“CIA Triad หมดเวลาแล้ว – ยุคใหม่ของ Cybersecurity ต้องคิดลึกกว่าความลับ ความถูกต้อง และความพร้อมใช้งาน”

ลองจินตนาการว่าองค์กรของคุณกำลังเผชิญกับภัยคุกคามจาก ransomware, deepfake, หรือการโจมตีผ่านซัพพลายเชน แต่ระบบความปลอดภัยที่ใช้อยู่ยังยึดติดกับโมเดลเก่าแก่จากยุคสงครามเย็นที่เรียกว่า “CIA Triad” ซึ่งประกอบด้วย Confidentiality (ความลับ), Integrity (ความถูกต้อง), และ Availability (ความพร้อมใช้งาน)

บทความจาก CSO Online โดย Loris Gutic ได้ชี้ให้เห็นว่าโมเดลนี้ไม่สามารถรับมือกับภัยคุกคามยุคใหม่ได้อีกต่อไป และเสนอโมเดลใหม่ที่เรียกว่า “3C Model” ซึ่งประกอบด้วย Core, Complementary และ Contextual เพื่อสร้างระบบความปลอดภัยที่มีชั้นเชิงและตอบโจทย์โลกยุค AI และ Zero Trust

ผมขอเสริมว่าในปี 2025 ความเสียหายจาก cybercrime ทั่วโลกมีมูลค่ากว่า 10 ล้านล้านดอลลาร์ และองค์กรที่ยังยึดติดกับโมเดลเก่าอาจเสี่ยงต่อการสูญเสียทั้งข้อมูล ความเชื่อมั่น และชื่อเสียงอย่างรุนแรง

จุดอ่อนของ CIA Triad
โมเดลนี้ถูกออกแบบมาในยุค 1970s สำหรับระบบทหารและรัฐบาล
ไม่สามารถรองรับภัยคุกคามใหม่ เช่น deepfake, ransomware, หรือการโจมตีผ่าน AI
ขาดภาษาที่ใช้สื่อสารเรื่อง “ความถูกต้องแท้จริง” หรือ “ความยืดหยุ่นในการฟื้นตัว”

ตัวอย่างที่ CIA Triad ล้มเหลว
Ransomware ไม่ใช่แค่ปัญหาความพร้อมใช้งาน แต่คือการขาด “resilience”
Deepfake อาจมี integrity ที่สมบูรณ์ แต่ขาด authenticity ทำให้เกิดความเสียหายร้ายแรง
การพยายามยัดแนวคิดใหม่เข้าไปในโครงสร้างเก่า ทำให้เกิดช่องโหว่ที่แฮกเกอร์ใช้ประโยชน์

โมเดลใหม่: 3C Layered Information Security Model
Core: ความเชื่อมั่นทางเทคนิค เช่น authenticity, accountability, resilience
Complementary: การกำกับดูแล เช่น privacy by design, data provenance
Contextual: ผลกระทบต่อสังคม เช่น safety ในโครงสร้างพื้นฐาน, ความเชื่อมั่นของผู้ใช้
โมเดลนี้ช่วยให้ CISO พูดกับบอร์ดได้ในภาษาของธุรกิจ ไม่ใช่แค่ไฟร์วอลล์

ประโยชน์ของ 3C Model
ช่วยจัดระเบียบจากความวุ่นวายของ framework ต่าง ๆ เช่น ISO, NIST, GDPR
ทำให้สามารถ “map once, satisfy many” ลดงานซ้ำซ้อน
เปลี่ยนบทบาทของ CISO จากช่างเทคนิคเป็นพันธมิตรเชิงกลยุทธ์

คำเตือนสำหรับองค์กรที่ยังใช้ CIA Triad
ไม่สามารถรับมือกับ Zero Trust หรือกฎหมาย AI ใหม่ ๆ ได้
เสี่ยงต่อการโจมตีที่ซับซ้อน เช่น deepfake หรือการเจาะผ่านซัพพลายเชน
อาจทำให้บอร์ดบริหารเข้าใจผิดว่าระบบปลอดภัย ทั้งที่จริงมีช่องโหว่ร้ายแรง
การไม่ปรับเปลี่ยนโมเดล อาจทำให้องค์กรสูญเสียความเชื่อมั่นจากลูกค้าและสังคม

https://www.csoonline.com/article/4070548/the-cia-triad-is-dead-stop-using-a-cold-war-relic-to-fight-21st-century-threats.html

หัวข้อข่าว: Figure 03 หุ่นยนต์รุ่นใหม่จาก Figure AI – ก้าวสำคัญสู่หุ่นยนต์อเนกประสงค์ที่เรียนรู้จากมนุษย์

Figure AI เปิดตัว Figure 03 หุ่นยนต์ฮิวแมนนอยด์รุ่นที่ 3 ที่ออกแบบใหม่ทั้งหมดทั้งฮาร์ดแวร์และซอฟต์แวร์ เพื่อให้สามารถทำงานร่วมกับระบบ AI “Helix” ได้อย่างเต็มประสิทธิภาพ โดยมีเป้าหมายเพื่อสร้างหุ่นยนต์ที่สามารถเรียนรู้จากมนุษย์และทำงานได้หลากหลายทั้งในบ้านและในภาคธุรกิจ

Figure 03 มาพร้อมระบบกล้องใหม่ที่มีความละเอียดสูงขึ้น 2 เท่า ลดความหน่วงลงเหลือ 1/4 และเพิ่มมุมมองภาพกว้างขึ้น 60% ต่อกล้อง ทำให้สามารถมองเห็นและควบคุมการเคลื่อนไหวได้แม่นยำยิ่งขึ้น แม้ในพื้นที่แคบหรือซับซ้อน เช่น ภายในตู้หรือห้องครัว

มือของ Figure 03 ได้รับการออกแบบใหม่ให้มีความยืดหยุ่นและสัมผัสละเอียดมากขึ้น โดยมีเซ็นเซอร์ที่สามารถตรวจจับแรงกดเพียง 3 กรัม ซึ่งละเอียดพอที่จะรู้ว่าวัตถุกำลังจะหลุดจากมือหรือไม่

ในด้านการใช้งานภายในบ้าน Figure 03 มีการปรับปรุงด้านความปลอดภัย เช่น การใช้วัสดุหุ้มที่นุ่ม ลดน้ำหนักลง 9% และมีระบบชาร์จไร้สายผ่านเท้าที่สามารถชาร์จได้ทันทีเมื่อยืนบนแท่น

สำหรับการผลิต Figure 03 ถูกออกแบบมาเพื่อการผลิตจำนวนมาก โดยใช้กระบวนการใหม่ เช่น การหล่อขึ้นรูปและการปั๊มโลหะ ซึ่งช่วยลดต้นทุนและเพิ่มความเร็วในการผลิต พร้อมทั้งสร้างโรงงาน BotQ ที่สามารถผลิตหุ่นยนต์ได้ถึง 100,000 ตัวภายใน 4 ปี

ในภาคธุรกิจ Figure 03 สามารถทำงานได้เร็วขึ้น 2 เท่า มีแรงบิดสูงขึ้น และสามารถปรับแต่งรูปลักษณ์ภายนอกให้เหมาะกับแต่ละองค์กร เช่น การใส่ยูนิฟอร์มหรือหน้าจอด้านข้างเพื่อแสดงข้อมูล

สรุปเนื้อหาข่าวและข้อมูลเสริม
Figure 03 เปิดตัวอย่างเป็นทางการ
เป็นหุ่นยนต์ฮิวแมนนอยด์รุ่นที่ 3 จาก Figure AI
ออกแบบใหม่ทั้งหมดเพื่อรองรับระบบ AI “Helix”

ระบบกล้องและการมองเห็น
กล้องใหม่มีเฟรมเรตสูงขึ้น 2 เท่า
ลดความหน่วงลงเหลือ 1/4
มุมมองภาพกว้างขึ้น 60% ต่อกล้อง
มีระบบกล้องฝังในฝ่ามือสำหรับการมองใกล้

ระบบมือและสัมผัส
ปลายนิ้วนุ่มและปรับตัวตามวัตถุ
เซ็นเซอร์ตรวจจับแรงกดละเอียดถึง 3 กรัม
ป้องกันวัตถุหลุดจากมือด้วยการควบคุมแบบเรียลไทม์

การใช้งานในบ้าน
หุ้มด้วยวัสดุนุ่ม ลดน้ำหนักลง 9%
ระบบชาร์จไร้สายผ่านเท้า
แบตเตอรี่มีระบบป้องกันหลายชั้นและผ่านมาตรฐาน UN38.3
เสียงพูดชัดขึ้น ลำโพงใหญ่ขึ้น 2 เท่า ไมโครโฟนปรับตำแหน่งใหม่

การผลิตจำนวนมาก
ใช้กระบวนการหล่อขึ้นรูปและปั๊มโลหะ
ลดจำนวนชิ้นส่วนและขั้นตอนประกอบ
สร้างโรงงาน BotQ เพื่อผลิตหุ่นยนต์ได้ถึง 100,000 ตัวใน 4 ปี
ควบคุมคุณภาพด้วยระบบ MES ที่ติดตามทุกขั้นตอน

การใช้งานในภาคธุรกิจ
ทำงานเร็วขึ้น 2 เท่า มีแรงบิดสูงขึ้น
ปรับแต่งรูปลักษณ์ภายนอกได้ เช่น ยูนิฟอร์มหรือหน้าจอด้านข้าง
ชาร์จและถ่ายข้อมูลแบบไร้สายระหว่างพักงาน

ข้อมูลเสริมจากภายนอก
Helix เป็นระบบ AI ที่รวมการมองเห็น ภาษา และการกระทำไว้ด้วยกัน
หุ่นยนต์ฮิวแมนนอยด์กำลังเป็นที่สนใจในภาคอุตสาหกรรม เช่น โลจิสติกส์และการดูแลผู้สูงอายุ
การผลิตหุ่นยนต์จำนวนมากยังเป็นความท้าทายด้านต้นทุนและซัพพลายเชน

คำเตือนเกี่ยวกับการใช้งานหุ่นยนต์ในบ้านและธุรกิจ
ต้องมีการควบคุมความปลอดภัยอย่างเข้มงวดเพื่อป้องกันอุบัติเหตุ
การใช้งานในพื้นที่แคบต้องมีการทดสอบและปรับแต่งให้เหมาะสม
การผลิตจำนวนมากต้องพึ่งพาซัพพลายเชนที่มั่นคงและมีคุณภาพสูง

Figure 03 ไม่ใช่แค่หุ่นยนต์รุ่นใหม่ แต่เป็นสัญลักษณ์ของการก้าวเข้าสู่ยุคที่หุ่นยนต์สามารถเรียนรู้จากมนุษย์และทำงานร่วมกับเราได้อย่างแท้จริงครับ

https://www.figure.ai/news/introducing-figure-03

“7-Zip พบช่องโหว่ร้ายแรง! เปิดทางแฮกเกอร์รันโค้ดผ่าน ZIP — ผู้ใช้ควรอัปเดตเป็นเวอร์ชัน 25.00 ด่วน”

Zero Day Initiative (ZDI) ได้เปิดเผยช่องโหว่ร้ายแรง 2 รายการในโปรแกรมบีบอัดไฟล์ยอดนิยมอย่าง 7-Zip ซึ่งอาจเปิดโอกาสให้แฮกเกอร์รันโค้ดอันตรายบนเครื่องของผู้ใช้ได้ โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-11001 และ CVE-2025-11002 และได้รับการแก้ไขแล้วในเวอร์ชัน 25.00

ช่องโหว่เกิดจากการจัดการ symbolic links ภายในไฟล์ ZIP ที่ไม่ปลอดภัย ทำให้ไฟล์สามารถ “หลุด” ออกจากโฟลเดอร์ที่ตั้งใจไว้ และไปเขียนทับไฟล์สำคัญในระบบได้ เช่น ไฟล์ startup หรือ configuration ซึ่งอาจนำไปสู่การรันโค้ดโดยอัตโนมัติเมื่อระบบเปิดใช้งาน

แม้การโจมตีจะต้องอาศัยการเปิดหรือแตกไฟล์ ZIP โดยผู้ใช้ แต่ในหลายกรณี เช่น ระบบเซิร์ฟเวอร์หรือบริการคลาวด์ที่ใช้ 7-Zip แบบอัตโนมัติ อาจถูกโจมตีโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย

ZDI เตือนว่าแฮกเกอร์สามารถใช้ช่องโหว่นี้ในการส่งไฟล์ ZIP ปลอมที่ดูเหมือนเอกสารทั่วไป เช่น เรซูเม่ ใบแจ้งหนี้ หรือไฟล์โปรเจกต์ เพื่อหลอกให้ผู้ใช้เปิดด้วย 7-Zip และนำไปสู่การรันโค้ดอันตรายทันที

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11001 และ CVE-2025-11002 ถูกค้นพบในโปรแกรม 7-Zip
ช่องโหว่เกิดจากการจัดการ symbolic links ในไฟล์ ZIP ที่ไม่ปลอดภัย
ไฟล์ ZIP สามารถหลุดออกจากโฟลเดอร์ที่ตั้งใจไว้และเขียนทับไฟล์ระบบ
อาจนำไปสู่การรันโค้ดอันตรายในบริบทของ service account
การโจมตีสามารถเกิดขึ้นได้แม้ไม่มีการโต้ตอบจากผู้ใช้ในระบบอัตโนมัติ
แฮกเกอร์สามารถปลอมไฟล์ ZIP ให้ดูเหมือนเอกสารทั่วไปเพื่อหลอกผู้ใช้
ช่องโหว่ได้รับการแก้ไขแล้วใน 7-Zip เวอร์ชัน 25.00

ข้อมูลเสริมจากภายนอก
symbolic link คือไฟล์ที่ชี้ไปยังไฟล์หรือโฟลเดอร์อื่นในระบบ
directory traversal เป็นเทคนิคที่ใช้หลบหลีกข้อจำกัดของ path เพื่อเข้าถึงไฟล์ที่ไม่ควรเข้าถึง
service account มักมีสิทธิ์สูงในระบบ ทำให้การโจมตีมีผลกระทบรุนแรง
7-Zip เป็นโปรแกรมโอเพ่นซอร์สที่นิยมใช้ในระบบเซิร์ฟเวอร์และองค์กร
การอัปเดตเวอร์ชันล่าสุดช่วยป้องกันการโจมตีแบบ zero-click ในระบบอัตโนมัติ

https://securityonline.info/two-7-zip-flaws-allow-code-execution-via-malicious-zip-files-cve-2025-11001-cve-2025-11002/

“ช่องโหว่ Figma MCP เปิดทางแฮกเกอร์รันโค้ดระยะไกล — นักพัฒนาเสี่ยงข้อมูลรั่วจากการใช้ AI Agent”

นักวิจัยด้านความปลอดภัยจาก Imperva เปิดเผยช่องโหว่ร้ายแรงในแพ็กเกจ npm ชื่อ figma-developer-mpc ซึ่งเป็นตัวกลางเชื่อมระหว่าง Figma กับ AI coding agents เช่น Cursor และ GitHub Copilot ผ่านโปรโตคอล Model Context Protocol (MCP) โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-53967 และได้รับคะแนนความรุนแรง 7.5/10

