securityonline.info/next-gen-stealer-arkanix-bypasses-chrome-app-bound-encryption-using-c-process-injection 🖥️ ช่องโหว่ Apache Struts ทำเซิร์ฟเวอร์ล่มด้วยไฟล์ชั่วคราว เรื่องนี้เป็นการเตือนครั้งใหญ่จาก Apache Software Foundation เกี่ยวกับช่องโหว่ที่ชื่อว่า CVE-2025-64775 ซึ่งเกิดขึ้นจากการจัดการไฟล์ชั่วคราวที่ผิดพลาดในกระบวนการอัปโหลดไฟล์ของ Struts framework เมื่อผู้โจมตีส่งคำขอแบบ multipart จำนวนมาก ไฟล์ชั่วคราวที่ควรถูกลบกลับถูกทิ้งไว้ ทำให้พื้นที่ดิสก์เต็มไปเรื่อย ๆ จนระบบไม่สามารถทำงานต่อได้ กลายเป็นการโจมตีแบบ Denial of Service ถึงแม้จะไม่ใช่การรันโค้ดจากระยะไกล แต่ก็สามารถทำให้บริการสำคัญหยุดชะงักได้ง่ายมาก ทางออกคือผู้ใช้ต้องรีบอัปเดตไปยังเวอร์ชันที่ถูกแก้ไขแล้วคือ Struts 6.8.0 และ 7.1.1 🔗 https://securityonline.info/cve-2025-64775-apache-struts-file-leak-vulnerability-threatens-disk-exhaustion 🐧 APT36 หันเป้าโจมตี Linux ด้วยทางลัดเงียบ กลุ่มแฮกเกอร์ที่มีชื่อเสียง APT36 หรือ Transparent Tribe ซึ่งเคยโจมตีระบบ Windows มานาน ตอนนี้ได้พัฒนาเครื่องมือใหม่เพื่อเจาะระบบ Linux โดยเฉพาะ BOSS Linux ที่ใช้ในหน่วยงานรัฐบาลอินเดีย พวกเขาส่งอีเมลฟิชชิ่งที่แนบไฟล์ .desktop ปลอมให้ดูเหมือนเอกสารจริง แต่เมื่อเปิดขึ้นมา มัลแวร์จะถูกติดตั้งอย่างเงียบ ๆ พร้อมสร้างความคงอยู่ในระบบโดยไม่ต้องใช้สิทธิ์ root จุดเด่นคือเป็น Remote Administration Tool ที่ทำงานได้ทั้ง Windows และ Linux สามารถสั่งรันคำสั่ง ดูดข้อมูล และจับภาพหน้าจอได้ การขยายเป้าหมายไปยัง Linux ถือเป็นการยกระดับครั้งสำคัญของกลุ่มนี้ 🔗 https://securityonline.info/the-boss-breach-apt36-pivots-to-linux-espionage-with-silent-shortcuts 📱 Albiriox มัลแวร์ Android แบบบริการเช่า นักวิจัยพบมัลแวร์ใหม่ชื่อ Albiriox ที่ถูกพัฒนาเป็น Malware-as-a-Service โดยกลุ่มผู้พูดภาษารัสเซีย เปิดให้เช่าใช้เดือนละราว 650–720 ดอลลาร์ จุดแข็งคือสามารถทำ On-Device Fraud ได้ หมายถึงการทำธุรกรรมหลอกลวงจากเครื่องของเหยื่อเองเพื่อหลบเลี่ยงระบบตรวจสอบของธนาคาร ฟีเจอร์เด่นคือ AcVNC ที่สามารถควบคุมหน้าจอแม้แอปธนาคารจะพยายามบล็อกการบันทึกหน้าจอ แคมเปญแรกเริ่มโจมตีผู้ใช้ในออสเตรียผ่านแอป Penny Market ปลอม แต่จริง ๆ แล้วมีรายชื่อเป้าหมายกว่า 400 แอปธนาคารและคริปโตทั่วโลก ถือเป็นการยกระดับภัยคุกคามบนมือถืออย่างชัดเจน 🔗 https://securityonline.info/albiriox-the-russian-maas-android-trojan-redefining-mobile-fraud ⚙️ ศึกชิปขั้นสูง Apple ปะทะ NVIDIA ในโลกเซมิคอนดักเตอร์ตอนนี้ Apple และ NVIDIA กำลังแย่งชิงกำลังการผลิตขั้นสูงของ TSMC โดยเฉพาะกระบวนการ A16 และ A14 ที่ถือเป็นระดับ angstrom-class ซึ่งมีความสำคัญต่อการผลิตชิปประสิทธิภาพสูง ทั้งสองบริษัทต่างต้องการพื้นที่ผลิตที่จำกัดนี้เพื่อรองรับความต้องการด้าน AI ที่พุ่งสูงขึ้น ขณะเดียวกัน Apple ยังมองหาทางเลือกใหม่โดยอาจร่วมมือกับ Intel ในกระบวนการ 18AP สำหรับชิประดับเริ่มต้น เพื่อกระจายความเสี่ยงและเพิ่มอำนาจต่อรองกับ TSMC การแข่งขันนี้สะท้อนให้เห็นว่าชิปขั้นสูงได้กลายเป็นสมรภูมิที่ดุเดือดระหว่างยักษ์ใหญ่เทคโนโลยี 🔗 https://securityonline.info/semiconductor-showdown-apple-and-nvidia-battle-for-tsmcs-a16-capacity 💰 OpenAI เริ่มทดลองโฆษณาใน ChatGPT แม้ ChatGPT จะมีผู้ใช้มหาศาล แต่ OpenAI ก็ยังขาดทุนหนัก โดยคาดว่าจะสะสมการขาดทุนถึง 115 พันล้านดอลลาร์ก่อนจะเริ่มมีกำไร นักพัฒนาพบโค้ดที่เกี่ยวข้องกับโฆษณาในแอป ChatGPT บน Android ซึ่งบ่งชี้ว่าบริษัทกำลังทดลองโมเดลรายได้ใหม่ผ่านการแสดงโฆษณาในคำตอบ โดยเฉพาะโฆษณาแบบค้นหา (Search Ads) ที่ฝังลิงก์สปอนเซอร์ในผลลัพธ์ หากเปิดใช้งานจริงจะเป็นแหล่งรายได้มหาศาลเสริมจากค่าสมาชิกและ API การเคลื่อนไหวนี้สะท้อนถึงความพยายามของ OpenAI ที่จะหาทางออกจากภาระขาดทุนมหาศาล 🔗 https://securityonline.info/chatgpt-ads-spotted-monetization-push-underway-to-offset-115-billion-in-openai-losses 🛡️ BreachLock ครองแชมป์ PTaaS ต่อเนื่อง BreachLock ได้รับการจัดอันดับจากรายงาน GigaOm Radar ปี 2025 ให้เป็นผู้นำด้านบริการ Penetration Testing as a Service (PTaaS) ต่อเนื่องเป็นปีที่สาม จุดเด่นของบริษัทคือการผสมผสานการทดสอบเจาะระบบแบบอัตโนมัติและการตรวจสอบโดยผู้เชี่ยวชาญ ทำให้ลูกค้าได้รับผลลัพธ์ที่รวดเร็วและแม่นยำ พร้อมทั้งสามารถปรับขนาดการทดสอบให้เหมาะสมกับองค์กรทุกระดับ การได้รับการยอมรับซ้ำ ๆ แสดงถึงความแข็งแกร่งและความน่าเชื่อถือในตลาดที่กำลังเติบโตอย่างรวดเร็ว 🔗 https://securityonline.info/breachlock-named-a-leader-in-2025-gigaom-radar-report-for-penetration-testing-as-a-service-ptaas-for-third-consecutive-year 📶 ช่องโหว่ร้ายแรงใน Snapdragon และโมเด็ม 5G พบช่องโหว่ใหม่ CVE-2025-47372 ที่กระทบ Snapdragon 8 Gen 3 และโมเด็ม 5G โดยปัญหานี้เกิดขึ้นในกระบวนการบูต ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับสูงตั้งแต่เริ่มต้นระบบ ผลกระทบคืออุปกรณ์อาจถูกควบคุมหรือทำงานผิดพลาดตั้งแต่เปิดเครื่อง ถือเป็นภัยร้ายแรงเพราะเกี่ยวข้องกับชิปที่ใช้กันอย่างแพร่หลายทั้งในสมาร์ทโฟนและอุปกรณ์เครือข่าย การแก้ไขคือผู้ผลิตต้องรีบอัปเดตเฟิร์มแวร์เพื่ออุดช่องโหว่ก่อนที่จะถูกนำไปใช้โจมตีจริง 🔗 https://securityonline.info/boot-process-compromised-critical-flaw-cve-2025-47372-hits-snapdragon-8-gen-3-5g-modems 🤝 Kevin Lancaster เข้าร่วมบอร์ด usecure Kevin Lancaster ผู้เชี่ยวชาญด้านการพัฒนาช่องทางธุรกิจ ได้เข้าร่วมบอร์ดของบริษัท usecure เพื่อช่วยเร่งการเติบโตในตลาดอเมริกาเหนือ Lancaster มีประสบการณ์ยาวนานในการสร้างเครือข่ายพันธมิตรและการขยายธุรกิจด้านความปลอดภัยไซเบอร์ การเข้ามาของเขาถือเป็นการเสริมกำลังสำคัญให้ usecure สามารถขยายฐานลูกค้าและเพิ่มความแข็งแกร่งในการแข่งขันในภูมิภาคนี้ 🔗 https://securityonline.info/kevin-lancaster-joins-the-usecure-board-to-accelerate-north-american-channel-growth 🪟 ช่องโหว่ Windows EoP พร้อม PoC มีการเผยแพร่โค้ดทดสอบการโจมตี (PoC) สำหรับช่องโหว่ CVE-2025-60718 ที่เกี่ยวข้องกับ Windows Administrator Protection ซึ่งเป็นช่องโหว่ Elevation of Privilege ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ ช่องโหว่นี้ถือว่าอันตรายเพราะสามารถใช้เป็นขั้นตอนหนึ่งในการเข้าควบคุมระบบทั้งหมดได้ การที่ PoC ถูกปล่อยออกมาแล้วทำให้ความเสี่ยงเพิ่มขึ้นอย่างมาก ผู้ใช้และผู้ดูแลระบบควรเร่งอัปเดตแพตช์ทันที 🔗 https://securityonline.info/poc-exploit-releases-for-cve-2025-60718-windows-administrator-protection-elevation-of-privilege-vulnerability 🔐 OpenVPN อุดช่องโหว่ร้ายแรง OpenVPN ได้ออกแพตช์แก้ไขช่องโหว่สำคัญสองรายการ ได้แก่ Heap Over-Read ที่มีคะแนน CVSS 9.1 และช่องโหว่ HMAC Bypass ซึ่งสามารถทำให้เกิดการโจมตีแบบ DoS ได้ ช่องโหว่เหล่านี้หากถูกนำไปใช้จะทำให้การเชื่อมต่อ VPN ไม่ปลอดภัยและอาจถูกโจมตีจนระบบล่ม การอัปเดตเวอร์ชันล่าสุดจึงเป็นสิ่งจำเป็นสำหรับผู้ใช้งานทุกคนเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น 🔗 https://securityonline.info/critical-openvpn-flaws-fix-heap-over-read-cvss-9-1-and-hmac-bypass-allow-dos-attacks

