“Your Data Model Is Your Destiny” — เมื่อโครงสร้างข้อมูลกลายเป็นโชคชะตาของผลิตภัณฑ์

Matt Brown จาก Matrix Partners เสนอแนวคิดที่ทรงพลังว่า “โมเดลข้อมูล” (data model) คือแก่นแท้ที่กำหนดทิศทางของสตาร์ทอัพ ไม่ใช่แค่ในระดับฐานข้อมูล แต่รวมถึงวิธีที่ผลิตภัณฑ์เข้าใจโลก, การออกแบบ UI, การตั้งราคาจนถึงกลยุทธ์ go-to-market

เขาอธิบายว่า ทุกบริษัทมี data model อยู่แล้ว ไม่ว่าจะรู้ตัวหรือไม่ และการเลือกโมเดลที่ “ถูกต้อง” ตั้งแต่ต้นสามารถสร้างความได้เปรียบที่คู่แข่งเลียนแบบไม่ได้ เพราะมันฝังอยู่ในโครงสร้างลึกของผลิตภัณฑ์

ตัวอย่างบริษัทที่ประสบความสำเร็จจากการเลือก data model ที่แตกต่าง:

Slack: ใช้ “channel” เป็นหน่วยหลัก แทนที่จะเป็นข้อความชั่วคราวแบบ email
Toast: ยกระดับ “menu item” ให้เป็นวัตถุหลักที่มีตรรกะของร้านอาหารในตัว
Notion: ใช้ “block” แทน document ทำให้ยืดหยุ่นและรวมหลายเครื่องมือไว้ในที่เดียว
Figma: เปลี่ยนจากไฟล์เป็น “canvas” ที่แชร์ได้แบบเรียลไทม์
Rippling: ใช้ “employee” เป็นศูนย์กลาง เชื่อมโยง HR, IT, finance เข้าด้วยกัน
Klaviyo: ยกระดับ “order data” ให้เทียบเท่า email เพื่อการตลาดที่แม่นยำ
ServiceNow: เชื่อม ticket เข้ากับ service map ทำให้ IT ทำงานเชิงรุกแทนการแก้ปัญหาเฉพาะหน้า

Brown เตือนว่า AI กำลังทำให้การเขียนโค้ดกลายเป็น commodity แต่โมเดลข้อมูลที่ดีจะกลายเป็น “moat” ที่ป้องกันไม่ให้คู่แข่งลอกเลียนได้ง่าย

Data model คือสิ่งที่ผลิตภัณฑ์เลือกให้ความสำคัญ
มันกำหนดว่า “อะไร” คือหน่วยหลักของโลกที่ผลิตภัณฑ์เข้าใจ

โมเดลข้อมูลส่งผลต่อ UI, การตั้งราคา, การตลาด และกลยุทธ์
เช่น UI จะเน้น object ไหน, คิดเงินตามอะไร, ขายด้วย pain point อะไร

บริษัทที่ประสบความสำเร็จมักมี data model ที่แตกต่างและลึกซึ้ง
เช่น Slack, Notion, Figma, Toast, Rippling

โมเดลข้อมูลที่ดีจะสร้าง “compound advantage”
ฟีเจอร์ใหม่จะต่อยอดจากข้อมูลเดิมได้ทันที

การเลือก data model ที่ดีควรเริ่มจาก “workflow” ไม่ใช่ schema
ถามว่า “หน่วยงานหลักของงานในโดเมนนี้คืออะไร”

การ audit data model ทำได้โดยดู foreign keys และ core actions
ตารางไหนมี foreign key มากสุด อาจเป็น object หลักของระบบ

https://notes.mtb.xyz/p/your-data-model-is-your-destiny

“Zimbra ปล่อยแพตช์ฉุกเฉินอุดช่องโหว่ SSRF ในระบบแชต” — เมื่อการตั้งค่าพร็อกซีกลายเป็นช่องทางให้แฮ็กเกอร์เจาะระบบ

Zimbra ได้ออกแพตช์ฉุกเฉินเวอร์ชัน 10.1.12 เพื่อแก้ไขช่องโหว่ร้ายแรงประเภท Server-Side Request Forgery (SSRF) ที่พบในส่วนการตั้งค่าพร็อกซีของระบบแชต โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถสั่งให้เซิร์ฟเวอร์ร้องขอข้อมูลภายในระบบหรือจากภายนอกที่ควรถูกป้องกันไว้ ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูล, การเข้าถึงระบบภายใน หรือการใช้เซิร์ฟเวอร์เป็นฐานโจมตีต่อเนื่อง

ช่องโหว่นี้ส่งผลกระทบต่อผู้ใช้ Zimbra เวอร์ชัน 10.1.5 ถึง 10.1.11 โดยผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชัน 10.1.12 ทันทีเพื่อป้องกันความเสี่ยง นอกจากนี้แพตช์ยังมีการปรับปรุงด้านความเสถียรและการซิงก์ข้อมูลเพิ่มเติม