ช่องโหว่นี้เกิดจากการใช้คำสั่ง child_process.exec ใน Node.js โดยนำข้อมูลจากผู้ใช้มาแทรกลงในคำสั่ง shell โดยไม่มีการตรวจสอบ ทำให้แฮกเกอร์สามารถแทรก metacharacters เช่น |, &&, > เพื่อรันคำสั่งอันตรายบนเซิร์ฟเวอร์ที่ติดตั้งแพ็กเกจนี้ได้ทันที

การโจมตีสามารถเกิดขึ้นได้ผ่านการส่งคำสั่ง JSONRPC ไปยัง MCP server เช่น tools/call เพื่อเรียกใช้ฟังก์ชันอย่าง get_figma_data หรือ download_figma_images ซึ่งหาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec ซึ่งเป็นจุดที่เปิดช่องให้แฮกเกอร์แทรกคำสั่งได้

ช่องโหว่นี้ถูกพบในเดือนกรกฎาคม 2025 และได้รับการแก้ไขในเวอร์ชัน 0.6.3 ที่เผยแพร่เมื่อวันที่ 29 กันยายน 2025 โดยแนะนำให้ผู้ใช้เปลี่ยนไปใช้ child_process.execFile ซึ่งปลอดภัยกว่า เพราะแยก argument ออกจากคำสั่งหลัก ทำให้ไม่สามารถแทรกคำสั่ง shell ได้

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-53967 อยู่ในแพ็กเกจ figma-developer-mpc
ใช้ child_process.exec โดยไม่มีการตรวจสอบ input จากผู้ใช้
แฮกเกอร์สามารถแทรก metacharacters เพื่อรันคำสั่งอันตรายได้
การโจมตีเกิดผ่านคำสั่ง JSONRPC เช่น tools/call
หาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec
ช่องโหว่ถูกค้นพบโดย Imperva และแก้ไขในเวอร์ชัน 0.6.3
แนะนำให้เปลี่ยนไปใช้ execFile เพื่อความปลอดภัย
ช่องโหว่นี้มีผลต่อระบบที่เชื่อม Figma กับ AI coding agents เช่น Cursor

https://www.techradar.com/pro/security/worrying-figma-mcp-security-flaw-could-let-hackers-execute-code-remotely-heres-how-to-stay-safe

“Crimson Collective เจาะระบบ AWS ด้วย TruffleHog — ขโมยข้อมูล 570GB จาก Red Hat และเริ่มขยายเป้าหมายสู่คลาวด์ทั่วโลก”

กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ

เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่

ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา

นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ

AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที

ข้อมูลสำคัญจากข่าว
Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog
ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า
กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository
ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess
สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล
ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ
Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์
AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege
หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ

ข้อมูลเสริมจากภายนอก
TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository
IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS
AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS
CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร
การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก

https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances

“SonicWall ยืนยัน! แฮกเกอร์เจาะระบบสำรองไฟร์วอลล์ทุกเครื่อง — ข้อมูลเครือข่ายทั่วโลกเสี่ยงถูกวางแผนโจมตี”

หลังจากรายงานเบื้องต้นในเดือนกันยายนว่า “มีลูกค้าเพียง 5% ได้รับผลกระทบ” ล่าสุด SonicWall และบริษัท Mandiant ได้เปิดเผยผลสอบสวนเต็มรูปแบบเมื่อวันที่ 9 ตุลาคม 2025 ว่าแฮกเกอร์สามารถเข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของ “ลูกค้าทุกคน” ที่ใช้บริการสำรองข้อมูลบนคลาวด์ของ SonicWall24

การโจมตีเริ่มต้นจากการ brute force API บนระบบ MySonicWall Cloud Backup ซึ่งเก็บไฟล์การตั้งค่าระบบไฟร์วอลล์ที่เข้ารหัสไว้ ไฟล์เหล่านี้มีข้อมูลสำคัญ เช่น กฎการกรองข้อมูล, การตั้งค่า VPN, routing, credentials, และข้อมูลบัญชีผู้ใช้ แม้รหัสผ่านจะถูกเข้ารหัสด้วย AES-256 (Gen 7) หรือ 3DES (Gen 6) แต่การที่แฮกเกอร์ได้ไฟล์ทั้งหมดไป ทำให้สามารถวิเคราะห์โครงสร้างเครือข่ายของลูกค้าได้อย่างละเอียด

SonicWall ได้แบ่งระดับความเสี่ยงของอุปกรณ์ไว้ในพอร์ทัล MySonicWall เป็น 3 กลุ่ม:

“Active – High Priority” สำหรับอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต
“Active – Lower Priority” สำหรับอุปกรณ์ภายใน
“Inactive” สำหรับอุปกรณ์ที่ไม่ได้เชื่อมต่อมาเกิน 90 วัน

บริษัทแนะนำให้ลูกค้าเริ่มตรวจสอบอุปกรณ์กลุ่ม High Priority ก่อน พร้อมใช้เครื่องมือ Firewall Config Analysis Tool และสคริปต์ Essential Credential Reset เพื่อรีเซ็ตรหัสผ่านและ API key ที่อาจถูกเปิดเผย

ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr ระบุว่า แม้ข้อมูลจะถูกเข้ารหัส แต่หากรหัสผ่านอ่อนก็สามารถถูกถอดรหัสแบบออฟไลน์ได้ และการได้ไฟล์การตั้งค่าทั้งหมดคือ “ขุมทรัพย์” สำหรับการวางแผนโจมตีแบบเจาะจง

ข้อมูลสำคัญจากข่าว
SonicWall ยืนยันว่าแฮกเกอร์เข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของลูกค้าทุกคน
การโจมตีเริ่มจาก brute force API บนระบบ MySonicWall Cloud Backup
ไฟล์ที่ถูกเข้าถึงมีข้อมูล routing, VPN, firewall rules, credentials และบัญชีผู้ใช้
รหัสผ่านถูกเข้ารหัสด้วย AES-256 (Gen 7) และ 3DES (Gen 6)
SonicWall แบ่งระดับความเสี่ยงของอุปกรณ์เป็น High, Low และ Inactive
ลูกค้าสามารถดูรายการอุปกรณ์ที่ได้รับผลกระทบใน MySonicWall portal
มีเครื่องมือ Firewall Config Analysis Tool และสคริปต์รีเซ็ตรหัสผ่านให้ใช้งาน
SonicWall ทำงานร่วมกับ Mandiant เพื่อเสริมระบบและช่วยเหลือลูกค้า

ข้อมูลเสริมจากภายนอก
API brute force คือการสุ่มรหัสผ่านหรือ token เพื่อเข้าถึงระบบโดยไม่รับอนุญาต
การเข้าถึงไฟล์การตั้งค่าไฟร์วอลล์ช่วยให้แฮกเกอร์เข้าใจโครงสร้างเครือข่ายขององค์กร
AES-256 เป็นมาตรฐานการเข้ารหัสที่แข็งแกร่ง แต่ยังขึ้นอยู่กับความแข็งแรงของรหัสผ่าน
การใช้ cloud backup โดยไม่มี rate limiting หรือ access control ที่ดี เป็นช่องโหว่สำคัญ
Mandiant เป็นบริษัทด้านความปลอดภัยที่มีชื่อเสียงในการสอบสวนเหตุการณ์ระดับโลก

https://hackread.com/sonicwall-hackers-breached-all-firewall-backups/

“Python 3.14 มาแล้ว! เร็วขึ้นกว่าเดิม แต่ JIT ยังไม่เปรี้ยง — Free-threading คือดาวเด่นของเวอร์ชันนี้”

หลังจากเปิดตัวอย่างเป็นทางการในวันที่ 7 ตุลาคม 2025 Python 3.14 ได้รับการทดสอบประสิทธิภาพโดยนักพัฒนา Miguel Grinberg ซึ่งเปรียบเทียบกับเวอร์ชันก่อนหน้าและภาษาคู่แข่งอย่าง Node.js, Rust และ Pypy โดยใช้สคริปต์ทดสอบสองแบบคือ Fibonacci (เน้น recursion) และ Bubble Sort (เน้น iteration)

ผลลัพธ์ชี้ว่า Python 3.14 เร็วกว่า Python 3.13 ประมาณ 27% ในการคำนวณ Fibonacci และเร็วกว่าเวอร์ชัน 3.11 ถึง 45% โดย Bubble Sort ก็เร็วขึ้นเช่นกัน แม้จะไม่มากเท่า Fibonacci

นอกจากนี้ Python 3.14 ยังมี interpreter แบบใหม่สองแบบคือ JIT (Just-In-Time) และ Free-threading (FT) ซึ่งเปิดตัวตั้งแต่เวอร์ชัน 3.13 โดย JIT ยังไม่แสดงผลลัพธ์ที่โดดเด่นในงานทดสอบของ Miguel แต่ Free-threading กลับสร้างความประทับใจ โดยสามารถรันงานแบบ multi-thread ได้เร็วกว่า interpreter ปกติถึง 3 เท่าในบางกรณี

การเปลี่ยนแปลงนี้มีความสำคัญ เพราะ Free-threading ช่วยปลดล็อกข้อจำกัดของ GIL (Global Interpreter Lock) ที่เคยเป็นอุปสรรคในการใช้ Python กับงานที่ต้องการประมวลผลหลายเธรดพร้อมกัน เช่น งานด้าน data science, machine learning และ simulation

นอกจากนี้ Python 3.14 ยังมาพร้อมฟีเจอร์ใหม่ เช่น t-strings (PEP 750) สำหรับการจัดการข้อความแบบปลอดภัย, การรองรับ UUID เวอร์ชัน 6–8, และโมดูลใหม่สำหรับการบีบอัดข้อมูลด้วย Zstandard (PEP 784)

ข้อมูลสำคัญจากข่าว
Python 3.14 เปิดตัวเมื่อวันที่ 7 ตุลาคม 2025
เร็วกว่า Python 3.13 ประมาณ 27% ในการคำนวณ Fibonacci
Bubble Sort ก็เร็วขึ้น แต่ไม่มากเท่า Fibonacci
มี interpreter ใหม่: JIT และ Free-threading (FT)
Free-threading รันงาน multi-thread ได้เร็วกว่า interpreter ปกติถึง 3 เท่า
JIT ยังไม่แสดงผลลัพธ์ที่โดดเด่นในงานทดสอบ
ฟีเจอร์ใหม่: t-strings (PEP 750), UUID v6–8, โมดูลบีบอัด Zstandard (PEP 784)
รองรับการพัฒนาแอป Android ด้วย binary อย่างเป็นทางการ

ข้อมูลเสริมจากภายนอก
GIL เป็นข้อจำกัดที่ทำให้ Python ไม่สามารถใช้ CPU หลายคอร์ได้เต็มที่
Free-threading ช่วยให้ Python ใช้ multi-core ได้จริง โดยไม่ต้องใช้ multiprocessing
NumPy เริ่มรองรับ Free-threading แล้วใน Linux และ macOS
t-strings ช่วยลดความเสี่ยงจาก SQL injection และ XSS
Rust และ Pypy ยังเร็วกว่า Python 3.14 อย่างมากในงานที่ใช้ CPU หนัก

คำเตือนและข้อจำกัด
JIT ยังไม่ให้ผลลัพธ์ที่ชัดเจนในงานที่ใช้ recursion หนัก
Free-threading ยังช้ากว่า interpreter ปกติในงาน single-thread
การเปลี่ยน interpreter อาจต้อง rebuild จาก source และปรับ config
ฟีเจอร์ใหม่บางอย่างยังไม่รองรับในทุกระบบปฏิบัติการ
การใช้ Free-threading ต้องระวังเรื่อง thread safety และการจัดการ memory

https://blog.miguelgrinberg.com/post/python-3-14-is-here-how-fast-is-it

“CL0P โจมตี Oracle EBS ด้วยช่องโหว่ Zero-Day CVE-2025-61882 — ขโมยข้อมูลองค์กรผ่าน RCE โดยไม่ต้องล็อกอิน”

Google Threat Intelligence Group (GTIG) และ Mandiant ได้เปิดเผยแคมเปญการโจมตีขนาดใหญ่โดยกลุ่ม CL0P ที่มุ่งเป้าไปยัง Oracle E-Business Suite (EBS) ซึ่งเป็นระบบ ERP ที่ใช้กันอย่างแพร่หลายในองค์กรทั่วโลก โดยใช้ช่องโหว่ Zero-Day ที่เพิ่งถูกระบุว่าเป็น CVE-2025-61882 ซึ่งมีความรุนแรงระดับ “วิกฤต” ด้วยคะแนน CVSS 9.8

การโจมตีเริ่มต้นตั้งแต่เดือนกรกฎาคม 2025 โดยแฮกเกอร์สามารถเข้าถึงระบบ Oracle EBS ได้โดยไม่ต้องล็อกอิน ผ่านช่องโหว่ในคอมโพเนนต์ BI Publisher Integration ของระบบ Concurrent Processing โดยใช้เทคนิค SSRF, CRLF injection, การข้ามการยืนยันตัวตน และการฉีด XSL template เพื่อรันคำสั่งบนเซิร์ฟเวอร์

เมื่อเข้าระบบได้แล้ว ผู้โจมตีใช้ payload แบบ Java ที่ซับซ้อน เช่น GOLDVEIN.JAVA และ SAGEGIFT/SAGELEAF/SAGEWAVE เพื่อสร้าง backdoor และควบคุมระบบอย่างต่อเนื่อง โดย payload เหล่านี้สามารถหลบเลี่ยงการตรวจจับจากระบบป้องกันทั่วไปได้

แฮกเกอร์ใช้บัญชี “applmgr” ซึ่งเป็นบัญชีหลักของ Oracle EBS ในการสำรวจระบบและรันคำสั่ง เช่น ifconfig, netstat, และ bash -i >& /dev/tcp/... เพื่อเปิด shell แบบ interactive บนเซิร์ฟเวอร์

ในช่วงปลายเดือนกันยายน ผู้บริหารจากหลายองค์กรเริ่มได้รับอีเมลข่มขู่จาก CL0P โดยอ้างว่าข้อมูลจากระบบ Oracle EBS ถูกขโมยไปแล้ว พร้อมแนบรายการไฟล์จริงเพื่อยืนยันการโจมตี และเสนอให้จ่ายเงินเพื่อไม่ให้ข้อมูลถูกเผยแพร่บนเว็บไซต์ CL0P DLS

Oracle ได้ออก patch ฉุกเฉินเมื่อวันที่ 4 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่ CVE-2025-61882 และแนะนำให้ลูกค้าทุกคนอัปเดตทันที พร้อมแจก Indicators of Compromise (IoCs) เพื่อช่วยตรวจสอบการบุกรุก