0 Comments 0 Shares 645 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-02 02:02:32 -

Raspberry Pi 5 รุ่นใหม่ มาพร้อม RAM 1GB ราคาเพียง $45

Raspberry Pi ประกาศเปิดตัวรุ่นใหม่ของ Raspberry Pi 5 ที่มาพร้อม RAM 1GB เพื่อเพิ่มความยืดหยุ่นให้กับผู้ใช้ที่ต้องการบอร์ดราคาประหยัดสำหรับงานทดลองและโครงการโอเพนซอร์ส โดยรุ่นนี้ยังคงใช้ Broadcom BCM2712 พร้อมซีพียู quad-core Arm Cortex-A76 ความเร็ว 2.4GHz เช่นเดียวกับรุ่น RAM ที่สูงกว่า

การเปิดตัวครั้งนี้ทำให้ Raspberry Pi 5 มีตัวเลือก RAM ครบตั้งแต่ 1GB, 2GB, 4GB, 8GB ไปจนถึง 16GB ตอบโจทย์ทั้งผู้ใช้ทั่วไป นักพัฒนา และผู้ที่ต้องการประสิทธิภาพสูงสำหรับงานเฉพาะทาง เช่น การประมวลผลภาพหรือการจำลองระบบเสมือน ขณะเดียวกัน Raspberry Pi ยังประกาศปรับขึ้นราคาของบางรุ่นเพื่อรับมือกับต้นทุนหน่วยความจำที่สูงขึ้น

ในด้านสเปกเพิ่มเติม Raspberry Pi 5 รองรับ dual 4Kp60 HDMI output, VideoCore VII GPU ที่รองรับ Vulkan 1.3 และ OpenGL ES 3.1a รวมถึง PCIe slot สำหรับการขยายอุปกรณ์เสริม นอกจากนี้ยังมี HEVC decoder ที่รองรับการเล่นวิดีโอ 4Kp60 ทำให้บอร์ดเล็ก ๆ นี้สามารถใช้งานได้ทั้งในงานมัลติมีเดียและการพัฒนาเชิงลึก

แม้การเปิดตัวรุ่น RAM ต่ำจะช่วยให้ผู้ใช้เข้าถึง Raspberry Pi ได้ง่ายขึ้น แต่การปรับขึ้นราคาของรุ่นอื่น ๆ เช่น Raspberry Pi 4 และ Raspberry Pi 5 รุ่น RAM สูง อาจสร้างแรงกดดันต่อผู้ใช้ที่ต้องการประสิทธิภาพมากขึ้น ถือเป็นการสะท้อนถึงสถานการณ์ตลาดหน่วยความจำที่ตึงตัวในปี 2026

สรุปสาระสำคัญ
การเปิดตัวรุ่นใหม่
Raspberry Pi 5 รุ่น RAM 1GB ราคา $45
ใช้ซีพียู Broadcom BCM2712 Cortex-A76 2.4GHz

ตัวเลือก RAM ที่หลากหลาย
มีตั้งแต่ 1GB, 2GB, 4GB, 8GB จนถึง 16GB
รองรับการใช้งานตั้งแต่ทั่วไปจนถึงงานประสิทธิภาพสูง

สเปกเด่นของ Raspberry Pi 5
Dual 4Kp60 HDMI output และ VideoCore VII GPU
รองรับ Vulkan 1.3, OpenGL ES 3.1a และ HEVC decoder
มี PCIe slot สำหรับขยายอุปกรณ์เสริม

ข้อควรระวังและผลกระทบ
ราคาของ Raspberry Pi 4 และ 5 รุ่น RAM สูงถูกปรับขึ้น
ตลาดหน่วยความจำตึงตัว อาจกระทบต่อผู้ใช้ที่ต้องการประสิทธิภาพสูง

https://9to5linux.com/raspberry-pi-5-single-board-computer-now-available-with-1gb-ram-for-45-usd