สำหรับผู้ที่อัปเกรดจากเวอร์ชัน 10.1.3 หรือต่ำกว่า จำเป็นต้องติดตั้งแพ็กเกจ zimbra-lds-patch ก่อน และหลังการอัปเดตต้องรันคำสั่ง zmlicense -a <license_key> เพื่อเปิดใช้งานใบอนุญาตใหม่

ในระบบหลายเซิร์ฟเวอร์ เฉพาะ proxy node เท่านั้นที่จะโชว์เวอร์ชัน 10.1.12 ส่วน node อื่นจะยังแสดงเป็น 10.1.11

Zimbra ออกแพตช์ฉุกเฉินเวอร์ชัน 10.1.12
แก้ไขช่องโหว่ SSRF ในการตั้งค่าพร็อกซีของระบบแชต

ช่องโหว่ SSRF อาจเปิดทางให้เข้าถึงข้อมูลภายในหรือโจมตีต่อเนื่อง
เช่น metadata, network resources หรือ pivot attack

ส่งผลกระทบต่อเวอร์ชัน 10.1.5 ถึง 10.1.11
ผู้ใช้ควรอัปเดตทันทีเพื่อความปลอดภัย

แพตช์ยังปรับปรุงด้านความเสถียรและการซิงก์ข้อมูล
เพิ่มความมั่นคงของระบบโดยรวม

ผู้ใช้เวอร์ชัน 10.1.3 หรือต่ำกว่าต้องติดตั้ง zimbra-lds-patch ก่อน
และรันคำสั่ง zmlicense -a <license_key> เพื่อเปิดใช้งานใบอนุญาต

ในระบบหลายเซิร์ฟเวอร์ proxy node จะโชว์เวอร์ชัน 10.1.12
node อื่นยังแสดงเป็น 10.1.11

https://securityonline.info/zimbra-issues-emergency-patch-for-critical-ssrf-vulnerability-in-chat-proxy-configuration/

“Spring อุดช่องโหว่ SpEL และ STOMP CSRF — ป้องกันการรั่วไหลข้อมูลและการแฮ็ก WebSocket” — เมื่อเฟรมเวิร์กยอดนิยมของ Java ต้องรีบออกแพตช์เพื่อหยุดการโจมตีแบบใหม่

ทีม Spring ของ VMware Tanzu ได้ออกแพตช์ด่วนสำหรับช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework ซึ่งอาจเปิดช่องให้แฮ็กเกอร์เข้าถึงข้อมูลลับ หรือส่งข้อความ WebSocket โดยไม่ได้รับอนุญาต

ช่องโหว่แรกคือ CVE-2025-41253 เกิดจากการใช้ Spring Expression Language (SpEL) ในการกำหนด route ของแอปพลิเคชัน Spring Cloud Gateway Server Webflux โดยหากเปิด actuator endpoint แบบไม่ปลอดภัย และอนุญาตให้บุคคลภายนอกกำหนด route ได้ ก็อาจทำให้แฮ็กเกอร์อ่าน environment variables, system properties หรือแม้แต่ token และ API key ได้จาก runtime environment

ช่องโหว่ที่สองคือ CVE-2025-41254 เกิดใน Spring Framework ที่ใช้ STOMP over WebSocket ซึ่งอาจถูกใช้เพื่อส่งข้อความโดยไม่ผ่านการตรวจสอบ CSRF ทำให้แฮ็กเกอร์สามารถสื่อสารกับเซิร์ฟเวอร์แบบ real-time ได้โดยไม่ต้องมีสิทธิ์

Spring ได้ออกแพตช์สำหรับทั้งสองช่องโหว่แล้ว โดยแนะนำให้ผู้ใช้ที่ไม่สามารถอัปเดตทันที ให้ปิดการเข้าถึง actuator endpoint หรือเพิ่มการป้องกันให้ปลอดภัยมากขึ้น

Spring ออกแพตช์สำหรับช่องโหว่ CVE-2025-41253 และ CVE-2025-41254
ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework

CVE-2025-41253 เกิดจากการใช้ SpEL ใน route configuration
อาจทำให้แฮ็กเกอร์อ่านข้อมูลลับจาก environment ได้

เงื่อนไขที่ทำให้เกิดช่องโหว่: ใช้ Webflux, เปิด actuator endpoint, และอนุญาตให้กำหนด route ด้วย SpEL
ไม่ส่งผลกับ WebMVC

CVE-2025-41254 เกิดจาก STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF
อาจถูกใช้ส่งข้อความโดยไม่ได้รับอนุญาต

Spring ออกแพตช์ในเวอร์ชัน OSS และ Commercial หลายรุ่น
เช่น 4.3.2, 4.2.6, 6.2.12, 5.3.46 เป็นต้น

มีคำแนะนำสำหรับผู้ที่ยังไม่สามารถอัปเดตทันที
เช่น ปิด actuator endpoint หรือเพิ่มการป้องกัน

แอปที่เปิด actuator endpoint โดยไม่ป้องกันมีความเสี่ยงสูง
อาจถูกใช้เพื่ออ่านข้อมูลลับจากระบบ

STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF อาจถูกใช้โจมตีแบบ real-time
เหมาะกับระบบแชต, dashboard หรือ IoT ที่มีความอ่อนไหว

ผู้ใช้ Spring รุ่นเก่าอาจยังไม่ได้รับแพตช์
ต้องอัปเกรดหรือใช้วิธีป้องกันชั่วคราว

การใช้ SpEL โดยไม่จำกัดสิทธิ์อาจเปิดช่องให้รันคำสั่งอันตราย
ควรจำกัดการเข้าถึงและตรวจสอบ route configuration อย่างเข้มงวด

https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/

“PowerToys เพิ่มฟีเจอร์สลับ Light/Dark Mode อัตโนมัติตามเวลา” — ปรับโหมดกลางวันกลางคืนให้ Windows ฉลาดขึ้นโดยไม่ต้องพึ่งแอปเสริม

Microsoft ได้อัปเดต PowerToys เวอร์ชัน 0.95.0 โดยเพิ่มฟีเจอร์ใหม่ที่หลายคนรอคอย: การสลับโหมด Light และ Dark อัตโนมัติตามช่วงเวลาของวัน ฟีเจอร์นี้ช่วยให้ผู้ใช้สามารถตั้งค่าให้ Windows ใช้โหมดสว่างในเวลากลางวัน และเปลี่ยนเป็นโหมดมืดในเวลากลางคืนได้โดยอัตโนมัติ โดยไม่ต้องติดตั้งแอปภายนอกเพิ่มเติม

นอกจากนี้ยังมีการปรับปรุงฟีเจอร์อื่น ๆ เช่น:

Command Palette ทำงานเร็วขึ้น ลด latency หลายร้อยมิลลิวินาที
Peek สามารถกด Spacebar เพื่อดูตัวอย่างไฟล์ได้ทันที
Find My Mouse ปรับความโปร่งใสของไฮไลต์ได้ด้วย slider
Mouse Pointer Crosshairs เลือกแสดงเฉพาะเส้นแนวนอนหรือแนวตั้งได้
ZoomIt รองรับการซูมภาพแบบลื่นไหล
เพิ่ม Welsh layout สำหรับ Quick Accent
รองรับ Desired State Configuration (DSC) v3 สำหรับตั้งค่าเครื่องใหม่ให้เหมือนเดิม

ฟีเจอร์ Light/Dark Mode อัตโนมัติจะทำงานทันทีหากเบราว์เซอร์รองรับ TLS 1.3 และ PQC โดยไม่ต้องตั้งค่าเพิ่มเติม เบราว์เซอร์ที่รองรับ ได้แก่ Chrome 131, Edge 131, Firefox 135, Opera 116 และ Brave 1.73

https://www.techpowerup.com/341992/microsoft-powertoys-adds-automatic-light-dark-mode-switching-based-on-time-of-day

“20 ปีแห่งการต่อสู้ของ TurboTax” — เมื่อบริษัทซอฟต์แวร์พยายามขัดขวางคนอเมริกันจากการยื่นภาษีฟรี

บทความจาก ProPublica เปิดเผยเบื้องหลังการล็อบบี้และกลยุทธ์ของ Intuit บริษัทเจ้าของ TurboTax ที่ใช้เวลากว่า 20 ปีในการขัดขวางไม่ให้รัฐบาลสหรัฐฯ สร้างระบบยื่นภาษีฟรีสำหรับประชาชน ทั้งที่เทคโนโลยีและข้อมูลพร้อมแล้ว

Intuit ใช้งบประมาณมหาศาลในการล็อบบี้รัฐสภาและหน่วยงานภาษี (IRS) เพื่อผลักดันข้อตกลง “Free File” ซึ่งให้บริษัทเอกชนสร้างระบบยื่นภาษีฟรีแทนรัฐบาล แต่แฝงข้อจำกัดมากมาย เช่น:

จำกัดเฉพาะผู้มีรายได้น้อย
ซ่อนช่องทางฟรีจากการค้นหา
บังคับให้ผู้ใช้ซื้อบริการเสริมที่ไม่จำเป็น

แม้จะมีผู้ใช้หลายล้านคนที่ควรได้รับสิทธิ์ยื่นภาษีฟรี แต่กลับถูกนำไปสู่หน้าเสียเงินโดยเจตนา ผ่านการออกแบบ UX ที่ซับซ้อนและการใช้ SEO เพื่อเบี่ยงเบนการค้นหา

Intuit ยังพยายามขัดขวางโครงการ “Direct File” ของ IRS ที่จะให้ประชาชนยื่นภาษีตรงกับรัฐบาลโดยไม่ผ่านบริษัทเอกชน โดยอ้างว่า “จะทำให้เกิดความสับสนและลดนวัตกรรม”