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ใน Oracle EBS ที่ถูกใช้โจมตีโดย CL0P
ช่องโหว่เกิดใน BI Publisher Integration ของ Concurrent Processing
ใช้เทคนิค SSRF, CRLF injection, auth bypass และ XSL template injection
แฮกเกอร์สามารถรันคำสั่งบนเซิร์ฟเวอร์โดยไม่ต้องล็อกอิน
ใช้ payload Java เช่น GOLDVEIN.JAVA และ SAGE* เพื่อสร้าง backdoor
ใช้บัญชี applmgr เพื่อสำรวจระบบและเปิด shell
ส่งอีเมลข่มขู่ผู้บริหารพร้อมรายการไฟล์จริงจากระบบที่ถูกเจาะ
Oracle ออก patch ฉุกเฉินเมื่อ 4 ตุลาคม 2025 พร้อมแจก IoCs

ข้อมูลเสริมจากภายนอก
Oracle EBS ใช้ในระบบสำคัญขององค์กร เช่น การเงิน, HR, โลจิสติกส์
CL0P เคยโจมตี MOVEit, Cleo และ GoAnywhere ด้วย Zero-Day ลักษณะเดียวกัน
SSRF เป็นเทคนิคที่ใช้หลอกให้เซิร์ฟเวอร์เรียกข้อมูลจากแหล่งที่ผู้โจมตีควบคุม
XSLT injection สามารถใช้เรียกฟังก์ชัน Java เพื่อรันคำสั่งในระบบ
GOLDVEIN.JAVA ใช้การปลอม handshake TLS เพื่อหลบการตรวจจับ

https://securityonline.info/cl0p-extortion-google-mandiant-expose-zero-day-rce-in-oracle-e-business-suite-cve-2025-61882/

“พบช่องโหว่ Zero-Day ร้ายแรงใน Gladinet/Triofox — แฮกเกอร์ใช้ LFI ดึง machine key แล้วรันโค้ดบนเซิร์ฟเวอร์ทันที”

บริษัท Huntress ได้ออกคำเตือนถึงช่องโหว่ Zero-Day ใหม่ในซอฟต์แวร์ Gladinet CentreStack และ Triofox ซึ่งเป็นแพลตฟอร์มแชร์ไฟล์และจัดการข้อมูลสำหรับองค์กร โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-11371 และมีระดับความรุนแรง CVSS 6.1 ซึ่งแม้จะไม่สูงสุด แต่มีการโจมตีจริงแล้วในหลายองค์กร

ช่องโหว่นี้เป็นแบบ Local File Inclusion (LFI) ที่เปิดให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญในระบบได้โดยไม่ต้องยืนยันตัวตน โดยเฉพาะไฟล์ Web.config ที่เก็บ machine key ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสข้อมูลในระบบ ASP.NET

เมื่อแฮกเกอร์ได้ machine key แล้ว จะสามารถใช้ช่องโหว่เก่า CVE-2025-30406 ที่เกี่ยวข้องกับ ViewState deserialization เพื่อสร้าง payload ที่ผ่านการเข้ารหัสอย่างถูกต้อง แล้วรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที โดยไม่ต้อง login หรือมีสิทธิ์ใด ๆ

Huntress ตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 26 กันยายน 2025 ผ่านระบบตรวจจับภายใน โดยพบ payload แบบ base64 ถูกเรียกใช้เป็น child process ของ web server ซึ่งเป็นสัญญาณของการโจมตีหลังการ deserialization

แม้ช่องโหว่ CVE-2025-30406 จะถูกแก้ไขไปแล้วในเวอร์ชันใหม่ของ CentreStack แต่ช่องโหว่ CVE-2025-11371 กลับเปิดทางให้แฮกเกอร์ใช้ช่องโหว่เก่าได้อีกครั้งผ่านการดึง machine key ทำให้การโจมตีมีประสิทธิภาพสูงและยากต่อการตรวจจับ

ขณะนี้ยังไม่มี patch อย่างเป็นทางการจาก Gladinet แต่ Huntress ได้เสนอวิธีแก้ไขชั่วคราว โดยให้ผู้ดูแลระบบเข้าไปลบ handler ที่ชื่อ t.dn ในไฟล์ Web.config ของ UploadDownloadProxy เพื่อปิดช่องทางการเข้าถึงที่ใช้ในการโจมตี

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11371 เป็นแบบ Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox
ผู้โจมตีสามารถดึงไฟล์ Web.config เพื่อขโมย machine key โดยไม่ต้อง login
ใช้ machine key เพื่อรันโค้ดผ่านช่องโหว่ ViewState deserialization (CVE-2025-30406)
Huntress ตรวจพบการโจมตีจริงใน 3 องค์กรแล้ว
การโจมตีเริ่มจาก payload base64 ที่รันเป็น child process ของ web server
ช่องโหว่ CVE-2025-30406 เคยถูกแก้ไขแล้ว แต่ถูกนำกลับมาใช้ผ่านช่องโหว่ใหม่
ยังไม่มี patch อย่างเป็นทางการจาก Gladinet
Huntress แนะนำให้ลบ handler t.dn ใน Web.config เพื่อปิดช่องทางการโจมตี

ข้อมูลเสริมจากภายนอก
ViewState เป็นกลไกของ ASP.NET ที่ใช้เก็บสถานะของหน้าเว็บ
Deserialization คือการแปลงข้อมูลกลับเป็น object ซึ่งหากไม่ปลอดภัยอาจถูกใช้โจมตี
LFI เป็นช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในระบบโดยไม่ต้องมีสิทธิ์
Machine key ใช้ในการเข้ารหัสข้อมูลสำคัญ เช่น session และ ViewState
การโจมตีแบบนี้สามารถใช้เพื่อฝังมัลแวร์หรือเปิด backdoor บนเซิร์ฟเวอร์

https://securityonline.info/exploited-zero-day-gladinet-triofox-flaw-cve-2025-11371-allows-rce-via-lfi/

“พบช่องโหว่ร้ายแรงใน OpenSSH (CVE-2025-61984) — แฮกเกอร์สามารถรันคำสั่งผ่านชื่อผู้ใช้ได้!”

ช่องโหว่ใหม่ใน OpenSSH ที่ถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัย David Leadbeater ได้สร้างความตื่นตระหนกในวงการไซเบอร์ โดยช่องโหว่นี้มีรหัส CVE-2025-61984 และส่งผลกระทบต่อ OpenSSH เวอร์ชันก่อน 10.1 ซึ่งเปิดช่องให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลผ่านการใช้ชื่อผู้ใช้ที่ถูกออกแบบมาอย่างเจาะจง

ปัญหาเกิดจากการที่ OpenSSH อนุญาตให้มีอักขระควบคุม (control characters) ในชื่อผู้ใช้ โดยเฉพาะเมื่อใช้ร่วมกับคำสั่ง ProxyCommand ที่มีการแทรกชื่อผู้ใช้ผ่านตัวแปร %r ซึ่งจะถูกนำไปสร้างคำสั่ง exec เพื่อรันผ่าน shell ของผู้ใช้ หากชื่อผู้ใช้มีอักขระพิเศษ เช่น $[ และ \n (ขึ้นบรรทัดใหม่) จะทำให้ shell เช่น Bash หรือ csh ตีความผิดพลาด แล้วรันคำสั่งถัดไปที่แฮกเกอร์แอบแทรกไว้

ตัวอย่างการโจมตีที่เป็นไปได้คือการฝังชื่อผู้ใช้อันตรายไว้ในไฟล์ .gitmodules ของ Git repository แล้วใช้ SSH configuration ที่มี ProxyCommand แบบ %r@%h:%p เมื่อผู้ใช้ clone repository แบบ recursive (git clone --recursive) ระบบจะรันคำสั่งที่แฮกเกอร์แอบใส่ไว้ก่อนจะเชื่อมต่อจริง

แม้การโจมตีจะต้องใช้เงื่อนไขเฉพาะ เช่น shell ที่ไม่หยุดทำงานเมื่อเจอ syntax error และการตั้งค่า SSH ที่ใช้ %r แต่ก็ถือเป็นช่องโหว่ที่อันตราย เพราะสามารถใช้โจมตีผ่านเครื่องมือที่นักพัฒนาใช้งานเป็นประจำ เช่น Git, Teleport หรือ CI/CD pipeline

OpenSSH ได้ออกแพตช์ในเวอร์ชัน 10.1 โดยเพิ่มการตรวจสอบอักขระควบคุมในชื่อผู้ใช้ผ่านฟังก์ชัน iscntrl() เพื่อป้องกันการแทรกคำสั่ง สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ทันที ควรใช้ single quote ครอบ %r ใน ProxyCommand เช่น 'some-command '%r@%h:%p' และปิดการใช้งาน SSH-based submodules ใน Git

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61984 ส่งผลต่อ OpenSSH ก่อนเวอร์ชัน 10.1
เกิดจากการอนุญาตให้ใช้ control characters ในชื่อผู้ใช้
ใช้ร่วมกับ ProxyCommand ที่มี %r จะสร้างคำสั่ง exec ผ่าน shell
หากชื่อผู้ใช้มี $[ และ \n จะทำให้ shell รันคำสั่งถัดไปโดยไม่ตั้งใจ
ตัวอย่างการโจมตีคือการฝังชื่อผู้ใช้ใน Git submodule แล้ว clone แบบ recursive
Shell ที่ได้รับผลกระทบคือ Bash, csh และ fish — Zsh ไม่ได้รับผลกระทบ
OpenSSH 10.1 แก้ไขโดยใช้ iscntrl() ตรวจสอบชื่อผู้ใช้
แนะนำให้ใช้ single quote ครอบ %r ใน ProxyCommand เพื่อป้องกัน
ควรปิดการใช้งาน SSH-based submodules ใน Git โดยค่าเริ่มต้น
ช่องโหว่นี้เป็นการต่อยอดจาก CVE-2023-51385 ที่เคยเกิดขึ้นก่อนหน้านี้

ข้อมูลเสริมจากภายนอก
Git submodules มักใช้ SSH ในการเชื่อมต่อ ทำให้เป็นช่องทางโจมตีที่นิยม
Teleport และเครื่องมือ cloud gateway อื่น ๆ มักสร้าง SSH config โดยอัตโนมัติ
Shell เช่น Bash จะไม่หยุดทำงานเมื่อเจอ syntax error แต่จะรันบรรทัดถัดไป
การใช้ %r โดยไม่ครอบด้วย single quote เปิดช่องให้ shell ตีความอักขระพิเศษ
การโจมตีแบบนี้สามารถใช้เพื่อรันสคริปต์อันตราย เช่น source poc.sh ก่อนเชื่อมต่อ

https://securityonline.info/openssh-flaw-cve-2025-61984-allows-remote-code-execution-via-usernames/

“Raspberry Pi OS รีเบสสู่ Debian 13 ‘Trixie’ — ปรับโฉมใหม่หมด เพิ่มความยืดหยุ่น พร้อมฟีเจอร์จัดการระบบแบบรวมศูนย์”

Raspberry Pi OS ซึ่งเป็นระบบปฏิบัติการยอดนิยมสำหรับบอร์ด Raspberry Pi ได้รับการอัปเดตครั้งใหญ่ในเดือนตุลาคม 2025 โดยรีเบสไปใช้ Debian 13 “Trixie” เป็นฐานหลัก พร้อมยังคงใช้ Linux Kernel 6.12 LTS เพื่อความเสถียรในระยะยาว การเปลี่ยนแปลงครั้งนี้ไม่เพียงแค่ปรับปรุงด้านเทคนิค แต่ยังมาพร้อมกับการออกแบบใหม่ที่ทันสมัยและฟีเจอร์จัดการระบบที่รวมศูนย์มากขึ้น

หนึ่งในจุดเด่นของเวอร์ชันใหม่นี้คือการปรับโครงสร้างการติดตั้งแพ็กเกจให้เป็นแบบ modular ซึ่งช่วยให้ผู้ใช้สามารถปรับแต่งภาพ ISO ได้ง่ายขึ้น เช่น การแปลงจากเวอร์ชัน Lite ไปเป็น Desktop หรือกลับกัน ซึ่งไม่เคยรองรับอย่างเป็นทางการมาก่อน

ด้านการออกแบบ UI มีการเพิ่มธีม GTK ใหม่ 2 แบบ ได้แก่ PiXtrix (โหมดสว่าง) และ PiXonyx (โหมดมืด) พร้อมไอคอนใหม่และฟอนต์ระบบ “Nunito Sans Light” ที่ให้ความรู้สึกทันสมัยมากขึ้น รวมถึงภาพพื้นหลังใหม่ที่เข้ากับธีมโดยรวม

ระบบ taskbar ได้รับการปรับปรุงด้วย System Monitor plugin สำหรับแจ้งเตือนพลังงานและสถานะอื่น ๆ และมีการรวม Clock plugin ให้ใช้งานร่วมกันระหว่าง wf-panel-pi และ lxpanel-pi ซึ่งเป็นเวอร์ชัน fork ของ LXDE Panel ที่ตัดปลั๊กอินที่ไม่รองรับออกไป

ที่สำคัญคือการเปิดตัว Control Centre แบบใหม่ที่รวมการตั้งค่าทั้งหมดไว้ในที่เดียว แทนที่แอปแยกย่อยเดิม เช่น Raspberry Pi Configuration, Appearance Settings, Mouse and Keyboard Settings ฯลฯ ทำให้การจัดการระบบสะดวกขึ้นมาก

ยังมีการเพิ่มเครื่องมือ command-line ใหม่ ได้แก่ rpi-keyboard-config และ rpi-keyboard-fw-update สำหรับปรับแต่งและอัปเดตคีย์บอร์ดโดยเฉพาะ ส่วนแอป Bookshelf ก็ได้รับการปรับปรุงให้แสดงเนื้อหาพิเศษสำหรับผู้สนับสนุน พร้อมระบบปลดล็อกผ่านการ “Contribute”

ข้อมูลสำคัญจากข่าว
Raspberry Pi OS รีเบสไปใช้ Debian 13 “Trixie” พร้อม Linux Kernel 6.12 LTS
ปรับโครงสร้างแพ็กเกจให้เป็นแบบ modular เพื่อความยืดหยุ่นในการติดตั้ง
เพิ่มธีม GTK ใหม่ 2 แบบ: PiXtrix และ PiXonyx พร้อมไอคอนและฟอนต์ใหม่
Taskbar มี System Monitor plugin และ Clock plugin แบบรวมศูนย์
LXDE Panel ถูก fork เป็น lxpanel-pi และลบปลั๊กอินที่ไม่รองรับ
เปิดตัว Control Centre ใหม่ที่รวมการตั้งค่าทั้งหมดไว้ในแอปเดียว
เพิ่มเครื่องมือ command-line: rpi-keyboard-config และ rpi-keyboard-fw-update
แอป Bookshelf แสดงเนื้อหาพิเศษพร้อมระบบปลดล็อกผ่านการสนับสนุน
รองรับ Raspberry Pi ทุกรุ่น ตั้งแต่ 1A+ ถึง CM4 และ Zero 2 W
ผู้ใช้สามารถอัปเดตผ่านคำสั่ง sudo apt update && sudo apt full-upgrade