🖥️ Raspberry Pi 5 รุ่นใหม่ มาพร้อม RAM 1GB ราคาเพียง $45 Raspberry Pi ประกาศเปิดตัวรุ่นใหม่ของ Raspberry Pi 5 ที่มาพร้อม RAM 1GB เพื่อเพิ่มความยืดหยุ่นให้กับผู้ใช้ที่ต้องการบอร์ดราคาประหยัดสำหรับงานทดลองและโครงการโอเพนซอร์ส โดยรุ่นนี้ยังคงใช้ Broadcom BCM2712 พร้อมซีพียู quad-core Arm Cortex-A76 ความเร็ว 2.4GHz เช่นเดียวกับรุ่น RAM ที่สูงกว่า การเปิดตัวครั้งนี้ทำให้ Raspberry Pi 5 มีตัวเลือก RAM ครบตั้งแต่ 1GB, 2GB, 4GB, 8GB ไปจนถึง 16GB ตอบโจทย์ทั้งผู้ใช้ทั่วไป นักพัฒนา และผู้ที่ต้องการประสิทธิภาพสูงสำหรับงานเฉพาะทาง เช่น การประมวลผลภาพหรือการจำลองระบบเสมือน ขณะเดียวกัน Raspberry Pi ยังประกาศปรับขึ้นราคาของบางรุ่นเพื่อรับมือกับต้นทุนหน่วยความจำที่สูงขึ้น ในด้านสเปกเพิ่มเติม Raspberry Pi 5 รองรับ dual 4Kp60 HDMI output, VideoCore VII GPU ที่รองรับ Vulkan 1.3 และ OpenGL ES 3.1a รวมถึง PCIe slot สำหรับการขยายอุปกรณ์เสริม นอกจากนี้ยังมี HEVC decoder ที่รองรับการเล่นวิดีโอ 4Kp60 ทำให้บอร์ดเล็ก ๆ นี้สามารถใช้งานได้ทั้งในงานมัลติมีเดียและการพัฒนาเชิงลึก แม้การเปิดตัวรุ่น RAM ต่ำจะช่วยให้ผู้ใช้เข้าถึง Raspberry Pi ได้ง่ายขึ้น แต่การปรับขึ้นราคาของรุ่นอื่น ๆ เช่น Raspberry Pi 4 และ Raspberry Pi 5 รุ่น RAM สูง อาจสร้างแรงกดดันต่อผู้ใช้ที่ต้องการประสิทธิภาพมากขึ้น ถือเป็นการสะท้อนถึงสถานการณ์ตลาดหน่วยความจำที่ตึงตัวในปี 2026 📌 สรุปสาระสำคัญ ✅ การเปิดตัวรุ่นใหม่ ➡️ Raspberry Pi 5 รุ่น RAM 1GB ราคา $45 ➡️ ใช้ซีพียู Broadcom BCM2712 Cortex-A76 2.4GHz ✅ ตัวเลือก RAM ที่หลากหลาย ➡️ มีตั้งแต่ 1GB, 2GB, 4GB, 8GB จนถึง 16GB ➡️ รองรับการใช้งานตั้งแต่ทั่วไปจนถึงงานประสิทธิภาพสูง ✅ สเปกเด่นของ Raspberry Pi 5 ➡️ Dual 4Kp60 HDMI output และ VideoCore VII GPU ➡️ รองรับ Vulkan 1.3, OpenGL ES 3.1a และ HEVC decoder ➡️ มี PCIe slot สำหรับขยายอุปกรณ์เสริม ‼️ ข้อควรระวังและผลกระทบ ⛔ ราคาของ Raspberry Pi 4 และ 5 รุ่น RAM สูงถูกปรับขึ้น ⛔ ตลาดหน่วยความจำตึงตัว อาจกระทบต่อผู้ใช้ที่ต้องการประสิทธิภาพสูง https://9to5linux.com/raspberry-pi-5-single-board-computer-now-available-with-1gb-ram-for-45-usd

9TO5LINUX.COM

Raspberry Pi 5 Single-Board Computer Now Available with 1GB RAM for $45 USD - 9to5Linux
Raspberry Pi 5 single-board computer is now available with 1GB RAM for $45 USD with dual-band Wi-Fi and PCI Express port.

0 Comments 0 Shares 157 Views 0 Reviews

Please log in to like, share and comment!
Newskit

added a photo
2025-12-01 17:40:34 -

มาเลเซียกวาดล้างซาวนาชาย เอ็นจีโอโวยละเมิดเลือกปฎิบัติ

การกวาดล้างสถานประกอบการเพื่อสุขภาพ ที่ระบุว่าแฝงกิจกรรมทางเพศแบบเพศเดียวกันในมาเลเซีย เริ่มจากเมื่อวันที่ 29 พ.ย. กองบังคับการ 7 (D7) ปราบปรามการกระทำความผิดเกี่ยวกับอั่งยี่ การพนันและอบายมุข ของตำรวจกัวลาลัมเปอร์ ร่วมกับกรมศาสนาแห่งดินแดนสหพันธ์ (JAWI) และศาลาว่าการกรุงกัวลาลัมเปอร์ (DKBL) เข้าทลายคลับสุขภาพย่านโจวคิต (Chow Kit) หลังมีประชาชนร้องเรียน ก่อนสืบสวนและเฝ้าติดตามกว่า 2 สัปดาห์ รวบผู้ต้องสงสัยเป็นลูกค้า 201 ราย พนักงาน 7 ราย อายุระหว่าง 19-60 ปี พร้อมของกลางถุงยางอนามัยและสิ่งของอื่นๆ ที่เชื่อว่าถูกนำไปใช้ในทางที่ผิดศีลธรรม

อาคารมีทั้งหมด 2 ชั้น เปิดมานานกว่า 8-10 เดือน มีการโปรโมตสถานที่ผ่านโซเชียลมีเดีย และบอกเล่าแบบปากต่อปากจากลูกค้าประจำ ผู้เข้าใช้บริการต้องลงทะเบียน 10 ริงกิตเพื่อเปิดบัตรสมาชิก หลังจากนั้นเสียค่าบริการครั้งละ 35 ริงกิต ลูกค้ามีทั้งผู้ประกอบวิชาชีพ นักศึกษา นักท่องเที่ยวจากเกาหลีใต้ อินโดนีเซีย เยอรมนี และจีน อย่างไรก็ตาม ภายหลังผู้ต้องหา 171 รายได้รับการปล่อยตัว เพราะศาลไปฎิเสธคำร้องขอส่งตัวผู้ต้องหา เนื่องจากยื่นคำร้องล่าช้า ส่วนชาวต่างชาติ 31 ราย ถูกควบคุมตัว