ข้อมูลในข่าว
Intuit ใช้เวลากว่า 20 ปีในการขัดขวางระบบยื่นภาษีฟรีของรัฐบาล
ข้อตกลง Free File ให้บริษัทเอกชนสร้างระบบยื่นภาษีฟรีแทนรัฐบาล
ระบบฟรีถูกจำกัดเฉพาะผู้มีรายได้น้อย และถูกซ่อนจากการค้นหา
UX ถูกออกแบบให้ผู้ใช้หลงไปใช้บริการเสียเงิน
SEO ถูกใช้เพื่อเบี่ยงเบนการค้นหาจากช่องทางฟรี
Intuit ต่อต้านโครงการ Direct File ของ IRS
อ้างว่า Direct File จะลดนวัตกรรมและทำให้ผู้ใช้สับสน
มีการล็อบบี้รัฐสภาและหน่วยงานภาษีอย่างต่อเนื่อง
ผู้ใช้หลายล้านคนเสียเงินโดยไม่จำเป็น ทั้งที่ควรยื่นภาษีฟรีได้

https://www.propublica.org/article/inside-turbotax-20-year-fight-to-stop-americans-from-filing-their-taxes-for-free

“PipeWire 1.6 มาแล้ว!” — รองรับ Bluetooth ASHA สำหรับเครื่องช่วยฟัง พร้อมฟีเจอร์ใหม่เพียบสำหรับสายเสียงและวิดีโอบน Linux

PipeWire 1.6 ซึ่งเป็นระบบจัดการเสียงและวิดีโอแบบ low-latency บน Linux ได้เข้าสู่ช่วงพัฒนาแล้ว โดยเวอร์ชันใหม่นี้มาพร้อมฟีเจอร์เด่นคือการรองรับ Bluetooth ASHA (Audio Streaming for Hearing Aid) ซึ่งช่วยให้ผู้ใช้เครื่องช่วยฟังสามารถเชื่อมต่อกับระบบเสียงของ Linux ได้โดยตรงผ่าน Bluetooth

นอกจากนี้ยังมีการปรับปรุงหลายด้าน เช่น:
รองรับ MIDI 2.0 clip
เพิ่มตัวช่วยจัดการ timeout แบบใหม่
เพิ่มตัวอย่าง config สำหรับ Dolby Surround และ Dolby Pro Logic II
รองรับหูฟัง Razer BlackShark v3 และลำโพง Logitech Z407
ปรับปรุงการตั้งค่า ALSA node ให้ทำงานร่วมกับ Firewire driver ได้ดีขึ้น
เพิ่มฟีเจอร์ telephony และแก้ปัญหา packet loss สำหรับ Bluetooth codecs
รองรับการอ่านตำแหน่ง channel จาก HDMI ELD
เพิ่ม benchmark สำหรับ AEC แบบ offline
รองรับ H.265 เป็น video format
เพิ่ม ONNX filter และ FFmpeg avfilter plugin
ปรับปรุงการเล่น DSD ด้วย pw-cat
รองรับ metadata และ latency ใน filter-graph
เพิ่มความสามารถให้ plugin filter-graph รับได้ถึง 8 channel

PipeWire 1.6 ยังมีการปรับปรุงด้านความปลอดภัย เช่น การ rewrite parser ของ control stream ให้ปลอดภัยจาก concurrent update และการ lock loop ด้วย priority inversion

ผู้ใช้สามารถดาวน์โหลด Release Candidate ได้จาก GitLab ของโครงการ แต่ควรทราบว่านี่เป็นเวอร์ชัน pre-release ที่ยังไม่เหมาะกับการใช้งานจริงในระบบ production

ข้อมูลในข่าว
PipeWire 1.6 รองรับ Bluetooth ASHA สำหรับเครื่องช่วยฟัง
เพิ่ม MIDI 2.0 clip support และ timer-queue helper
มี config ตัวอย่างสำหรับ Dolby Surround และ Pro Logic II
รองรับอุปกรณ์ใหม่ เช่น Razer BlackShark v3 และ Logitech Z407
ปรับปรุง ALSA node สำหรับ Firewire driver
เพิ่มฟีเจอร์ telephony และแก้ packet loss สำหรับ Bluetooth codecs
รองรับ HDMI ELD, offline AEC benchmark และ H.265 video format
เพิ่ม ONNX filter และ FFmpeg plugin
ปรับปรุง DSD playback, metadata, latency และ channel support
ปรับ parser ให้ปลอดภัยจาก concurrent update
รองรับ plugin filter-graph สูงสุด 8 channel
Release Candidate พร้อมดาวน์โหลดจาก GitLab

https://9to5linux.com/pipewire-1-6-promises-bluetooth-audio-streaming-for-hearing-aid-support

“Operation Zero Disco” — ช่องโหว่ SNMP ของ Cisco ถูกใช้ฝัง rootkit บนสวิตช์ Linux

นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR

เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ:

เข้าถึงระบบจากระยะไกล (RCE)
ตั้งรหัสผ่าน universal ที่มีคำว่า “disco”
ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ
รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่
ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config
ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี
ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH

แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย

นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง

Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้:
ปิด SNMP หากไม่จำเป็น
เปลี่ยน community string จากค่าเริ่มต้น
อัปเดต firmware ทันที