ข้อมูลเสริมจากภายนอก
Debian 13 “Trixie” มาพร้อมการปรับปรุงด้านความปลอดภัยและการรองรับฮาร์ดแวร์ใหม่
Modular package layout ช่วยให้การสร้าง image แบบ custom ง่ายขึ้นมาก
ฟอนต์ Nunito Sans Light เป็นฟอนต์แบบ open-source ที่เน้นความอ่านง่าย
Control Centre แบบรวมศูนย์เป็นแนวทางที่นิยมในระบบ desktop สมัยใหม่ เช่น GNOME และ KDE
การ fork lxpanel ช่วยให้ทีม Raspberry Pi สามารถควบคุมการพัฒนาได้เต็มที่

https://9to5linux.com/raspberry-pi-os-is-now-based-on-debian-13-trixie-with-fresh-new-look

“CVE-2025-38352: ช่องโหว่ TOCTOU ใน Linux/Android Kernel — แค่เสี้ยววินาที ก็อาจเปิดทางสู่สิทธิ Root”

นักวิจัยด้านความปลอดภัยชื่อ StreyPaws ได้เปิดเผยรายละเอียดเชิงลึกของช่องโหว่ CVE-2025-38352 ซึ่งเป็นช่องโหว่แบบ TOCTOU (Time-of-Check to Time-of-Use) ที่เกิดขึ้นในระบบ POSIX CPU Timer ของ Linux และ Android kernel โดยช่องโหว่นี้ถูกระบุใน Android Security Bulletin เดือนกันยายน 2025 และมีแนวโน้มว่าจะถูกใช้โจมตีแบบเจาะจงในบางกรณีแล้ว

ช่องโหว่นี้เกิดจากการจัดการ synchronization ที่ผิดพลาดในไฟล์ posix-cpu-timers.c โดยเฉพาะเมื่อมีสองเธรดทำงานพร้อมกัน — เธรดหนึ่งกำลังจัดการกับ timer ที่หมดเวลา ส่วนอีกเธรดพยายามลบ timer เดียวกัน ทำให้เกิด race condition ที่อาจนำไปสู่การอ้างอิงหน่วยความจำที่ถูกปล่อยไปแล้ว (use-after-free) ซึ่งอาจทำให้ระบบ crash หรือแม้แต่ privilege escalation ได้

POSIX CPU Timer ใช้ติดตามเวลาการประมวลผลของ process ไม่ใช่เวลาจริง ทำให้มีความสำคัญในการวิเคราะห์ performance และจัดการทรัพยากร โดยระบบรองรับ clock หลายประเภท เช่น CPUCLOCK_PROF, CPUCLOCK_VIRT และ CPUCLOCK_SCHED เพื่อใช้ในสถานการณ์ต่าง ๆ

นักวิจัยได้สร้างสภาพแวดล้อมจำลอง kernel บน Android และพัฒนา PoC ที่สามารถทำให้ระบบ crash ได้แม้จะเปิดใช้ CONFIG_POSIX_CPU_TIMERS_TASK_WORK ซึ่งเป็นการตั้งค่าที่ควรช่วยลดความเสี่ยง แสดงให้เห็นว่าช่องโหว่นี้มีความซับซ้อนและอันตรายแม้ในระบบที่มีการป้องกันเบื้องต้น

แพตช์ที่ออกมาเพื่อแก้ไขช่องโหว่นี้มีการเพิ่มเงื่อนไขตรวจสอบสถานะการ exit ของ task ก่อนดำเนินการลบ timer ซึ่งช่วยป้องกันการเกิด race condition ได้อย่างมีประสิทธิภาพ

ข้อมูลสำคัญจากข่าว
CVE-2025-38352 เป็นช่องโหว่ TOCTOU ใน POSIX CPU Timer subsystem ของ Linux/Android kernel
เกิดจาก race condition ระหว่างการจัดการ timer ที่หมดเวลาและการลบ timer พร้อมกัน
อาจนำไปสู่ use-after-free, memory corruption และ privilege escalation
POSIX CPU Timer ใช้ติดตามเวลาประมวลผลของ process ไม่ใช่เวลาจริง
รองรับ clock หลายประเภท เช่น CPUCLOCK_PROF, CPUCLOCK_VIRT, CPUCLOCK_SCHED
นักวิจัยสร้าง PoC ที่ทำให้ระบบ crash ได้แม้เปิดใช้ CONFIG_POSIX_CPU_TIMERS_TASK_WORK
แพตช์แก้ไขโดยเพิ่มการตรวจสอบ exit_state เพื่อป้องกันการอ้างอิงหน่วยความจำที่ถูกปล่อย
ช่องโหว่นี้ถูกระบุใน Android Security Bulletin เดือนกันยายน 2025

ข้อมูลเสริมจากภายนอก
TOCTOU เป็นช่องโหว่ที่เกิดจากการตรวจสอบเงื่อนไขก่อนใช้งาน แต่เงื่อนไขเปลี่ยนไปในระหว่างนั้น
Use-after-free เป็นช่องโหว่ที่อันตรายเพราะสามารถนำไปสู่การควบคุมระบบได้
Race condition มักเกิดในระบบที่มีการทำงานแบบ multi-threaded หรือ interrupt context
การตรวจสอบ exit_state เป็นเทคนิคที่ใช้กันทั่วไปในการป้องกันการอ้างอิง task ที่กำลังถูกลบ
ช่องโหว่ระดับ kernel มีผลกระทบสูงต่อความมั่นคงของระบบ เพราะสามารถควบคุมทุกระดับได้

https://securityonline.info/researcher-details-zero-day-linux-android-kernel-flaw-cve-2025-38352/

“Termix Docker เจอช่องโหว่ร้ายแรง CVE-2025-59951 — ดึงข้อมูล SSH ได้ทันทีโดยไม่ต้องล็อกอิน”

Termix ซึ่งเป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ self-hosted ที่ได้รับความนิยมในกลุ่ม DevOps และผู้ดูแลระบบ ได้เปิดเผยช่องโหว่ร้ายแรงใน Docker image อย่างเป็นทางการของตนเอง โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-59951 และได้รับคะแนนความรุนแรง CVSS v4 สูงถึง 9.2 ซึ่งอยู่ในระดับ “วิกฤต”

ช่องโหว่นี้เกิดจากการที่ Termix ใช้ reverse proxy ผ่าน Nginx แล้ว backend ดึง IP address ของ proxy แทนที่จะเป็น IP ของผู้ใช้จริงผ่านคำสั่ง req.ip ทำให้ระบบเข้าใจผิดว่าทุกคำขอเป็น “localhost” และเปิดสิทธิ์ให้เข้าถึง endpoint ที่ควรถูกจำกัดไว้

ผลคือ endpoint /ssh/db/host/internal ซึ่งเก็บข้อมูล SSH host เช่น IP, username และ password สามารถถูกเข้าถึงได้โดยไม่ต้องล็อกอินหรือยืนยันตัวตนใด ๆ ทั้งสิ้น นักวิจัยด้านความปลอดภัยสามารถทำ PoC ได้ง่าย ๆ ด้วยคำสั่ง HTTP GET ธรรมดา และได้รับข้อมูล SSH กลับมาในรูปแบบ JSON ทันที

ช่องโหว่นี้มีผลกับทุกเวอร์ชันตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag โดยเวอร์ชันที่ได้รับการแก้ไขคือ release-1.7.0-tag ซึ่งแนะนำให้ผู้ใช้รีบอัปเดตทันที พร้อมปรับ backend ให้ใช้ X-Real-IP แทน req.ip เพื่อป้องกันการเข้าใจผิดเรื่อง IP

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-59951 เกิดจากการใช้ req.ip ใน backend ทำให้เข้าใจว่า request มาจาก localhost
ส่งผลให้ endpoint /ssh/db/host/internal ถูกเปิดให้เข้าถึงโดยไม่ต้องล็อกอิน
ข้อมูลที่รั่วไหลได้แก่ IP, username และ password ของ SSH hosts
ช่องโหว่นี้มีผลกับ Docker image ตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag
เวอร์ชันที่แก้ไขแล้วคือ release-1.7.0-tag
PoC แสดงให้เห็นว่าการโจมตีสามารถทำได้ง่ายและเสถียร
ระบบที่ใช้ reverse proxy ผ่าน Nginx มีความเสี่ยงสูง
แนะนำให้เปลี่ยนการตรวจสอบ IP เป็น X-Real-IP แทน req.ip

ข้อมูลเสริมจากภายนอก
Termix เป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ web-based ที่รวม SSH, tunneling และ file management
ช่องโหว่ประเภท Use-After-Free และ IP spoofing เป็นปัญหาที่พบได้บ่อยในระบบที่ใช้ proxy
การใช้ reverse proxy โดยไม่ตรวจสอบ IP อย่างถูกต้องอาจเปิดช่องให้เกิดการโจมตีแบบ privilege escalation
การใช้ Docker image จากแหล่งทางการโดยไม่ตรวจสอบ config อาจนำไปสู่การรั่วไหลข้อมูล
การใช้ asset mapping tools สามารถช่วยค้นหา instance ที่เปิด endpoint นี้อยู่

https://securityonline.info/critical-flaw-in-termix-docker-image-cve-2025-59951-leaks-ssh-credentials-without-authentication/

Highlight Words In Action : September 2025

acrimony noun: sharpness, harshness, or bitterness of nature, speech, disposition, etc.

From the headlines: European trade ministers gathered on July 14 to discuss the new U.S. tariffs, aiming to ease the acrimony between the EU and the Trump administration. While they planned potential countermeasures against the 30 percent tariffs, which they deemed “unacceptable,” they were united in favor of pursuing a negotiated agreement with the U.S. to maintain stable trade ties.

adamant
adjective: utterly unyielding in attitude or opinion in spite of all appeals, urgings, etc.

From the headlines: Mars, the maker of M&M’s, Skittles, and other popular candies, remains adamant that it will only stop using synthetic dyes in its candy if legally required. While other food companies have announced plans to phase out artificial colors in items like Lucky Charms, Jell-O, and Kool-Aid, some candy manufacturers are holding firm. They argue that natural alternatives cost more and don’t deliver the same vibrant colors.

aerial
adjective: existing, living, growing, or operating in the air

From the headlines: On June 29, Russia launched its largest aerial assault of the war in Ukraine, firing more missiles than in any previous attack since the beginning of the war in 2022. The strikes hit multiple Ukrainian cities, injuring at least a dozen people and damaging key infrastructure.

autonomous
adjective: existing as an independent entity

From the headlines: Robots competed in a fully autonomous soccer tournament in Beijing, with four teams of three humanoid robots each operating solely under AI control. Although the idea was innovative, the robots had trouble with basic actions like kicking and staying balanced. Tsinghua University’s THU Robotics team clinched the championship by scoring five goals in the final round.

bioluminescent
adjective: pertaining to the production of light by living organisms

From the headlines: A new research project will try to interpret the meaning of fireflies’ blinking. Scientists in Colorado enlisted the help of citizen observers to record videos of the bioluminescent insects at dusk. Researchers will eventually make a 3D map of where the glowing lights flash over time. While they know firefly blinks follow a deliberate pattern and are used to attract a mate, experts believe there is more to learn.

bodega
noun: a small, independent or family-owned grocery store, usually located in a densely populated urban environment

From the headlines: A recent crime spree in New York City has targeted bodega ATMs. Thefts of cash machines have increased over the past five years, and New York’s small corner stores have been hit particularly hard. Three people are suspected of stealing almost $600,000 over six months by breaking into independent convenience stores, removing their ATMs, and driving away with them in stolen cars.

contretemps
noun: an inopportune occurrence; an embarrassing mischance

From the headlines: After a contretemps between the Quebec Board of the French Language and Montreal’s transit agency, new rules grudgingly allow the use of the word “go” when cheering sports teams. The Board had objected to a Montreal Canadiens ad campaign that read “Go! Canadiens Go!” Tasked with preserving the province’s French heritage, the Board had been insisting on replacing the signs with “Allez! Canadiens Allez!”

decorum
noun: dignified propriety of behavior, speech, dress, etc.

From the headlines: La Scala has introduced a new dress code requiring attendees to “choose clothing in keeping with the decorum of the theatre.” The renowned Milan opera house is codifying its long-standing policy discouraging attire like flip-flops, shorts, and tank tops. Guests are now expected to dress with elegance, honoring both the opera house’s refined ambiance and its storied cultural legacy.

driftwood
noun: pieces of trees that are floating on a body of water or have been washed ashore

From the headlines: In rural Alaska, residents of some villages and small towns are continuing a long tradition by using driftwood for fuel and as energy-efficient siding for their homes. The pieces of wood, worn smooth by ocean waves or currents in rivers and streams, have been used this way by Indigenous Alaskans for thousands of years. Communities save money and protect the environment by reusing old trees or boards found floating in the water instead of buying lumber and logs.

eavesdrop
verb: to listen secretly to a private conversation

From the headlines: Ecologists have found that long-billed curlews and other grassland nesters routinely eavesdrop on prairie dogs to dodge predators. Sharing a habitat where hawks, eagles, foxes, and other Great Plains animals lurk, the birds capitalize on the rodents’ warning calls. After eavesdropping on these distinctive calls, the curlews and other birds crouch or camouflage themselves until the threat has passed.

emulate
verb: to imitate with effort to equal or surpass

From the headlines: Inspired by Paris’s recent success, cities across the globe are preparing to emulate its efforts to restore polluted urban rivers for public use. After a hundred-year swimming ban, Parisians can now take a dip in the once-contaminated Seine, thanks to more than a billion dollars spent on upgrades like sewer improvements and rainwater storage. Cities such as Berlin, Boston, New York, and London are developing similar plans to clean their waterways and make them safe for swimming once again.

estuary
noun: the part of the mouth or lower course of a river in which the river’s current meets the sea’s tide

From the headlines: Florida Governor Ron DeSantis signed a bill that will ban oil drilling on the Apalachicola River. The river’s estuary is home to many endangered plants and animals, including the world’s largest stand of tupelo trees. The inlet is also the most important site in the state’s oyster industry. Environmentalists and fishermen supported the bill and pushed DeSantis to sign it.