ต่อมาวันที่ 30 พ.ย. กองกำกับการ 7 ของสำนักงานตำรวจเขตเซเบอรังเปอไร (Seberang Perai) รัฐปีนัง ร่วมกับหน่วยปฎิบัติการด้านใบอนุญาตของสภาเขตเซเบอรังเปอไร บุกซาวนาในอาคาร 3 ชั้น ย่านบูกิตเมอร์ตาจัม (Bukit Mertajam) หลังถูกร้องเรียนว่าถูกใช้เป็นสถานที่จัดกิจกรรมทางเพศที่ผิดกฎหมาย รวบผู้ดูแลสถานที่ 2 ราย ลูกค้า 11 ราย อายุระหว่าง 19 ถึง 66 ปี รวมถึงชาวต่างชาติ 2 คน ประกอบด้วยคนไทย 1 คน และชาวจีน 1 คน พร้อมตรวจยึดถุงยางอนามัย สารหล่อลื่น และอุปกรณ์ที่เกี่ยวข้อง จากการสืบสวนพบว่าซาวนาแห่งนี้เปิดมานานกว่า 5 ปี แต่เพิ่งเริ่มดึงดูดลูกค้าเข้าร่วมทำกิจกรรมทางเพศเมื่อ 2 เดือนที่ผ่านมา

การบุกทลายสถานประกอบการเพื่อสุขภาพ ด้วยข้อหามีเพศสัมพันธ์กับเพศเดียวกัน ซึ่งผิดกฎหมายอาญาและกฎหมายชารีอะห์ตามหลักศาสนาอิสลาม กำลังเป็นที่วิจารณ์จากองค์กรพัฒนาเอกชน 2 แห่ง ตำหนิว่ามีสื่อมวลชนละเมิดความเป็นส่วนตัวของผู้ถูกจับกุม ส่งผลกระทบในทางลบต่อชีวิต และการดำรงชีวิตของคนที่เปราะบางอยู่แล้วในสังคม เนื่องจากการเลือกปฏิบัติ รวมถึงกระทบต่อความพยายามของรัฐบาลมาเลเซีย ในการยับยั้งการติดเชื้อเอชไอวีในประเทศ อีกทั้งบทบัญญัติตามกฎหมายดังกล่าวหลงเหลือจากศีลธรรมในยุคอาณานิคม ที่มุ่งเป้า ตีตรา และเป็นอันตรายต่อชุมชนที่มีความหลากหลายทางเพศ (LGBTQ+)

#Newskit

มาเลเซียกวาดล้างซาวนาชาย เอ็นจีโอโวยละเมิดเลือกปฎิบัติ การกวาดล้างสถานประกอบการเพื่อสุขภาพ ที่ระบุว่าแฝงกิจกรรมทางเพศแบบเพศเดียวกันในมาเลเซีย เริ่มจากเมื่อวันที่ 29 พ.ย. กองบังคับการ 7 (D7) ปราบปรามการกระทำความผิดเกี่ยวกับอั่งยี่ การพนันและอบายมุข ของตำรวจกัวลาลัมเปอร์ ร่วมกับกรมศาสนาแห่งดินแดนสหพันธ์ (JAWI) และศาลาว่าการกรุงกัวลาลัมเปอร์ (DKBL) เข้าทลายคลับสุขภาพย่านโจวคิต (Chow Kit) หลังมีประชาชนร้องเรียน ก่อนสืบสวนและเฝ้าติดตามกว่า 2 สัปดาห์ รวบผู้ต้องสงสัยเป็นลูกค้า 201 ราย พนักงาน 7 ราย อายุระหว่าง 19-60 ปี พร้อมของกลางถุงยางอนามัยและสิ่งของอื่นๆ ที่เชื่อว่าถูกนำไปใช้ในทางที่ผิดศีลธรรม อาคารมีทั้งหมด 2 ชั้น เปิดมานานกว่า 8-10 เดือน มีการโปรโมตสถานที่ผ่านโซเชียลมีเดีย และบอกเล่าแบบปากต่อปากจากลูกค้าประจำ ผู้เข้าใช้บริการต้องลงทะเบียน 10 ริงกิตเพื่อเปิดบัตรสมาชิก หลังจากนั้นเสียค่าบริการครั้งละ 35 ริงกิต ลูกค้ามีทั้งผู้ประกอบวิชาชีพ นักศึกษา นักท่องเที่ยวจากเกาหลีใต้ อินโดนีเซีย เยอรมนี และจีน อย่างไรก็ตาม ภายหลังผู้ต้องหา 171 รายได้รับการปล่อยตัว เพราะศาลไปฎิเสธคำร้องขอส่งตัวผู้ต้องหา เนื่องจากยื่นคำร้องล่าช้า ส่วนชาวต่างชาติ 31 ราย ถูกควบคุมตัว ต่อมาวันที่ 30 พ.ย. กองกำกับการ 7 ของสำนักงานตำรวจเขตเซเบอรังเปอไร (Seberang Perai) รัฐปีนัง ร่วมกับหน่วยปฎิบัติการด้านใบอนุญาตของสภาเขตเซเบอรังเปอไร บุกซาวนาในอาคาร 3 ชั้น ย่านบูกิตเมอร์ตาจัม (Bukit Mertajam) หลังถูกร้องเรียนว่าถูกใช้เป็นสถานที่จัดกิจกรรมทางเพศที่ผิดกฎหมาย รวบผู้ดูแลสถานที่ 2 ราย ลูกค้า 11 ราย อายุระหว่าง 19 ถึง 66 ปี รวมถึงชาวต่างชาติ 2 คน ประกอบด้วยคนไทย 1 คน และชาวจีน 1 คน พร้อมตรวจยึดถุงยางอนามัย สารหล่อลื่น และอุปกรณ์ที่เกี่ยวข้อง จากการสืบสวนพบว่าซาวนาแห่งนี้เปิดมานานกว่า 5 ปี แต่เพิ่งเริ่มดึงดูดลูกค้าเข้าร่วมทำกิจกรรมทางเพศเมื่อ 2 เดือนที่ผ่านมา การบุกทลายสถานประกอบการเพื่อสุขภาพ ด้วยข้อหามีเพศสัมพันธ์กับเพศเดียวกัน ซึ่งผิดกฎหมายอาญาและกฎหมายชารีอะห์ตามหลักศาสนาอิสลาม กำลังเป็นที่วิจารณ์จากองค์กรพัฒนาเอกชน 2 แห่ง ตำหนิว่ามีสื่อมวลชนละเมิดความเป็นส่วนตัวของผู้ถูกจับกุม ส่งผลกระทบในทางลบต่อชีวิต และการดำรงชีวิตของคนที่เปราะบางอยู่แล้วในสังคม เนื่องจากการเลือกปฏิบัติ รวมถึงกระทบต่อความพยายามของรัฐบาลมาเลเซีย ในการยับยั้งการติดเชื้อเอชไอวีในประเทศ อีกทั้งบทบัญญัติตามกฎหมายดังกล่าวหลงเหลือจากศีลธรรมในยุคอาณานิคม ที่มุ่งเป้า ตีตรา และเป็นอันตรายต่อชุมชนที่มีความหลากหลายทางเพศ (LGBTQ+) #Newskit