จุดเด่นจากรายงาน
ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า
rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ
รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต
ซ่อน config และ log เพื่อปิดบังการบุกรุก
ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN
ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ
Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที


https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/

“CIA Triad หมดเวลาแล้ว – ยุคใหม่ของ Cybersecurity ต้องคิดลึกกว่าความลับ ความถูกต้อง และความพร้อมใช้งาน”

ลองจินตนาการว่าองค์กรของคุณกำลังเผชิญกับภัยคุกคามจาก ransomware, deepfake, หรือการโจมตีผ่านซัพพลายเชน แต่ระบบความปลอดภัยที่ใช้อยู่ยังยึดติดกับโมเดลเก่าแก่จากยุคสงครามเย็นที่เรียกว่า “CIA Triad” ซึ่งประกอบด้วย Confidentiality (ความลับ), Integrity (ความถูกต้อง), และ Availability (ความพร้อมใช้งาน)

บทความจาก CSO Online โดย Loris Gutic ได้ชี้ให้เห็นว่าโมเดลนี้ไม่สามารถรับมือกับภัยคุกคามยุคใหม่ได้อีกต่อไป และเสนอโมเดลใหม่ที่เรียกว่า “3C Model” ซึ่งประกอบด้วย Core, Complementary และ Contextual เพื่อสร้างระบบความปลอดภัยที่มีชั้นเชิงและตอบโจทย์โลกยุค AI และ Zero Trust

ผมขอเสริมว่าในปี 2025 ความเสียหายจาก cybercrime ทั่วโลกมีมูลค่ากว่า 10 ล้านล้านดอลลาร์ และองค์กรที่ยังยึดติดกับโมเดลเก่าอาจเสี่ยงต่อการสูญเสียทั้งข้อมูล ความเชื่อมั่น และชื่อเสียงอย่างรุนแรง

จุดอ่อนของ CIA Triad
โมเดลนี้ถูกออกแบบมาในยุค 1970s สำหรับระบบทหารและรัฐบาล
ไม่สามารถรองรับภัยคุกคามใหม่ เช่น deepfake, ransomware, หรือการโจมตีผ่าน AI
ขาดภาษาที่ใช้สื่อสารเรื่อง “ความถูกต้องแท้จริง” หรือ “ความยืดหยุ่นในการฟื้นตัว”

ตัวอย่างที่ CIA Triad ล้มเหลว
Ransomware ไม่ใช่แค่ปัญหาความพร้อมใช้งาน แต่คือการขาด “resilience”
Deepfake อาจมี integrity ที่สมบูรณ์ แต่ขาด authenticity ทำให้เกิดความเสียหายร้ายแรง
การพยายามยัดแนวคิดใหม่เข้าไปในโครงสร้างเก่า ทำให้เกิดช่องโหว่ที่แฮกเกอร์ใช้ประโยชน์

โมเดลใหม่: 3C Layered Information Security Model
Core: ความเชื่อมั่นทางเทคนิค เช่น authenticity, accountability, resilience
Complementary: การกำกับดูแล เช่น privacy by design, data provenance
Contextual: ผลกระทบต่อสังคม เช่น safety ในโครงสร้างพื้นฐาน, ความเชื่อมั่นของผู้ใช้
โมเดลนี้ช่วยให้ CISO พูดกับบอร์ดได้ในภาษาของธุรกิจ ไม่ใช่แค่ไฟร์วอลล์

ประโยชน์ของ 3C Model
ช่วยจัดระเบียบจากความวุ่นวายของ framework ต่าง ๆ เช่น ISO, NIST, GDPR
ทำให้สามารถ “map once, satisfy many” ลดงานซ้ำซ้อน
เปลี่ยนบทบาทของ CISO จากช่างเทคนิคเป็นพันธมิตรเชิงกลยุทธ์

คำเตือนสำหรับองค์กรที่ยังใช้ CIA Triad
ไม่สามารถรับมือกับ Zero Trust หรือกฎหมาย AI ใหม่ ๆ ได้
เสี่ยงต่อการโจมตีที่ซับซ้อน เช่น deepfake หรือการเจาะผ่านซัพพลายเชน
อาจทำให้บอร์ดบริหารเข้าใจผิดว่าระบบปลอดภัย ทั้งที่จริงมีช่องโหว่ร้ายแรง
การไม่ปรับเปลี่ยนโมเดล อาจทำให้องค์กรสูญเสียความเชื่อมั่นจากลูกค้าและสังคม

https://www.csoonline.com/article/4070548/the-cia-triad-is-dead-stop-using-a-cold-war-relic-to-fight-21st-century-threats.html

หัวข้อข่าว: Figure 03 หุ่นยนต์รุ่นใหม่จาก Figure AI – ก้าวสำคัญสู่หุ่นยนต์อเนกประสงค์ที่เรียนรู้จากมนุษย์