Fun fact: A Latin word meaning “boiling of the sea” is the root of estuary.

gentrification
noun: the buying and renovation of property in urban neighborhoods in a way that often displaces low-income families and small businesses

From the headlines: Protesters in Mexico City say they’re angry about gentrification caused by large numbers of foreigners moving there since 2020. Locals say they have seen formerly affordable housing prices skyrocket as the numbers of short-term rentals and expats increase. Airbnb listings in the city have exploded to over 20,000, and Americans have arrived in particularly large numbers to buy and renovate houses. In the process, they say these factors have driven up costs for everyone, including local residents.

hedonism
noun: the doctrine that pleasure or happiness is the highest good

From the headlines: Researchers say there are six traits that make someone seem “cool” to others, including extroversion, power, and embracing hedonism. An American Psychological Association study surveyed 6,000 people in 12 countries and found a sharp division between people seen as “good” versus “cool.” Being hedonistic, for example, didn’t make someone seem “good,” but focusing on one’s own happiness and pleasure was strongly associated with appearing “cool.”

kayak
verb: to travel by a traditional Inuit or Yupik canoe with a skin cover on a light framework, or by a small boat resembling this

From the headlines: Several dozen Native American teens who spent a month kayaking the length of the Klamath River reached their destination. The group paddled their long, narrow boats about 300 miles, from Oregon to California, to celebrate the removal of four dams. The waterway holds a deep significance to Native American tribes, and many of the teens learned to kayak specifically to participate in the long paddle.

larceny
noun: the wrongful taking of someone’s property or goods

From the headlines: Atlanta police have identified a suspect in the theft of hard drives holding unreleased Beyoncé songs. Setlists and plans for concert footage were also stolen when the alleged thief broke into a vehicle rented by the singer’s team. The larceny occurred during a stop on her Cowboy Carter tour.

linchpin
noun: something that holds the various elements of a complicated structure together

From the headlines: The Department of Defense will stop supplying meteorologists with satellite data, which experts describe as a linchpin of storm modeling. Forecasts for hurricanes rely heavily on this military satellite feed to track storm paths and determine when people should evacuate.

matcha
noun: finely ground tea leaf powder used to make tea or as a flavoring, or the tea made from it

From the headlines: The worldwide demand for matcha is causing severe shortages and higher prices. The bright green, grassy-flavored, powdered tea has a long history in Japan, but its popularity in other countries has exploded in recent years. Drinks and baked goods made with matcha have become wildly popular, causing Japanese tea growers to struggle to keep up with the demand.

meteorite
noun: a mass of stone or metal that has reached the earth from outer space

From the headlines: On July 16, a bidder paid $4.3 million to own a chunk of Mars. The rare Martian meteorite, which weighs about 54 pounds, is the largest meteor fragment ever found on Earth that’s known to come from the red planet. Out of approximately 77,000 confirmed meteorites, only 400 were originally part of Mars. This one, named NWA 16788, was found in the Sahara Desert after its 140-million-mile journey through space.

monastery
noun: a residence occupied by a community of persons, especially monks, living in seclusion under religious vows

From the headlines: Tens of thousands of books are being removed from a medieval Hungarian monastery to save them from a beetle infestation. The Pannonhalma Archabbey contains Hungary’s oldest library and some of the country’s most ancient and valuable books and written records. The monastery was founded 1,000 years ago by Benedictines, and about fifty monks live there today, practicing religious contemplation and solitude.

nuptials
noun: a marriage ceremony, or a social event accompanying one

From the headlines: Protesters took to the streets in Venice as Amazon founder Jeff Bezos and Lauren Sanchez held their nuptials on a Venetian island, complete with 200 guests and three days of extravagant celebrations. Locals expressed outrage, saying the event placed additional strain on a city already struggling with overtourism and environmental fragility.

offering
noun: something presented to a deity as a symbol of devotion

From the headlines: Archaeologists discovered about 2,000 pottery offerings on the Greek island of Kythnos. Historians said the clay figures, which represent children, women, and animals, had been left by devoted worshippers over the centuries. Two ancient temples once stood on the site, as well as a pit where the objects given as gifts to the gods were eventually thrown away to make room for new offerings.

parody
noun: a humorous or satirical imitation of a serious piece of writing or art

From the headlines: Weird Al Yankovic, famed for his clever musical parodies, performed to a sold-out crowd at Madison Square Garden in New York, marking his first show at the iconic 20,000-seat venue. Over his forty-year career, Yankovic has become the most recognizable figure in the parody genre, with hits such as “Like a Surgeon,” a spoof of Madonna’s “Like a Virgin,” and “I Love Rocky Road,” a playful take on “I Love Rock ‘n Roll.”

perennial
adjective: arising repeatedly or always existing

From the headlines: Joey Chestnut, the perennial champion of the Nathan’s Famous Hot Dog Eating Contest, reclaimed his crown this year after missing last year’s competition. He was sidelined in 2024 due to a sponsorship deal with a vegan meat brand, but prior to that, Chestnut had claimed victory in 16 of the past 17 contests. He still holds the world record for devouring 76 hot dogs and buns in just 10 minutes in 2021.

philanthropist
noun: someone who makes charitable donations

From the headlines: Warren Buffett said he would donate $6 billion to five charitable foundations. The businessman and philanthropist, whose net worth is approximately $145 billion, has previously given more than $50 billion to the aforementioned foundations. While Buffet’s children will decide how to give away the rest of his fortune after his death, he said that more than 99 percent of it will have to be used philanthropically.

plunder
verb: to take wrongfully, as by pillage, robbery, or fraud

From the headlines: Experts assumed that a Stradivarius violin plundered after World War II had been lost or destroyed; now it appears to have resurfaced. The 316-year-old instrument was stolen from a Berlin bank safe during the chaos at the end of the war, and the family who owned it searched for decades before giving up. An image of the looted violin, which is valued at millions of dollars, was discovered among photos of Stradivarius instruments from a 2018 Tokyo exhibition.

risotto
noun: a dish of rice cooked with broth and flavored with grated cheese and other ingredients

From the headlines: The short-grain Italian rice that’s used to make risotto is under threat from an unusual culprit: flamingos. Flocks of the birds are settling into northern Italian rice paddies instead of their usual nesting grounds. By stirring the shallow water and rooting for mollusks, the flamingos are destroying many valuable rice crops.

skittish
adjective: easily frightened or extremely cautious

From the headlines: Economists report that despite a low unemployment rate, employers are increasingly skittish about hiring, leaving many recent college graduates struggling to find jobs. Numerous tech companies, consulting firms, and federal agencies are cutting back or freezing hiring, while other industries are hesitant to increase payroll expenses. Furthermore, fewer workers are quitting, limiting job openings even more.

synthetic
adjective: pertaining to compounds formed through a chemical process by human agency, as opposed to those of natural origin

From the headlines: The J.M. Smucker Company has announced it will phase out synthetic dyes from its jams and other offerings. While many of its products are already made without artificial colors, some, including sugar-free jams and Hostess snacks like Twinkies and Snoballs, still rely on them. The company intends to use naturally sourced dyes by 2027.

tandem
adverb: one following or behind the other

From the headlines: Researchers were surprised by video evidence of animals that are normally at odds traveling in tandem. A night-vision camera recorded an ocelot traveling peacefully behind an opossum — a surprise, since ocelots usually prey on opossums. Later footage showed the opossum trailing the ocelot as it prowled. Other researchers have since reported at least three additional examples of such behavior.

© 2025, Aakkhra, All rights reserved.

“OpenSSL 3.6 เปิดตัวอย่างเป็นทางการ — เสริมความปลอดภัยยุคหลังควอนตัม พร้อมฟีเจอร์ใหม่ระดับองค์กร”

OpenSSL 3.6 ได้รับการเปิดตัวเมื่อวันที่ 1 ตุลาคม 2025 โดยถือเป็นการอัปเดตครั้งใหญ่ของไลบรารีเข้ารหัสยอดนิยมที่ใช้ในเว็บไซต์ แอปพลิเคชัน และระบบเครือข่ายทั่วโลก เวอร์ชันนี้มาพร้อมฟีเจอร์ใหม่ที่ตอบโจทย์ทั้งความปลอดภัยระดับสูงและการเตรียมพร้อมสำหรับยุคหลังควอนตัม (post-quantum cryptography)

หนึ่งในไฮไลต์สำคัญคือการรองรับการตรวจสอบลายเซ็น LMS (Leighton-Micali Signature) ตามมาตรฐาน NIST SP 800-208 ซึ่งเป็นลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุคที่คอมพิวเตอร์ควอนตัมอาจทำลายระบบเข้ารหัสแบบเดิมได้ โดย LMS รองรับทั้งในโหมด FIPS และโหมดทั่วไป

OpenSSL 3.6 ยังเพิ่มการรองรับคีย์แบบ opaque symmetric key objects ผ่านฟังก์ชันใหม่ เช่น EVP_KDF_CTX_set_SKEY() และ EVP_PKEY_derive_SKEY() ซึ่งช่วยให้การจัดการคีย์ในระบบองค์กรมีความปลอดภัยมากขึ้น

นอกจากนี้ยังมีฟีเจอร์ใหม่อีกมากมาย เช่น:
เครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
รองรับการคอมไพล์ด้วย C99 (ไม่รองรับ ANSI-C อีกต่อไป)
เพิ่มการตรวจสอบ PCT (Power-On Self Test) สำหรับการนำเข้าคีย์ในโหมด FIPS
รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตามมาตรฐาน RFC 9629
เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
เพิ่มการปรับแต่งหน่วยความจำปลอดภัยด้วย CRYPTO_MEM_SEC
ปรับปรุงประสิทธิภาพด้วย Intel AVX-512 และ VAES สำหรับ AES-CFB128
รองรับ AES-CBC+HMAC-SHA แบบ interleaved บน AArch64
เพิ่ม SHA-2 assembly สำหรับสถาปัตยกรรม LoongArch
เพิ่ม API ใหม่ CRYPTO_THREAD_[get|set]_local ลดการพึ่งพาตัวแปร thread-local ของระบบปฏิบัติการ

OpenSSL 3.6 ยังลบการรองรับแพลตฟอร์ม VxWorks และยกเลิกการใช้งานฟังก์ชัน EVP_PKEY_ASN1_METHOD ที่ล้าสมัย พร้อมเพิ่มการตรวจสอบขนาด buffer ในการเข้ารหัส RSA เพื่อป้องกันการเขียนข้อมูลเกินขอบเขต

ข้อมูลสำคัญจากข่าว
OpenSSL 3.6 เปิดตัวเมื่อ 1 ตุลาคม 2025 เป็นการอัปเดตใหญ่ของไลบรารีเข้ารหัส
รองรับ LMS signature verification ตามมาตรฐาน SP 800-208 ทั้งใน FIPS และโหมดทั่วไป
เพิ่มการรองรับ EVP_SKEY สำหรับการจัดการคีย์แบบ opaque
เปิดตัวเครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
รองรับการคอมไพล์ด้วย C99 ไม่รองรับ ANSI-C อีกต่อไป
เพิ่ม PCT สำหรับการนำเข้าคีย์ใน RSA, EC, ECX และ SLH-DSA
รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตาม RFC 9629
เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
เพิ่ม CRYPTO_MEM_SEC สำหรับจัดการหน่วยความจำปลอดภัย
ปรับปรุงประสิทธิภาพด้วย AVX-512, VAES และ SHA-2 assembly
รองรับ AES-CBC+HMAC-SHA บน AArch64
เพิ่ม API CRYPTO_THREAD_[get|set]_local ลดการพึ่งพา OS thread-local
ลบการรองรับ VxWorks และยกเลิกฟังก์ชัน EVP_PKEY_ASN1_METHOD

ข้อมูลเสริมจากภายนอก
LMS เป็นหนึ่งในลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุค post-quantum
ML-KEM เป็นอัลกอริธึมเข้ารหัสแบบ KEM ที่ใช้ในมาตรฐาน CMS รุ่นใหม่
FIPS 140-3 เป็นมาตรฐานความปลอดภัยที่เข้มงวดสำหรับระบบที่ใช้ในภาครัฐสหรัฐฯ
การใช้ deterministic ECDSA ช่วยลดความเสี่ยงจากการใช้ nonce ซ้ำ
OCSP multi-stapling ช่วยให้เซิร์ฟเวอร์ส่งข้อมูลการตรวจสอบใบรับรองหลายใบพร้อมกัน

https://9to5linux.com/openssl-3-6-officially-released-with-lms-signature-verification-support-more

“Django ออกแพตช์ด่วน! อุดช่องโหว่ SQL Injection ร้ายแรงใน MySQL/MariaDB พร้อมเตือนภัย Directory Traversal”

ทีมพัฒนา Django ได้ออกอัปเดตความปลอดภัยครั้งสำคัญในวันที่ 1 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่สองรายการที่ส่งผลกระทบต่อระบบฐานข้อมูลและการตั้งค่าโปรเจกต์ โดยเฉพาะช่องโหว่ CVE-2025-59681 ซึ่งถูกจัดอยู่ในระดับ “ร้ายแรง” เนื่องจากเปิดทางให้ผู้โจมตีสามารถฝังคำสั่ง SQL ผ่านฟังก์ชันยอดนิยมของ Django ORM ได้แก่ annotate(), alias(), aggregate() และ extra() เมื่อใช้งานร่วมกับฐานข้อมูล MySQL หรือ MariaDB

ช่องโหว่นี้เกิดจากการใช้ dictionary expansion (**kwargs) ที่ไม่ผ่านการตรวจสอบอย่างเหมาะสม ทำให้ attacker สามารถส่ง key ที่มีคำสั่ง SQL แฝงเข้าไปเป็น column alias ได้โดยตรง เช่น malicious_alias; DROP TABLE users; -- ซึ่งจะถูกแปลเป็นคำสั่ง SQL และรันทันทีหากระบบไม่มีการป้องกัน

อีกหนึ่งช่องโหว่ CVE-2025-59682 แม้จะมีความรุนแรงต่ำกว่า แต่ก็อันตรายไม่น้อย โดยเกิดจากฟังก์ชัน django.utils.archive.extract() ที่ใช้ในการสร้างโปรเจกต์หรือแอปผ่าน template ซึ่งสามารถถูกใช้เพื่อโจมตีแบบ directory traversal ได้ หากไฟล์ใน archive มี path ที่คล้ายกับโฟลเดอร์เป้าหมาย เช่น ../../config.py อาจทำให้ไฟล์สำคัญถูกเขียนทับได้

Django ได้ออกแพตช์ในเวอร์ชัน 5.2.7, 5.1.13 และ 4.2.25 รวมถึงสาขา main และ 6.0 alpha โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันที และสำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ควรตรวจสอบโค้ดที่ใช้ฟังก์ชันดังกล่าว และหลีกเลี่ยงการใช้ template ที่ไม่ได้รับความไว้วางใจ

ข้อมูลสำคัญจากข่าว
Django ออกแพตช์แก้ไขช่องโหว่ CVE-2025-59681 และ CVE-2025-59682
CVE-2025-59681 เป็นช่องโหว่ SQL Injection ในฟังก์ชัน ORM เช่น annotate(), alias(), aggregate(), extra()
ช่องโหว่นี้เกิดจากการใช้ dictionary expansion (**kwargs) ที่ไม่ผ่านการตรวจสอบ
ส่งผลเฉพาะกับฐานข้อมูล MySQL และ MariaDB ไม่กระทบ PostgreSQL หรือ SQLite
CVE-2025-59682 เป็นช่องโหว่ directory traversal ในฟังก์ชัน extract() ที่ใช้ใน startapp และ startproject
Django ออกแพตช์ในเวอร์ชัน 5.2.7, 5.1.13, 4.2.25 และสาขา main/6.0 alpha
แนะนำให้อัปเดตทันที หรือหลีกเลี่ยงการใช้ template ที่ไม่ปลอดภัย