1

1 Comments 0 Shares 573 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-12-01 02:02:32 -

“ยุคใหม่ของการเก็บข้อมูล – อุปกรณ์เก่ากำลังหายไป”

การพัฒนาเทคโนโลยีทำให้อุปกรณ์อิเล็กทรอนิกส์เล็กลงและทรงพลังมากขึ้น ทั้งสมาร์ทโฟนที่ถ่ายวิดีโอ 8K ได้ และเกมที่ใช้พื้นที่มหาศาลในเครื่องคอนโซลหรือ PC ความต้องการพื้นที่เก็บข้อมูลที่มากและเร็วขึ้นจึงเพิ่มขึ้นอย่างต่อเนื่อง ขณะเดียวกันการเชื่อมต่อแบบ Thunderbolt และ USB-C รุ่นใหม่ ก็ช่วยให้การใช้ external SSD สำหรับงานหนักอย่างตัดต่อวิดีโอหรือเล่นเกมเป็นไปได้โดยไม่ต้องพึ่งพาไดรฟ์ภายใน

หนึ่งในอุปกรณ์ที่กำลังถูกแทนที่คือ SATA HDD ซึ่งแม้ยังไม่สูญพันธุ์ แต่แทบไม่มีคอมพิวเตอร์รุ่นใหม่ที่ติดตั้งมาแล้ว เนื่องจาก HDD มีข้อเสียหลายอย่าง เช่น ความเร็วต่ำสุดราว 300 MB/s, เสี่ยงต่อความเสียหายจากแรงกระแทก และทำงานช้าลงเมื่อเวลาผ่านไปเพราะ fragmentation ในทางตรงกันข้าม SSD ไม่มีชิ้นส่วนเคลื่อนไหว มีขนาดเล็กกว่า และมีความเร็วสูงกว่าหลายสิบเท่า ทำให้กลายเป็นมาตรฐานใหม่ในโน้ตบุ๊กและเดสก์ท็อป

อีกหนึ่งกลุ่มที่กำลังหายไปคือ CD และ DVD ซึ่งเคยเป็นมาตรฐานสำหรับเก็บภาพยนตร์ เกม และซอฟต์แวร์ แต่ปัจจุบันถูกแทนที่ด้วยการดาวน์โหลดดิจิทัลและบริการสตรีมมิ่ง เช่น Netflix และ Xbox Game Pass เนื่องจากไฟล์สมัยใหม่มีขนาดใหญ่เกินกว่าที่แผ่นดิสก์จะรองรับได้ อย่างไรก็ตาม optical discs ยังมีบทบาทในงาน เก็บข้อมูลระยะยาว โดยเฉพาะในภาคการแพทย์และหน่วยงานรัฐ เพราะทนต่อการรบกวนทางแม่เหล็ก และนักสะสมภาพยนตร์ยังคงนิยม Blu-ray สำหรับคุณภาพเสียงและภาพที่ดีที่สุด

การเปลี่ยนแปลงนี้สะท้อนว่าโลกกำลังเข้าสู่ยุคที่ การเก็บข้อมูลเน้นความเร็ว ความหนาแน่น และความสะดวก มากกว่าการพึ่งพาอุปกรณ์แบบเก่า แม้ HDD และ optical discs จะยังมีพื้นที่ในตลาดเฉพาะ แต่ผู้ใช้ทั่วไปกำลังหันไปใช้ SSD และ Cloud Storage เป็นหลัก

สรุปสาระสำคัญ
การเปลี่ยนแปลงของเทคโนโลยีเก็บข้อมูล
สมาร์ทโฟนและเกมต้องการพื้นที่มากขึ้น
Thunderbolt และ USB-C ทำให้ external SSD ใช้งานได้สะดวก