Figure AI เปิดตัว Figure 03 หุ่นยนต์ฮิวแมนนอยด์รุ่นที่ 3 ที่ออกแบบใหม่ทั้งหมดทั้งฮาร์ดแวร์และซอฟต์แวร์ เพื่อให้สามารถทำงานร่วมกับระบบ AI “Helix” ได้อย่างเต็มประสิทธิภาพ โดยมีเป้าหมายเพื่อสร้างหุ่นยนต์ที่สามารถเรียนรู้จากมนุษย์และทำงานได้หลากหลายทั้งในบ้านและในภาคธุรกิจ

Figure 03 มาพร้อมระบบกล้องใหม่ที่มีความละเอียดสูงขึ้น 2 เท่า ลดความหน่วงลงเหลือ 1/4 และเพิ่มมุมมองภาพกว้างขึ้น 60% ต่อกล้อง ทำให้สามารถมองเห็นและควบคุมการเคลื่อนไหวได้แม่นยำยิ่งขึ้น แม้ในพื้นที่แคบหรือซับซ้อน เช่น ภายในตู้หรือห้องครัว

มือของ Figure 03 ได้รับการออกแบบใหม่ให้มีความยืดหยุ่นและสัมผัสละเอียดมากขึ้น โดยมีเซ็นเซอร์ที่สามารถตรวจจับแรงกดเพียง 3 กรัม ซึ่งละเอียดพอที่จะรู้ว่าวัตถุกำลังจะหลุดจากมือหรือไม่

ในด้านการใช้งานภายในบ้าน Figure 03 มีการปรับปรุงด้านความปลอดภัย เช่น การใช้วัสดุหุ้มที่นุ่ม ลดน้ำหนักลง 9% และมีระบบชาร์จไร้สายผ่านเท้าที่สามารถชาร์จได้ทันทีเมื่อยืนบนแท่น

สำหรับการผลิต Figure 03 ถูกออกแบบมาเพื่อการผลิตจำนวนมาก โดยใช้กระบวนการใหม่ เช่น การหล่อขึ้นรูปและการปั๊มโลหะ ซึ่งช่วยลดต้นทุนและเพิ่มความเร็วในการผลิต พร้อมทั้งสร้างโรงงาน BotQ ที่สามารถผลิตหุ่นยนต์ได้ถึง 100,000 ตัวภายใน 4 ปี

ในภาคธุรกิจ Figure 03 สามารถทำงานได้เร็วขึ้น 2 เท่า มีแรงบิดสูงขึ้น และสามารถปรับแต่งรูปลักษณ์ภายนอกให้เหมาะกับแต่ละองค์กร เช่น การใส่ยูนิฟอร์มหรือหน้าจอด้านข้างเพื่อแสดงข้อมูล

สรุปเนื้อหาข่าวและข้อมูลเสริม
Figure 03 เปิดตัวอย่างเป็นทางการ
เป็นหุ่นยนต์ฮิวแมนนอยด์รุ่นที่ 3 จาก Figure AI
ออกแบบใหม่ทั้งหมดเพื่อรองรับระบบ AI “Helix”

ระบบกล้องและการมองเห็น
กล้องใหม่มีเฟรมเรตสูงขึ้น 2 เท่า
ลดความหน่วงลงเหลือ 1/4
มุมมองภาพกว้างขึ้น 60% ต่อกล้อง
มีระบบกล้องฝังในฝ่ามือสำหรับการมองใกล้

ระบบมือและสัมผัส
ปลายนิ้วนุ่มและปรับตัวตามวัตถุ
เซ็นเซอร์ตรวจจับแรงกดละเอียดถึง 3 กรัม
ป้องกันวัตถุหลุดจากมือด้วยการควบคุมแบบเรียลไทม์

การใช้งานในบ้าน
หุ้มด้วยวัสดุนุ่ม ลดน้ำหนักลง 9%
ระบบชาร์จไร้สายผ่านเท้า
แบตเตอรี่มีระบบป้องกันหลายชั้นและผ่านมาตรฐาน UN38.3
เสียงพูดชัดขึ้น ลำโพงใหญ่ขึ้น 2 เท่า ไมโครโฟนปรับตำแหน่งใหม่

การผลิตจำนวนมาก
ใช้กระบวนการหล่อขึ้นรูปและปั๊มโลหะ
ลดจำนวนชิ้นส่วนและขั้นตอนประกอบ
สร้างโรงงาน BotQ เพื่อผลิตหุ่นยนต์ได้ถึง 100,000 ตัวใน 4 ปี
ควบคุมคุณภาพด้วยระบบ MES ที่ติดตามทุกขั้นตอน

การใช้งานในภาคธุรกิจ
ทำงานเร็วขึ้น 2 เท่า มีแรงบิดสูงขึ้น
ปรับแต่งรูปลักษณ์ภายนอกได้ เช่น ยูนิฟอร์มหรือหน้าจอด้านข้าง
ชาร์จและถ่ายข้อมูลแบบไร้สายระหว่างพักงาน

ข้อมูลเสริมจากภายนอก
Helix เป็นระบบ AI ที่รวมการมองเห็น ภาษา และการกระทำไว้ด้วยกัน
หุ่นยนต์ฮิวแมนนอยด์กำลังเป็นที่สนใจในภาคอุตสาหกรรม เช่น โลจิสติกส์และการดูแลผู้สูงอายุ
การผลิตหุ่นยนต์จำนวนมากยังเป็นความท้าทายด้านต้นทุนและซัพพลายเชน