ข้อมูลเสริมจากภายนอก
Django ORM เป็นหนึ่งในจุดแข็งของ framework ที่ช่วยป้องกัน SQL injection ได้ดี แต่ช่องโหว่นี้หลุดจากการตรวจสอบ alias
การใช้ dictionary ที่มี key จาก user input เป็นความเสี่ยงที่พบได้บ่อยในระบบ dynamic query
Directory traversal เป็นเทคนิคที่ใช้ path เช่น ../ เพื่อเข้าถึงไฟล์นอกโฟลเดอร์เป้าหมาย
ช่องโหว่ลักษณะนี้สามารถใช้ร่วมกับ template ที่ฝังมัลแวร์เพื่อโจมตีในขั้นตอน setup
Django มีระบบแจ้งช่องโหว่ผ่านอีเมล security@djangoproject.com เพื่อให้แก้ไขได้รวดเร็ว

https://securityonline.info/django-security-alert-high-severity-sql-injection-flaw-cve-2025-59681-fixed-in-latest-updates/

“Rhadamanthys v0.9.2 กลับมาอีกครั้ง — มัลแวร์ขโมยข้อมูลที่ฉลาดขึ้น ซ่อนตัวในไฟล์ PNG พร้อมหลบการวิเคราะห์แบบมืออาชีพ”

มัลแวร์ Rhadamanthys Stealer ซึ่งเปิดตัวครั้งแรกในปี 2022 ได้กลับมาอีกครั้งในเวอร์ชันใหม่ v0.9.2 พร้อมความสามารถที่อันตรายและซับซ้อนมากขึ้น โดยเวอร์ชันล่าสุดนี้ถูกใช้ในแคมเปญ ClickFix และมีการปรับปรุงหลายด้านเพื่อให้หลบเลี่ยงการตรวจจับและการวิเคราะห์จากนักวิจัยด้านความปลอดภัยได้ดีขึ้น

หนึ่งในเทคนิคใหม่ที่โดดเด่นคือการซ่อน payload ในไฟล์ภาพ PNG ที่ดู “มีสัญญาณรบกวน” ซึ่งต่างจากเวอร์ชันก่อนที่ใช้ไฟล์ WAV หรือ JPG เป็นตัวบรรจุโค้ด โดยไฟล์ PNG เหล่านี้จะบรรจุโมดูลขั้นถัดไปของมัลแวร์ไว้ภายใน ทำให้การตรวจจับด้วยเครื่องมือทั่วไปยากขึ้น

นอกจากนี้ Rhadamanthys ยังเพิ่มฟีเจอร์ใหม่ เช่น

การตรวจสอบ sandbox ผ่าน wallpaper hash และ hardware ID
การ inject โค้ดเข้าโปรเซสที่กำหนดไว้ล่วงหน้า
การขยาย Lua plugin ให้รองรับการขโมยข้อมูลจากแอปกระเป๋าเงินคริปโต เช่น Ledger Live
การเก็บข้อมูล fingerprint ของเบราว์เซอร์ผ่านโมดูล fingerprint.js เช่น WebGL, ฟอนต์ที่ติดตั้ง, และข้อมูลระบบ

ผู้พัฒนา Rhadamanthys ยังเปิดตัวเว็บไซต์บน Tor ที่มีการรีแบรนด์ใหม่ภายใต้ชื่อ “RHAD Security” และ “Mythical Origin Labs” พร้อมขายผลิตภัณฑ์อื่น ๆ เช่น Elysium Proxy Bot และบริการเข้ารหัสข้อมูล โดยมีแพ็กเกจเริ่มต้นที่ $299 ต่อเดือน และแบบองค์กรที่ปรับแต่งได้ตามต้องการ

นักวิจัยจาก Check Point Research ระบุว่า Rhadamanthys กำลังกลายเป็น “ธุรกิจไซเบอร์เต็มรูปแบบ” มากกว่าการเป็นโปรเจกต์ของแฮกเกอร์ทั่วไป และหากพัฒนาต่อไปในทิศทางนี้ เวอร์ชัน 1.0 อาจกลายเป็นแพลตฟอร์มมัลแวร์ที่เสถียรและทรงพลังที่สุดในกลุ่ม stealer

ข้อมูลสำคัญจากข่าว
Rhadamanthys Stealer v0.9.2 เปิดตัวพร้อมฟีเจอร์ใหม่ที่ซับซ้อนและหลบการวิเคราะห์ได้ดีขึ้น
ใช้ไฟล์ PNG ที่มีสัญญาณรบกวนเป็นตัวบรรจุ payload แทน WAV/JPG
เพิ่มการตรวจสอบ sandbox ผ่าน wallpaper hash, username และ hardware ID
รองรับ targeted process injection เพื่อหลบการป้องกันของระบบ
ขยาย Lua plugin ให้รองรับการขโมยข้อมูลจากแอปคริปโต เช่น Ledger Live
ใช้ fingerprint.js เพื่อเก็บข้อมูลเบราว์เซอร์และระบบ เช่น WebGL และฟอนต์
เปิดตัวเว็บไซต์ Tor ภายใต้ชื่อ RHAD Security และ Mythical Origin Labs
ขายผลิตภัณฑ์มัลแวร์แบบ subscription เริ่มต้นที่ $299 ต่อเดือน

ข้อมูลเสริมจากภายนอก
Rhadamanthys เป็นมัลแวร์แบบ multi-modular ที่สามารถขโมยข้อมูลจาก VPN, 2FA, messenger และ crypto wallets
ใช้เทคนิค anti-analysis เช่นการแสดงกล่องข้อความ “Do you want to run a malware?” หากรันในสภาพแวดล้อมที่ไม่ปลอดภัย
ใช้ executable format แบบ XS ที่ออกแบบมาให้หลบเครื่องมือวิเคราะห์รุ่นเก่า
config blob ถูกปรับใหม่ให้เริ่มต้นด้วย 0xBEEF แทน !RHY และรองรับหลาย C2 address
มีการลงทุนต่อเนื่องในโครงสร้างมัลแวร์เพื่อให้ใช้งานได้ยาวนานและมีเสถียรภาพ

https://securityonline.info/rhadamanthys-stealer-v0-9-2-drops-new-png-payloads-and-anti-analysis-tricks-make-malware-deadlier/

“จีนส่งออกเครื่องบินรบเพิ่มขึ้น — เมื่อ J-10C และ JF-17 กลายเป็นตัวเลือกใหม่ของประเทศกำลังพัฒนา”

ในอดีต จีนเคยเป็นผู้รับเทคโนโลยีทางทหารจากโซเวียต แต่หลังจากการล่มสลายของสหภาพโซเวียต จีนได้พัฒนาอุตสาหกรรมการบินของตนเองอย่างต่อเนื่อง จนกลายเป็นหนึ่งในผู้ผลิตเครื่องบินรบที่มีความสามารถสูงในระดับโลก โดยมีโมเดลเด่นอย่าง Chengdu J-10, JF-17 Thunder, Shenyang J-16, J-35 และ J-20

แม้เครื่องบินรบจีนส่วนใหญ่จะใช้ภายในประเทศ แต่ในช่วงไม่กี่ปีที่ผ่านมา จีนเริ่มส่งออกเครื่องบินรบไปยังหลายประเทศ โดยเฉพาะประเทศกำลังพัฒนาในเอเชียและแอฟริกา เช่น ปากีสถาน บังกลาเทศ เมียนมา ซูดาน แซมเบีย แทนซาเนีย และซิมบับเว

ปากีสถานถือเป็นพันธมิตรหลักของจีนในด้านการทหาร โดยมีการใช้งานเครื่องบินรบจีนหลายรุ่น เช่น F-7 จำนวน 72 ลำ, J-10C จำนวน 20 ลำ และ JF-17 Thunder จำนวน 123 ลำ ซึ่งรุ่นหลังนี้เป็นการพัฒนาร่วมกันระหว่างจีนและปากีสถาน และผลิตในประเทศปากีสถานเอง

บังกลาเทศใช้ Chengdu F-7 จำนวน 36 ลำ ส่วนเมียนมาใช้งาน F-7 และ FTC-2000 สำหรับฝึกบิน ขณะที่ซูดานกำลังอยู่ในขั้นตอนการจัดซื้อ J-10CE ซึ่งเป็นรุ่นส่งออกของ J-10C โดยมีรายงานว่าอาจได้รับเครื่องชุดแรกภายในปีนี้

แม้จีนจะยังไม่เป็นผู้นำด้านการส่งออกเครื่องบินรบเทียบเท่าสหรัฐฯ (ซึ่งมีคำสั่งซื้อกว่า 996 ลำในปี 2024) แต่ก็มีแนวโน้มเติบโต โดยเฉพาะในกลุ่มประเทศที่ต้องการอาวุธราคาถูกและไม่มีเงื่อนไขทางการเมืองแบบที่ผู้ผลิตตะวันตกมักกำหนด

ข้อมูลสำคัญจากข่าว
จีนพัฒนาเครื่องบินรบของตนเอง เช่น J-10, JF-17, J-16, J-35 และ J-20
ปากีสถานเป็นผู้นำเข้าหลักของเครื่องบินรบจีน เช่น F-7, J-10C และ JF-17
JF-17 ผลิตในปากีสถาน โดยร่วมพัฒนากับ Chengdu Aircraft Corporation
บังกลาเทศใช้ F-7 จำนวน 36 ลำ ส่วนเมียนมาใช้ F-7 และ FTC-2000
ซูดานอยู่ระหว่างจัดซื้อ J-10CE และอาจได้รับเครื่องชุดแรกภายในปีนี้
ประเทศในแอฟริกา เช่น แซมเบีย แทนซาเนีย และซิมบับเว ใช้ F-7 และ K-8 สำหรับฝึกบิน
จีนยังไม่เป็นผู้นำด้านการส่งออกเครื่องบินรบ โดยมีคำสั่งซื้อเพียง 57 ลำในปี 2024
สหรัฐฯ ยังคงเป็นผู้นำด้วยคำสั่งซื้อ 996 ลำ ตามด้วยฝรั่งเศสและรัสเซีย

ข้อมูลเสริมจากภายนอก
J-10CE เป็นรุ่นส่งออกของ J-10C ที่มีความสามารถ multirole และใช้ขีปนาวุธ PL-15
J-20 ถูกห้ามส่งออก เช่นเดียวกับ F-22 ของสหรัฐฯ
ประเทศอย่างอียิปต์และ UAE สนใจเครื่องบินรบจีน หลังถูกปฏิเสธการขาย F-35 จากสหรัฐฯ
จีนเสนออาวุธราคาถูกและไม่มีเงื่อนไขทางการเมือง ทำให้เป็นทางเลือกสำหรับประเทศกำลังพัฒนา
การส่งออกอาวุธของจีนช่วยสร้างพันธมิตรและขยายอิทธิพลทางภูมิรัฐศาสตร์

https://www.slashgear.com/1978439/which-countries-use-chinese-fighter-jets/

“ผู้ใช้แอปสนใจแค่ 20% — แต่ละคนเลือกส่วนที่ต่างกัน และนั่นคือโอกาสทองของนักพัฒนา”

Ibrahim Diallo เล่าเรื่องราวส่วนตัวที่เริ่มจากการลบไฟล์ .ini ตอนเด็กจนทำให้คอมพัง และต้องติดตั้ง Windows ใหม่ทุกครั้ง ซึ่งทำให้เขาเรียนรู้ว่า แม้โปรแกรมจะมีฟีเจอร์มากมาย แต่ผู้ใช้แต่ละคนกลับใช้แค่บางส่วนเท่านั้น เช่น เขาเคยใช้ Excel แค่เพื่อสร้างตารางแล้วก็อปไปใส่ Word เพราะไม่รู้วิธีสร้างตารางใน Word โดยตรง

จากประสบการณ์นี้ เขาเสนอแนวคิดว่า “ผู้ใช้ส่วนใหญ่จะใช้แค่ 20% ของฟีเจอร์ในแอปพลิเคชัน” แต่ที่สำคัญคือ “แต่ละคนใช้ 20% ที่ต่างกัน” เช่น คนหนึ่งใช้ Excel เพื่อทำบัญชีส่วนตัว อีกคนใช้เพื่อทำ pivot table และอีกคนใช้แค่เพื่อวางตารางใน Word

เมื่อแอปมีฟีเจอร์มากขึ้น ผู้ใช้บางกลุ่มกลับรู้สึกว่าแอป “บวม” และทำงานช้าลง เพราะฟีเจอร์ที่ไม่เกี่ยวข้องกับตนเองกลายเป็นสิ่งรบกวน workflow เดิม นี่คือจุดที่ผู้ใช้เริ่มมองหาแอปทางเลือกที่ตอบโจทย์เฉพาะของตนได้ดีกว่า

เขายกตัวอย่าง Kagi ซึ่งเป็น search engine แบบเสียเงินที่เกิดขึ้นจากความไม่พอใจของผู้ใช้ Google ที่ต้องการผลลัพธ์แบบตรงคำมากกว่า “คำที่เกี่ยวข้อง” แม้จะเป็นแค่ 1% ของผู้ใช้ แต่ก็ยังเป็นตลาดที่ใหญ่มาก และ Kagi เลือกที่จะเป็น “20% ที่ดีที่สุด” สำหรับกลุ่มนั้น

แนวคิดนี้ยังใช้ได้กับแอปอื่น ๆ เช่น Figma ที่ไม่ต้องแข่งกับ Adobe ทั้งชุด แต่แค่ทำ collaborative design ได้ดีกว่า หรือ Notion ที่ไม่ต้องเป็น word processor หรือ database ที่ดีที่สุด แต่เป็นเครื่องมือลูกผสมที่ตอบโจทย์ทีมงานได้ดี

สุดท้าย เขาเสนอว่า นักพัฒนาไม่ควรพยายามทำแอปที่ “ทำทุกอย่างให้ทุกคน” แต่ควรสร้างระบบที่ให้ผู้ใช้ปรับแต่งได้เอง เช่น VS Code ที่เริ่มจาก text editor ธรรมดา แล้วให้ผู้ใช้ติดตั้ง extension เพื่อสร้างสภาพแวดล้อมที่เหมาะกับตนเอง

ข้อมูลสำคัญจากข่าว
ผู้ใช้ส่วนใหญ่ใช้แค่ 20% ของฟีเจอร์ในแอปพลิเคชัน
แต่ละคนใช้ 20% ที่ต่างกัน เช่น Excel เพื่อบัญชี, pivot table, หรือแค่สร้างตาราง
แอปที่มีฟีเจอร์มากเกินไปอาจทำให้ผู้ใช้รู้สึกว่าแอป “บวม” และช้าลง
Kagi เป็น search engine ที่เกิดจากกลุ่มผู้ใช้ที่ไม่พอใจ Google Search
Kagi เลือกเป็น “20% ที่ดีที่สุด” สำหรับกลุ่ม power user
Figma และ Notion เป็นตัวอย่างของแอปที่เน้นเฉพาะกลุ่ม ไม่ต้องแข่งแบบครอบคลุม
VS Code ให้ผู้ใช้ปรับแต่งผ่าน extension เพื่อสร้างสภาพแวดล้อมเฉพาะตัว
แนวคิดนี้ช่วยให้นักพัฒนาไม่ต้องทำทุกอย่าง แต่ทำให้แต่ละฟีเจอร์ “ดีจริง” สำหรับกลุ่มเป้าหมาย