SATA HDD กำลังถูกแทนที่
ความเร็วต่ำและเสี่ยงต่อความเสียหาย
SSD เร็วกว่า 20 เท่าและเป็นมาตรฐานใหม่

CD และ DVD กำลังหายไป
ถูกแทนที่ด้วยการดาวน์โหลดและสตรีมมิ่ง
ยังมีบทบาทในงานเก็บข้อมูลระยะยาวและ Blu-ray สำหรับนักสะสม

คำเตือนสำหรับผู้ใช้ที่ยังใช้อุปกรณ์เก่า
HDD เสี่ยงต่อการเสียหายและทำงานช้าลงเมื่อเวลาผ่านไป
Optical discs ไม่รองรับไฟล์ขนาดใหญ่และอาจไม่สะดวกในยุคดิจิทัล

https://www.slashgear.com/2037771/old-storage-types-outdated-being-replaced/

💾 “ยุคใหม่ของการเก็บข้อมูล – อุปกรณ์เก่ากำลังหายไป” การพัฒนาเทคโนโลยีทำให้อุปกรณ์อิเล็กทรอนิกส์เล็กลงและทรงพลังมากขึ้น ทั้งสมาร์ทโฟนที่ถ่ายวิดีโอ 8K ได้ และเกมที่ใช้พื้นที่มหาศาลในเครื่องคอนโซลหรือ PC ความต้องการพื้นที่เก็บข้อมูลที่มากและเร็วขึ้นจึงเพิ่มขึ้นอย่างต่อเนื่อง ขณะเดียวกันการเชื่อมต่อแบบ Thunderbolt และ USB-C รุ่นใหม่ ก็ช่วยให้การใช้ external SSD สำหรับงานหนักอย่างตัดต่อวิดีโอหรือเล่นเกมเป็นไปได้โดยไม่ต้องพึ่งพาไดรฟ์ภายใน หนึ่งในอุปกรณ์ที่กำลังถูกแทนที่คือ SATA HDD ซึ่งแม้ยังไม่สูญพันธุ์ แต่แทบไม่มีคอมพิวเตอร์รุ่นใหม่ที่ติดตั้งมาแล้ว เนื่องจาก HDD มีข้อเสียหลายอย่าง เช่น ความเร็วต่ำสุดราว 300 MB/s, เสี่ยงต่อความเสียหายจากแรงกระแทก และทำงานช้าลงเมื่อเวลาผ่านไปเพราะ fragmentation ในทางตรงกันข้าม SSD ไม่มีชิ้นส่วนเคลื่อนไหว มีขนาดเล็กกว่า และมีความเร็วสูงกว่าหลายสิบเท่า ทำให้กลายเป็นมาตรฐานใหม่ในโน้ตบุ๊กและเดสก์ท็อป อีกหนึ่งกลุ่มที่กำลังหายไปคือ CD และ DVD ซึ่งเคยเป็นมาตรฐานสำหรับเก็บภาพยนตร์ เกม และซอฟต์แวร์ แต่ปัจจุบันถูกแทนที่ด้วยการดาวน์โหลดดิจิทัลและบริการสตรีมมิ่ง เช่น Netflix และ Xbox Game Pass เนื่องจากไฟล์สมัยใหม่มีขนาดใหญ่เกินกว่าที่แผ่นดิสก์จะรองรับได้ อย่างไรก็ตาม optical discs ยังมีบทบาทในงาน เก็บข้อมูลระยะยาว โดยเฉพาะในภาคการแพทย์และหน่วยงานรัฐ เพราะทนต่อการรบกวนทางแม่เหล็ก และนักสะสมภาพยนตร์ยังคงนิยม Blu-ray สำหรับคุณภาพเสียงและภาพที่ดีที่สุด การเปลี่ยนแปลงนี้สะท้อนว่าโลกกำลังเข้าสู่ยุคที่ การเก็บข้อมูลเน้นความเร็ว ความหนาแน่น และความสะดวก มากกว่าการพึ่งพาอุปกรณ์แบบเก่า แม้ HDD และ optical discs จะยังมีพื้นที่ในตลาดเฉพาะ แต่ผู้ใช้ทั่วไปกำลังหันไปใช้ SSD และ Cloud Storage เป็นหลัก 📌 สรุปสาระสำคัญ ✅ การเปลี่ยนแปลงของเทคโนโลยีเก็บข้อมูล ➡️ สมาร์ทโฟนและเกมต้องการพื้นที่มากขึ้น ➡️ Thunderbolt และ USB-C ทำให้ external SSD ใช้งานได้สะดวก ✅ SATA HDD กำลังถูกแทนที่ ➡️ ความเร็วต่ำและเสี่ยงต่อความเสียหาย ➡️ SSD เร็วกว่า 20 เท่าและเป็นมาตรฐานใหม่ ✅ CD และ DVD กำลังหายไป ➡️ ถูกแทนที่ด้วยการดาวน์โหลดและสตรีมมิ่ง ➡️ ยังมีบทบาทในงานเก็บข้อมูลระยะยาวและ Blu-ray สำหรับนักสะสม ‼️ คำเตือนสำหรับผู้ใช้ที่ยังใช้อุปกรณ์เก่า ⛔ HDD เสี่ยงต่อการเสียหายและทำงานช้าลงเมื่อเวลาผ่านไป ⛔ Optical discs ไม่รองรับไฟล์ขนาดใหญ่และอาจไม่สะดวกในยุคดิจิทัล https://www.slashgear.com/2037771/old-storage-types-outdated-being-replaced/

WWW.SLASHGEAR.COM

These Old Storage Types Are Seeing Their Way Out - SlashGear
Storage in electronic devices has changed a lot over the decades, with CDs, DVDs, and now hard drivers being phased out by better storage solutions like SSDs.