คำเตือนเกี่ยวกับการใช้งานหุ่นยนต์ในบ้านและธุรกิจ
ต้องมีการควบคุมความปลอดภัยอย่างเข้มงวดเพื่อป้องกันอุบัติเหตุ
การใช้งานในพื้นที่แคบต้องมีการทดสอบและปรับแต่งให้เหมาะสม
การผลิตจำนวนมากต้องพึ่งพาซัพพลายเชนที่มั่นคงและมีคุณภาพสูง

Figure 03 ไม่ใช่แค่หุ่นยนต์รุ่นใหม่ แต่เป็นสัญลักษณ์ของการก้าวเข้าสู่ยุคที่หุ่นยนต์สามารถเรียนรู้จากมนุษย์และทำงานร่วมกับเราได้อย่างแท้จริงครับ

https://www.figure.ai/news/introducing-figure-03

“7-Zip พบช่องโหว่ร้ายแรง! เปิดทางแฮกเกอร์รันโค้ดผ่าน ZIP — ผู้ใช้ควรอัปเดตเป็นเวอร์ชัน 25.00 ด่วน”

Zero Day Initiative (ZDI) ได้เปิดเผยช่องโหว่ร้ายแรง 2 รายการในโปรแกรมบีบอัดไฟล์ยอดนิยมอย่าง 7-Zip ซึ่งอาจเปิดโอกาสให้แฮกเกอร์รันโค้ดอันตรายบนเครื่องของผู้ใช้ได้ โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-11001 และ CVE-2025-11002 และได้รับการแก้ไขแล้วในเวอร์ชัน 25.00

ช่องโหว่เกิดจากการจัดการ symbolic links ภายในไฟล์ ZIP ที่ไม่ปลอดภัย ทำให้ไฟล์สามารถ “หลุด” ออกจากโฟลเดอร์ที่ตั้งใจไว้ และไปเขียนทับไฟล์สำคัญในระบบได้ เช่น ไฟล์ startup หรือ configuration ซึ่งอาจนำไปสู่การรันโค้ดโดยอัตโนมัติเมื่อระบบเปิดใช้งาน

แม้การโจมตีจะต้องอาศัยการเปิดหรือแตกไฟล์ ZIP โดยผู้ใช้ แต่ในหลายกรณี เช่น ระบบเซิร์ฟเวอร์หรือบริการคลาวด์ที่ใช้ 7-Zip แบบอัตโนมัติ อาจถูกโจมตีโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย

ZDI เตือนว่าแฮกเกอร์สามารถใช้ช่องโหว่นี้ในการส่งไฟล์ ZIP ปลอมที่ดูเหมือนเอกสารทั่วไป เช่น เรซูเม่ ใบแจ้งหนี้ หรือไฟล์โปรเจกต์ เพื่อหลอกให้ผู้ใช้เปิดด้วย 7-Zip และนำไปสู่การรันโค้ดอันตรายทันที

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11001 และ CVE-2025-11002 ถูกค้นพบในโปรแกรม 7-Zip
ช่องโหว่เกิดจากการจัดการ symbolic links ในไฟล์ ZIP ที่ไม่ปลอดภัย
ไฟล์ ZIP สามารถหลุดออกจากโฟลเดอร์ที่ตั้งใจไว้และเขียนทับไฟล์ระบบ
อาจนำไปสู่การรันโค้ดอันตรายในบริบทของ service account
การโจมตีสามารถเกิดขึ้นได้แม้ไม่มีการโต้ตอบจากผู้ใช้ในระบบอัตโนมัติ
แฮกเกอร์สามารถปลอมไฟล์ ZIP ให้ดูเหมือนเอกสารทั่วไปเพื่อหลอกผู้ใช้
ช่องโหว่ได้รับการแก้ไขแล้วใน 7-Zip เวอร์ชัน 25.00

ข้อมูลเสริมจากภายนอก
symbolic link คือไฟล์ที่ชี้ไปยังไฟล์หรือโฟลเดอร์อื่นในระบบ
directory traversal เป็นเทคนิคที่ใช้หลบหลีกข้อจำกัดของ path เพื่อเข้าถึงไฟล์ที่ไม่ควรเข้าถึง
service account มักมีสิทธิ์สูงในระบบ ทำให้การโจมตีมีผลกระทบรุนแรง
7-Zip เป็นโปรแกรมโอเพ่นซอร์สที่นิยมใช้ในระบบเซิร์ฟเวอร์และองค์กร
การอัปเดตเวอร์ชันล่าสุดช่วยป้องกันการโจมตีแบบ zero-click ในระบบอัตโนมัติ

https://securityonline.info/two-7-zip-flaws-allow-code-execution-via-malicious-zip-files-cve-2025-11001-cve-2025-11002/