ข้อมูลเสริมจากภายนอก
หลักการ 80/20 หรือ Pareto Principle ถูกใช้ในหลายวงการ เช่น ธุรกิจ, การตลาด, และ UX
แอปที่เน้น modular design เช่น Obsidian หรือ Slack ก็ใช้แนวคิดนี้ในการพัฒนา
Open-source software เช่น Blender หรือ FFmpeg มักถูกปรับแต่งให้เหมาะกับ workflow เฉพาะ
การให้ผู้ใช้ปรับแต่งเองช่วยลดแรงต้านจากฟีเจอร์ที่ไม่จำเป็น
การสร้าง “core ที่เบา” แล้วให้ผู้ใช้เสริมเอง เป็นแนวทางที่ยั่งยืนและขยายได้ง่าย

https://idiallo.com/blog/users-only-care-about-20-percent

“Claude Sonnet 4.5 เปิดตัวอย่างเป็นทางการ — โมเดล AI ที่เข้าใจโค้ดลึกที่สุด พร้อมความสามารถ reasoning ระดับมนุษย์”

Anthropic ประกาศเปิดตัว Claude Sonnet 4.5 ซึ่งเป็นโมเดล AI ที่ได้รับการยกย่องว่า “ดีที่สุดในโลกด้านการเขียนโค้ดและการใช้คอมพิวเตอร์” โดยไม่ใช่แค่เร็วหรือแม่นยำ แต่ยังสามารถทำงานแบบ agentic ได้อย่างเต็มรูปแบบ เช่น การวางแผนงานหลายขั้นตอน, การจัดการเครื่องมือ, และการแก้ปัญหาที่ซับซ้อนในระดับที่มนุษย์ทำได้ยาก

Claude Sonnet 4.5 ทำคะแนนสูงสุดในหลาย benchmark เช่น SWE-bench Verified (82.0%), OSWorld (61.4%) และ AIME 2025 ซึ่งแสดงถึงความสามารถในการ reasoning, คณิตศาสตร์ และการใช้เครื่องมือจริงในโลกการทำงาน โดยเฉพาะในงานที่ต้องใช้ความคิดต่อเนื่องยาวนานกว่า 30 ชั่วโมง

ในด้านการใช้งานจริง Claude Sonnet 4.5 ถูกนำไปใช้ในหลายองค์กร เช่น Canva, GitHub Copilot, Figma, และ CoCounsel โดยช่วยลดเวลาในการพัฒนา, วิเคราะห์ข้อมูลทางกฎหมาย, และสร้างต้นแบบดีไซน์ได้เร็วขึ้นอย่างมีนัยสำคัญ

นอกจากนี้ยังมีการเปิดตัวฟีเจอร์ใหม่ใน Claude Code เช่น ระบบ checkpoint, VS Code extension, context editor, และ Claude Agent SDK ที่เปิดให้ผู้พัฒนาสร้าง agent ของตัวเองได้ โดยใช้โครงสร้างเดียวกับที่ Claude ใช้ในการจัดการหน่วยความจำและการทำงานแบบ sub-agent

ด้านความปลอดภัย Claude Sonnet 4.5 ได้รับการฝึกด้วยแนวทาง AI Safety Level 3 พร้อมระบบ classifier ที่ตรวจจับคำสั่งอันตราย เช่น CBRN (เคมี ชีวภาพ นิวเคลียร์) และมีการลด false positive ลงถึง 10 เท่าเมื่อเทียบกับรุ่นก่อนหน้า

ข้อมูลสำคัญจากข่าว
Claude Sonnet 4.5 เปิดตัวอย่างเป็นทางการ พร้อมใช้งานผ่าน API และแอปของ Claude
เป็นโมเดลที่ดีที่สุดในโลกด้านการเขียนโค้ด, การใช้คอมพิวเตอร์ และ reasoning
ทำคะแนนสูงสุดใน SWE-bench Verified (82.0%) และ OSWorld (61.4%)
สามารถทำงานต่อเนื่องได้มากกว่า 30 ชั่วโมงในงานที่ซับซ้อน
ถูกนำไปใช้งานจริงในองค์กรใหญ่ เช่น Canva, GitHub, Figma, CoCounsel
Claude Code เพิ่มฟีเจอร์ใหม่ เช่น checkpoint, VS Code extension, context editor
Claude Agent SDK เปิดให้ผู้พัฒนาสร้าง agent แบบเดียวกับ Claude ได้
Claude Sonnet 4.5 ใช้ระบบ AI Safety Level 3 พร้อม classifier ป้องกันคำสั่งอันตราย

ข้อมูลเสริมจากภายนอก
Claude Sonnet 4.5 ใช้แนวคิด Constitutional AI และ extended thinking เพื่อ reasoning ที่แม่นยำ
Claude Agent SDK รองรับการจัดการ sub-agent และการทำงานแบบ parallel tool execution
SWE-bench Verified เป็น benchmark ที่วัดความสามารถในการแก้ปัญหาซอฟต์แวร์จริง
OSWorld เป็น benchmark ที่วัดการใช้คอมพิวเตอร์ในสถานการณ์จริง เช่น การกรอกฟอร์มหรือจัดการไฟล์
Claude Sonnet 4.5 มี context window สูงถึง 200K tokens และรองรับการคิดแบบ interleaved

https://www.anthropic.com/news/claude-sonnet-4-5

“Asus ปล่อย BIOS แก้ปัญหาเครื่องกระตุกใน ROG Laptop — สัญญาอัปเดตเต็มรูปแบบตุลาคมนี้”

หลังจากเสียงบ่นจากผู้ใช้ ROG Laptop ของ Asus ที่พบปัญหาเครื่องกระตุก เสียงแตก และการตอบสนองช้าเป็นระยะ ๆ โดยเฉพาะในรุ่นปี 2023 อย่าง Strix Scar 15 และ Zephyrus M16 ล่าสุด Asus ได้ออกมาชี้แจงว่า “พบสาเหตุของปัญหาแล้ว” และเริ่มปล่อย BIOS เวอร์ชันเบต้าเพื่อแก้ไขให้กับรุ่นที่ได้รับผลกระทบ

ปัญหานี้เกิดจากการทำงานผิดพลาดของระบบ ACPI ใน BIOS ซึ่งส่งผลให้เกิด “interrupt storm” หรือการเรียกใช้งาน CPU อย่างหนักจาก ACPI.sys ทุก ๆ 30–60 วินาที แม้จะอยู่ในสถานะ idle ก็ตาม ส่งผลให้เกิด latency สูงและกระตุกทั่วทั้งระบบ2

Asus ยืนยันว่า BIOS เบต้าที่ปล่อยออกมาจะไม่กระทบต่อการรับประกัน และแนะนำให้ผู้ใช้ตรวจสอบหน้า support ของรุ่นตนเองในสัปดาห์นี้ เพราะไฟล์อัปเดตจะทยอยปล่อยออกมาเรื่อย ๆ ก่อนจะมีเวอร์ชันเต็มในช่วงต้นเดือนตุลาคม

การแก้ไขนี้ถือเป็นการตอบสนองที่รวดเร็ว หลังจากผู้ใช้บน Reddit และ GitHub ได้ทำการวิเคราะห์อย่างละเอียด และพบว่าปัญหานี้เกิดจากการออกแบบ firmware ที่ไม่เหมาะสม ซึ่งส่งผลกระทบต่อหลายรุ่นตั้งแต่ปี 2021 ถึง 2024

ข้อมูลสำคัญจากข่าว
Asus พบสาเหตุของปัญหาเครื่องกระตุกใน ROG Laptop แล้ว
ปัญหาเกิดจาก ACPI interrupt storm และการจัดการพลังงานของ dGPU ที่ผิดพลาด
BIOS เบต้าถูกปล่อยให้กับรุ่น Strix Scar 15 (G533ZW) และ Zephyrus M16 (GU604VI)
Asus ยืนยันว่า BIOS เบต้าจะไม่กระทบต่อการรับประกัน
เวอร์ชันเต็มของ BIOS จะแจกจ่ายในช่วงต้นเดือนตุลาคม
ผู้ใช้ควรตรวจสอบหน้า support ของ Asus เพื่อดาวน์โหลดไฟล์อัปเดต
ปัญหานี้ส่งผลต่อหลายรุ่นตั้งแต่ปี 2021 ถึง 2024
การวิเคราะห์จากผู้ใช้บน GitHub พบว่า DPC latency สูงผิดปกติจาก ACPI.sys
Asus ยอมรับว่ามีรุ่นอื่นที่ได้รับผลกระทบ และจะทยอยปล่อย BIOS ให้ในลำดับถัดไป

ข้อมูลเสริมจากภายนอก
ACPI (Advanced Configuration and Power Interface) เป็นระบบควบคุมพลังงานที่ทำงานร่วมกับ BIOS และ OS
DPC latency สูงอาจส่งผลให้เสียงแตกและระบบตอบสนองช้าลง
Interrupt storm คือการที่ระบบเรียกใช้งาน CPU ซ้ำ ๆ โดยไม่จำเป็น
การแก้ไขผ่าน BIOS เป็นวิธีที่ตรงจุดที่สุดเมื่อปัญหาอยู่ในระดับ firmware
การปล่อย BIOS เบต้าช่วยให้ผู้ใช้ที่ได้รับผลกระทบสามารถทดสอบก่อนเวอร์ชันเต็ม

https://www.tomshardware.com/laptops/asus-ships-beta-bios-to-fix-stuttering-rog-laptops

“Google Gemini Nano Banana — สร้างภาพเหมือนจริงด้วยคำสั่งเดียว พร้อมฟีเจอร์แก้ไขภาพที่แม่นยำที่สุดในโลก AI”

ในยุคที่การสร้างภาพไม่ต้องใช้กล้องหรือโปรแกรมแต่งภาพอีกต่อไป Google ได้เปิดตัวโมเดล AI ใหม่ในชื่อ “Nano Banana” ซึ่งเป็นส่วนหนึ่งของ Gemini 2.5 Flash ที่สามารถสร้างภาพเหมือนจริงจากคำสั่งข้อความได้ทันที และยังแก้ไขภาพที่มีอยู่ได้อย่างแม่นยำโดยไม่ทำลายรายละเอียดเดิม

Nano Banana ใช้เทคโนโลยี Imagen 4 ซึ่งเป็นโมเดล text-to-image ล่าสุดจาก Google DeepMind โดยผสานการทำงานของ LLMs กับ diffusion model เพื่อสร้างภาพที่มีความละเอียดสูงถึง 2048x2048 พิกเซล พร้อมความสามารถในการรักษาโครงสร้างใบหน้า, แสง, มุมกล้อง และองค์ประกอบเดิมของภาพได้อย่างแม่นยำ

ผู้ใช้สามารถเข้าถึง Nano Banana ได้ผ่านแอป Gemini ทั้งบนมือถือและคอมพิวเตอร์ รวมถึง API สำหรับนักพัฒนา โดยสามารถสร้างภาพจาก prompt เดียว หรืออัปโหลดภาพเพื่อแก้ไข เช่น เปลี่ยนทรงผม, เพิ่มคนเข้าไปในภาพ, รวมภาพสองใบให้กลายเป็นภาพเดียว หรือแม้แต่แปลงภาพเป็นสไตล์ของสติ๊กเกอร์, ภาพย้อนยุค หรือภาพ 3D figurine

Google ยังเพิ่มระบบความปลอดภัย เช่น SynthID watermark ที่ฝังในภาพแบบมองไม่เห็น และ Content Credentials (C2PA) เพื่อป้องกันการนำภาพไปใช้ในทางที่ผิด พร้อมเปิดให้ใช้งานฟรีสำหรับผู้มีบัญชี Google โดยมีข้อจำกัดจำนวนคำสั่งต่อวันสำหรับผู้ใช้ทั่วไป

ฟีเจอร์เด่นของ Nano Banana
สร้างภาพเหมือนจริงจากข้อความด้วยโมเดล Imagen 4
รองรับความละเอียดสูงสุด 2048x2048 พิกเซล
รักษาโครงสร้างใบหน้า, แสง, มุมกล้อง และองค์ประกอบเดิมของภาพ
แก้ไขภาพได้แม่นยำ เช่น เปลี่ยนทรงผม, เสื้อผ้า, ฉากหลัง หรือเพิ่มคนเข้าไป
รองรับการรวมภาพหลายใบให้กลายเป็นภาพเดียว
มีฟีเจอร์สร้างภาพสไตล์ 3D figurine, สติ๊กเกอร์, ภาพย้อนยุค ฯลฯ
ใช้งานได้ผ่านแอป Gemini, API, และ Google AI Studio
มีระบบ SynthID watermark และ Content Credentials เพื่อความปลอดภัย

ข้อมูลเสริมจากภายนอก
Nano Banana ได้รับความนิยมสูงสุดในอินเดีย โดยมีผู้ใช้กว่า 23 ล้านคนภายใน 2 สัปดาห์แรก
สามารถใช้งานผ่าน WhatsApp ผ่านบอตของ Perplexity AI ได้แล้ว
Prompt ที่ละเอียด เช่น “Create a photorealistic image of…” ให้ผลลัพธ์แม่นยำมากขึ้น
สามารถใช้เพื่อสร้างภาพโฮโลกราฟิก, ภาพโฆษณา, หรือภาพโปรดักต์แบบหลายมุม
เหมาะสำหรับทั้งผู้ใช้ทั่วไปและนักออกแบบมืออาชีพ

https://www.slashgear.com/1974425/how-to-use-google-gemini-ai-to-create-realistic-photos-guide/

รัสเซียสร้างความหลอนสั่นประสาทให้นาโต้อีกครั้ง!