0 Comments 0 Shares 228 Views 0 Reviews

Please log in to like, share and comment!
Buy Verified Payoneer Accounts shared a link
2025-11-29 18:57:00 -

How to Safely Buy Verified Stripe Accounts Online In 2026
➤https://usaprostore.com/product/buy-verified-stripe-accounts/

➤24 Hours Reply/Contact
➤Email: usaprostore1@gmail.com
➤WhatsApp: +1 (717) 303-4210
➤Telegram: Usaprostore

#seo #business #usa #startup @highlight #usaprostore.com #product #buy #stripe @follower #accounts #secure #socialmedia usaaccounts #shorts #viral #explore #facts #aircraft #aircargo

How to Safely Buy Verified Stripe Accounts Online In 2026 ➤https://usaprostore.com/product/buy-verified-stripe-accounts/ ➤24 Hours Reply/Contact ➤Email: usaprostore1@gmail.com ➤WhatsApp: +1 (717) 303-4210 ➤Telegram: Usaprostore #seo #business #usa #startup @highlight #usaprostore.com #product #buy #stripe @follower #accounts #secure #socialmedia usaaccounts #shorts #viral #explore #facts #aircraft #aircargo

Buy Verified Stripe Accounts
Buy Verified Stripe Accounts provide accurate business information, complete the identity verification process, and confirm your bank accounts.

0 Comments 0 Shares 499 Views 0 Reviews

Please log in to like, share and comment!
Buy Verified Payoneer Accounts shared a link
2025-11-29 18:55:53 -

How to Safely Buy Verified Chime Accounts Online In 2026
➤https://usaprostore.com/product/buy-verified-chime-accounts/

➤24 Hours Reply/Contact
➤Email: usaprostore1@gmail.com
➤WhatsApp: +1 (717) 303-4210
➤Telegram: Usaprostore

#seo #business #usa #startup @highlight #usaprostore.com #product #buy #chime @follower #accounts #secure #socialmedia usaaccounts #shorts #viral #explore #facts #aircraft #aircargo

How to Safely Buy Verified Chime Accounts Online In 2026 ➤https://usaprostore.com/product/buy-verified-chime-accounts/ ➤24 Hours Reply/Contact ➤Email: usaprostore1@gmail.com ➤WhatsApp: +1 (717) 303-4210 ➤Telegram: Usaprostore #seo #business #usa #startup @highlight #usaprostore.com #product #buy #chime @follower #accounts #secure #socialmedia usaaccounts #shorts #viral #explore #facts #aircraft #aircargo

USAPROSTORE.COM

Buy Verified Chime Accounts
Buy verified Chime accounts for instant access to online banking, direct deposit, & secure transactions. Fully verified, ready to use, & fast delivery.

0 Comments 0 Shares 474 Views 0 Reviews

Please log in to like, share and comment!
Buy Verified Payoneer Accounts shared a link
2025-11-29 18:55:01 -

How to Safely Buy Edu Email Accounts Online In 2026
➤https://usaprostore.com/product/buy-edu-email-accounts/

➤24 Hours Reply/Contact
➤Email: usaprostore1@gmail.com
➤WhatsApp: +1 (717) 303-4210
➤Telegram: Usaprostore

#seo #business #usa #startup @highlight #usaprostore.com #product #buy #edu_email @follower #secure #socialmedia usaaccounts #shorts #viral #explore #facts #aircraft #aircargo

How to Safely Buy Edu Email Accounts Online In 2026 ➤https://usaprostore.com/product/buy-edu-email-accounts/ ➤24 Hours Reply/Contact ➤Email: usaprostore1@gmail.com ➤WhatsApp: +1 (717) 303-4210 ➤Telegram: Usaprostore #seo #business #usa #startup @highlight #usaprostore.com #product #buy #edu_email @follower #secure #socialmedia usaaccounts #shorts #viral #explore #facts #aircraft #aircargo

USAPROSTORE.COM

Buy Edu Email Accounts
Buy Edu Email Accounts can provide individuals with access to exclusive discounts, free software and services, and educational resources.

0 Comments 0 Shares 453 Views 0 Reviews

Please log in to like, share and comment!
Buy Verified Payoneer Accounts shared a link
2025-11-29 18:54:04 -

How to Safely Buy Old Gmail Accounts Online In 2026
➤https://usaprostore.com/product/buy-old-gmail-accounts/

➤24 Hours Reply/Contact
➤Email: usaprostore1@gmail.com
➤WhatsApp: +1 (717) 303-4210
➤Telegram: Usaprostore

#buy_gmail_account #seo #business #usa #startup @highlight #usaprostore.com #product #buy @follower #old #UK @CA

How to Safely Buy Old Gmail Accounts Online In 2026 ➤https://usaprostore.com/product/buy-old-gmail-accounts/ ➤24 Hours Reply/Contact ➤Email: usaprostore1@gmail.com ➤WhatsApp: +1 (717) 303-4210 ➤Telegram: Usaprostore #buy_gmail_account #seo #business #usa #startup @highlight #usaprostore.com #product #buy @follower #old #UK @CA

USAPROSTORE.COM

Buy Old Gmail Accounts
Buy old Gmail accounts in bulk with instant delivery. We offer old Gmail accounts for sale, 100% secure & PVA (Phone Verified Accounts)

0 Comments 0 Shares 299 Views 0 Reviews

Please log in to like, share and comment!

More Results