เครื่องบินยูโรไฟเตอร์ ไทฟูน (Eurofighter Typhoons) ของเยอรมนี 2 ลำ และกริพเพน JAS-39 (JAS-39 Gripens) ของสวีเดน 2 ลำ ของฝ่ายพันธมิตรนาโต้ ถูกส่งขึ้นบินทันที หลังจากตรวจพบเครื่องบินสอดแนม Il-20M “Coot-A” ของรัสเซีย เหนือทะเลบอลติก

จากรายงานระบุว่า เครื่องบินของรัสเซียลำดังกล่าว บินอยู่ในน่านฟ้าสากลโดยไม่มีการแจ้งล่วงหน้า และยังไม่มีการตอบสนองต่อการสื่อสารใดๆอีกด้วยหลังจากที่ฝ่ายนาโต้พยายามติดต่อ ทำให้นาโต้ไม่ทราบถึงวัตถุประสงค์และเป็นเหตุให้นาโต้จำเป็นต้องส่งเครื่องบินขับไล่สองลำบินขึ้นจากฐานทัพอากาศรอสต็อก-ลาเกอของเยอรมนี และอีกสองลำจากสวีเดน

Château Christophe ตอนที่ 6
นิทานเรื่อง “Château Christophe”
ตอนที่ 6 (ตอนจบ)
ฝ่ายที่จู่โจมสถานกงสุลอเมริกันที่ Benghazi คาดเดากันว่าน่าจะเป็นพวกทหารอิสลาม แต่มันไม่น่าเชื่อว่า พวกเขาจะไม่รู้ว่า “ใคร” ที่อยู่ในบริเวณที่พวกเขาจัดการเผาจนเรียบวุธขนาดนั้น ถ้า Chris Stevens เป็นเป้าหมาย มันน่าจะง่ายกว่า ถ้าจะโจมตีขบวนรถเขาหรือชิงตัวเขาขณะออกไปวิ่งตอนเช้า หรือชิงตัวจากที่นัดพบและที่สำคัญ ฑูตอเมริกันที่มีชีวิตย่อมเป็นทรัพย์สินที่มีค่ามากกว่าฑูตที่ตายแล้ว
แต่เพราะ Chris Stevens ถูกฆ่าตาย 56 วันก่อนมีการเลือกตั้งประธานาธิบดี การตายเขาจึงกลายเป็นส่วนประกอบของฉากการเมือง ที่ทุกฝ่ายอยากเอาไปประกอบให้มีคะแนนเพิ่มขึ้น หรือเอาไปลดคะแนนคู่ต่อสู้
รัฐบาล Obama ถูกวิจารณ์อย่างหนัก เมื่ออ้างในตอนแรกอย่างไม่มีน้ำหนักว่าการโจมตีสถานกงสุลเกิดขึ้นเพราะการประท้วงเรื่อง วีดีโอ แต่หลังจากนั้นประมาณเดือนตุลาคม เมื่อ New York Times รายงานว่า ชาวพื้นเมืองบอกว่าพวกที่บุกรุกเข้าไปในสถานกงสุลเป็นพวกอิสลามที่แค้นเรื่อง วีดีโอ มันก็เลยทำให้ข้อแก้ตัวของรัฐบาลพอฟังขึ้นมาเล็กน้อย แต่ก็ยังไม่ทำให้หลายๆ ฝ่ายหายสงสัย
นอกจากนี้ภาพของฑูต Stevens ที่แพร่ทางสื่อต่าง ๆ มีความแตกต่างกัน มีหลายสื่อที่ออกข่าวว่า ฑูต Stevens ถูกทารุณและถูกชำเราทางทวารหนัก โดยมีภาพกึ่งเปลือยของเขาถูกชาวเมืองกำลังแบกอยู่ ในขณะที่สื่อฝั่งตะวันตก แพร่ภาพของฑูต Stevens นอนอยู่บนเตียงในโรงพยาบาลและบอกเพียงว่า Stevens เสียชีวิตเพราะสำลักควัน ไม่ได้ถูกทำร้ายทารุณ เขามีบาดแผลเพียงเล็กน้อยที่หน้าผากเท่านั้น
ข่าวนี้ออกมาใกล้เคียงกับการที่สภาสูง ของอเมริกาได้ตั้งคณะกรรมการสอบสวนสาเหตุการตายของ Stevens และตรวจสอบประเด็นเรื่องการรักษาความปลอดภัยด้วย ผลของการตรวจสอบ ยังไม่สามารถให้ความกระจ่างได้ ข้อมูลที่ออกมาสับสนและขัดแย้งกันเอง (จนถึงทุกวันนี้) ยากแก่การลงความเห็นว่าฑูต Stevens เสียชีวิตจากการสำลักควัน โดยเฉพาะเมื่อคำนึงถึงการรักษาความปลอดภัยของเจ้าหน้าที่ และกำลังเสริมที่อยู่ห่างไปเพียง 1.2 ไมล์ ซึ่งมาถึงช้าอย่าผิดปกติ จนบริเวณกงสุลไหม้ไปเกือบหมดแล้ว
ขณะเดียวกันก็เริ่มมีข่าวแพร่ออกมาว่า CIA มีส่วนเกี่ยวพันกับการเสียชีวิตของฑูต Stevens ข่าวรายงานว่า จุดยืนอย่างเป็นทางการของอเมริกา คือ ไม่มีการส่งอาวุธไปช่วยพวกกบฏในซีเรีย แต่ก็มีหลักฐานโผล่ขึ้นมาเรื่อย ๆ ว่าตัวแทนของอเมริกาโดยเฉพาะ ฑูต Stevens ที่เพิ่งถูกฆาตกรรมไปนั่นแหละ อย่างน้อยมีส่วนรู้เห็นกับการขนย้ายอาวุธจากลิเบียไปให้พวกกบฎ Jihadist ของซีเรีย
เดือนมีนาคม ค.ศ. 2011 นาย Stevens ได้รับมอบหมายให้เป็นตัวแทนอย่างเป็นทางการของอเมริกา เพื่อประสานงานกับ al-Qaeda-linked ซึ่งเป็นกลุ่มต่อต้านรัฐบาลลิเบีย โดยติดต่อโดยตรงกับ Abdelhakim Belhadj ของ Libyan Islamic Fighting Group ซึ่งกลุ่มนี้ต่อมายกเลิกไป หลังจากมีรายงานว่ามีส่วนร่วมในการโจมตีกงสุลอเมริกันและทำให้นาย Stevens เสียชีวิต !
เดือนกันยายน ค.ศ. 2011 หนังสือพิมพ์ Time of London รายงานว่าเรือสัญชาติ Libya ขนสินค้าจำนวนมากเป็นอาวุธไปให้ซีเรีย โดยเทียบท่าที่ตุรกี รายงานข่าวว่าสินค้าหนักถึง 400 ตันนั้น มีจรวดประเภท SA-7 surface-to air anti-craft และ rocket-propelled grenade (ขีปนาวุธ ประเภทขับเคลื่อน) จำนวนมาก อาวุธทั้งหมดน่าจะมาจากส่วนที่ เก็บอยู่ในกองทัพของ Qaddafi ซึ่งมีประมาณ 20,000 ชิ้น สื่อ Reuters รายงานว่าฝ่ายกบฎซีเรีย ใช้อาวุธเหล่านี้ ยิงเครื่องเฮลิคอปเตอร์ และเครื่องบินรบของฝ่ายรัฐบาลซีเรีย
เดือนพฤศจิกายน ค.ศ. 2011 หนังสือพิมพ์ Telegraph รายงานว่า Belhadj ในฐานะหัวหน้า Tripoli Military Council ได้พบกับบรรดาหัวหน้าของ Free Serian Army (FSA) ที่ Istanbul และแถบชายแดนของตุรกี โดยเป็นความพยายามของรัฐบาลใหม่ของลิเบียที่จะให้ความสนับสนุนทางด้านเงินและอาวุธแก่กลุ่มต่อต้านรัฐบาลซีเรีย ซึ่งกำลังเริ่มเกิดขึ้น
นี่หมายความว่า ฑูต Stevens มีบุคคลเดียว คือ Belhadj ที่โยงระหว่างเขากับคน Benghazi ที่ขนอาวุธให้กบฎซีเรีย และถ้ารัฐบาลใหม่ของลิเบีย ส่งอาวุธให้กับกบฎซีเรีย ผ่านทางท่าเรือของตุรกี โดยมี Stevens เป็นตัวกลางให้กับพวกกบฎลิเบีย รัฐบาลตุรกีและรัฐบาลอเมริกันก็น่าจะรู้เห็นเรื่องนี้ด้วย
และอย่าลืมว่า มีหน่วยงานที่ขึ้นกับ CIA ประจำอยู่ที่เมือง Benghazi ซึ่งห่างจากสถานกงสุลแค่ 1.2 ไมล์ หน่วยงานนี้ทำหน้าที่เก็บข้อมูลของการกระจายอาวุธที่ยึดมาจากรัฐบาลลิเบีย และปฏิบัติภาระกิจอะไรอีกบ้าง ยังไม่มีการเปิดเผยออกมา แต่เป็นที่รู้กันว่า การรักษาความปลอดภัยของหน่วยงานนี้ หนาแน่นมั่นคงและมีอาวุธที่ก้าวหน้าว่าที่สถานกงสุลมากนัก
มาถึงจุดนี้มันค่อนข้างชัดเจนว่า อเมริกาต้องมีอะไรซ่อนอยู่ที่ Benghazi มันถึงทำให้รายงาน ต่าง ๆ สับสน และเมื่อถูกสอบถาม คุณนาย Clinton ถึงกับลมจับใบ้รับประทาน
อย่าลืมว่านัดสุดท้ายของฑูต Stevens เมื่อวันที่ 11 กันยายน คือ การพบกับกงสุลตุรกี ชื่อ General Ali Sait Akin ซึ่ง Fox News บอกว่าเพื่อเป็นการเจรจาเกี่ยว กับการส่งมอบ ขีปนาวุธ SA-7 Business Insider รายงานเพิ่มว่า Stevens และลูกน้องเขา ทำหน้าที่เป็น “diplomatic cover” ให้แก่ CIA จากจำนวน 30 คน ที่อพยพมาจาก Benghazi มีเพียง 7 คน เท่านั้นที่ทำงานให้กับกระทรวงต่างประเทศและถ้า Stevens รู้ว่าอาวุธที่ส่งให้กบฎซีเรียมาจากไหน จะเป็นไปได้หรือที่ CIA จะไม่รู้ ไม่เห็นด้วย มันคงจะเป็นเรื่องที่ทำให้วอชิงตันลำบากใจอย่างยิ่ง ในการตอบคำถามที่เกี่ยวข้อง
ไม่ว่าจะมีข่าวออกไปทางใด การตายของนาย Stevens คงจะเป็นปริศนาค้างคาอยู่กันต่อไป แต่จากเรื่องที่สื่อต่างชาติเขียนมานี้ น่าจะทำให้เราเห็นอะไรหลายอย่างว่า อเมริกาแท้จริงเป็นอย่างไร
ในการสร้างสัมพันธ์ระหว่างประเทศ แต่ละประเทศต่างก็ส่งคนของตนไปทั่วโลก เพื่อหาข้อมูลและเพื่อดูแลผลประโยชน์ของประเทศตน และแน่นอนที่สุด เพื่อสร้างมิตร สร้างสัมพันธ์ไมตรีที่ดีต่อกัน การที่อเมริกันเข้าไปในบ้านเมืองอื่นๆ ด้วยวิธีการอย่างที่อเมริกาเข้าไปในลิเบีย หรือส่งของขวัญพิเศษให้กับกบฎซีเรีย หรือที่กำลังทำอยู่ในหลายๆประเทศ และรวมทั้งที่กำลังทำอยู่กับราช อาณาจักรไทยด้วยนั้น การฑูตผ่านรั้วสูง กำแพงเหล็ก โกหก จุ้นจ้าน จาบจ้วง ทวงบุญคุณ และการส่ง “ของขวัญ” แบบพิเศษนี้ ฯลฯ คงจะสร้าง หรือรักษา “มิตร” ได้ยาก
คนเล่านิทาน
7 มิย. 57

เรื่องเล่าจาก Bing ถึง Kerberoasting: เมื่อการคลิกเดียวกลายเป็นจุดเริ่มต้นของภัยไซเบอร์ระดับประเทศ

Senator Ron Wyden ได้ส่งจดหมายถึง FTC เรียกร้องให้สอบสวน Microsoft กรณีการละเลยด้านความปลอดภัยที่นำไปสู่การโจมตี ransomware ครั้งใหญ่ในระบบสุขภาพของสหรัฐฯ โดยเฉพาะกรณี Ascension Health ที่ข้อมูลผู้ป่วยกว่า 5.6 ล้านรายถูกขโมยในปี 2024

การโจมตีเริ่มต้นจากการที่ contractor ของ Ascension ใช้ Bing ค้นหาข้อมูล แล้วคลิกบนลิงก์อันตรายที่นำไปสู่การติดมัลแวร์ในแล็ปท็อปเครื่องเดียว แต่เนื่องจากการตั้งค่าความปลอดภัยเริ่มต้นของ Microsoft Active Directory ยังรองรับ RC4 encryption ซึ่งเป็นเทคโนโลยีเก่าจากยุค 1980 ทำให้แฮกเกอร์สามารถใช้เทคนิค Kerberoasting เพื่อขยายการโจมตีไปทั่วเครือข่ายได้อย่างรวดเร็ว

Wyden วิจารณ์ว่า Microsoft สร้างธุรกิจด้านความปลอดภัยมูลค่ากว่า $20 พันล้าน จากการขายฟีเจอร์เสริมที่ควรเป็นส่วนหนึ่งของระบบหลัก เช่น advanced logging และการป้องกันรหัสผ่านที่แข็งแรง โดยเปรียบเทียบว่า “เหมือนคนจุดไฟแล้วขายบริการดับเพลิงให้เหยื่อของตัวเอง”

แม้ Microsoft จะเคยสัญญาว่าจะออกอัปเดตเพื่อปิดการใช้งาน RC4 ตั้งแต่ตุลาคม 2024 แต่จนถึงกันยายน 2025 ยังไม่มีการปล่อยอัปเดตนั้น และคำแนะนำที่ออกมาก็ถูกฝังไว้ในบล็อกเทคนิคที่ไม่เข้าถึงง่าย ทำให้หลายองค์กรยังไม่รู้ว่าตัวเองเสี่ยงอยู่

เหตุการณ์โจมตี Ascension Health
เริ่มจาก contractor คลิกลิงก์อันตรายจาก Bing
มัลแวร์แพร่กระจายผ่านเครือข่ายโดยใช้ Kerberoasting
ข้อมูลผู้ป่วยกว่า 5.6 ล้านรายถูกขโมย และระบบโรงพยาบาลล่มหลายสัปดาห์

ช่องโหว่ RC4 และ Kerberoasting
RC4 เป็น encryption จากยุค 1980 ที่ไม่ปลอดภัย
Microsoft ยังรองรับ RC4 โดยค่าเริ่มต้นใน Active Directory
Kerberoasting ใช้ RC4 เพื่อขโมยรหัสผ่านของบัญชีผู้ดูแลระบบ

การตอบสนองของ Microsoft
สัญญาจะออกอัปเดตปิด RC4 ตั้งแต่ตุลาคม 2024 แต่ยังไม่ปล่อย
เผยแพร่คำแนะนำในบล็อกเทคนิคที่ไม่เข้าถึงง่าย
อ้างว่า RC4 ใช้งานน้อยกว่า 0.1% แต่ยังไม่ปิดโดยค่าเริ่มต้น

การวิจารณ์จาก Ron Wyden
กล่าวหาว่า Microsoft มีวัฒนธรรมความปลอดภัยที่ละเลย
เปรียบเทียบว่า “จุดไฟแล้วขายบริการดับเพลิง”
เรียกร้องให้ FTC สอบสวนและกำหนดมาตรการควบคุม

ผลกระทบต่ออุตสาหกรรม
CISO หลายองค์กรเริ่มปิด RC4 ด้วยตนเอง
เริ่มใช้สัญญาจัดซื้อเพื่อบังคับให้ Microsoft ปรับการตั้งค่า
อาจเปลี่ยนแนวทางการออกแบบซอฟต์แวร์ทั้งอุตสาหกรรม

https://www.csoonline.com/article/4055697/microsoft-under-fire-senator-demands-ftc-investigation-into-arsonist-selling-firefighting-services.html