“ช่องโหว่ Figma MCP เปิดทางแฮกเกอร์รันโค้ดระยะไกล — นักพัฒนาเสี่ยงข้อมูลรั่วจากการใช้ AI Agent”

นักวิจัยด้านความปลอดภัยจาก Imperva เปิดเผยช่องโหว่ร้ายแรงในแพ็กเกจ npm ชื่อ figma-developer-mpc ซึ่งเป็นตัวกลางเชื่อมระหว่าง Figma กับ AI coding agents เช่น Cursor และ GitHub Copilot ผ่านโปรโตคอล Model Context Protocol (MCP) โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-53967 และได้รับคะแนนความรุนแรง 7.5/10

ช่องโหว่นี้เกิดจากการใช้คำสั่ง child_process.exec ใน Node.js โดยนำข้อมูลจากผู้ใช้มาแทรกลงในคำสั่ง shell โดยไม่มีการตรวจสอบ ทำให้แฮกเกอร์สามารถแทรก metacharacters เช่น |, &&, > เพื่อรันคำสั่งอันตรายบนเซิร์ฟเวอร์ที่ติดตั้งแพ็กเกจนี้ได้ทันที

การโจมตีสามารถเกิดขึ้นได้ผ่านการส่งคำสั่ง JSONRPC ไปยัง MCP server เช่น tools/call เพื่อเรียกใช้ฟังก์ชันอย่าง get_figma_data หรือ download_figma_images ซึ่งหาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec ซึ่งเป็นจุดที่เปิดช่องให้แฮกเกอร์แทรกคำสั่งได้

ช่องโหว่นี้ถูกพบในเดือนกรกฎาคม 2025 และได้รับการแก้ไขในเวอร์ชัน 0.6.3 ที่เผยแพร่เมื่อวันที่ 29 กันยายน 2025 โดยแนะนำให้ผู้ใช้เปลี่ยนไปใช้ child_process.execFile ซึ่งปลอดภัยกว่า เพราะแยก argument ออกจากคำสั่งหลัก ทำให้ไม่สามารถแทรกคำสั่ง shell ได้

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-53967 อยู่ในแพ็กเกจ figma-developer-mpc
ใช้ child_process.exec โดยไม่มีการตรวจสอบ input จากผู้ใช้
แฮกเกอร์สามารถแทรก metacharacters เพื่อรันคำสั่งอันตรายได้
การโจมตีเกิดผ่านคำสั่ง JSONRPC เช่น tools/call
หาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec
ช่องโหว่ถูกค้นพบโดย Imperva และแก้ไขในเวอร์ชัน 0.6.3
แนะนำให้เปลี่ยนไปใช้ execFile เพื่อความปลอดภัย
ช่องโหว่นี้มีผลต่อระบบที่เชื่อม Figma กับ AI coding agents เช่น Cursor

https://www.techradar.com/pro/security/worrying-figma-mcp-security-flaw-could-let-hackers-execute-code-remotely-heres-how-to-stay-safe

“Crimson Collective เจาะระบบ AWS ด้วย TruffleHog — ขโมยข้อมูล 570GB จาก Red Hat และเริ่มขยายเป้าหมายสู่คลาวด์ทั่วโลก”

กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ

เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่

ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา

นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ

AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที

ข้อมูลสำคัญจากข่าว
Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog
ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า
กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository
ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess
สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล
ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ
Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์
AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege
หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ

ข้อมูลเสริมจากภายนอก
TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository
IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS
AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS
CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร
การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก

https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances

“SonicWall ยืนยัน! แฮกเกอร์เจาะระบบสำรองไฟร์วอลล์ทุกเครื่อง — ข้อมูลเครือข่ายทั่วโลกเสี่ยงถูกวางแผนโจมตี”

หลังจากรายงานเบื้องต้นในเดือนกันยายนว่า “มีลูกค้าเพียง 5% ได้รับผลกระทบ” ล่าสุด SonicWall และบริษัท Mandiant ได้เปิดเผยผลสอบสวนเต็มรูปแบบเมื่อวันที่ 9 ตุลาคม 2025 ว่าแฮกเกอร์สามารถเข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของ “ลูกค้าทุกคน” ที่ใช้บริการสำรองข้อมูลบนคลาวด์ของ SonicWall24

การโจมตีเริ่มต้นจากการ brute force API บนระบบ MySonicWall Cloud Backup ซึ่งเก็บไฟล์การตั้งค่าระบบไฟร์วอลล์ที่เข้ารหัสไว้ ไฟล์เหล่านี้มีข้อมูลสำคัญ เช่น กฎการกรองข้อมูล, การตั้งค่า VPN, routing, credentials, และข้อมูลบัญชีผู้ใช้ แม้รหัสผ่านจะถูกเข้ารหัสด้วย AES-256 (Gen 7) หรือ 3DES (Gen 6) แต่การที่แฮกเกอร์ได้ไฟล์ทั้งหมดไป ทำให้สามารถวิเคราะห์โครงสร้างเครือข่ายของลูกค้าได้อย่างละเอียด

SonicWall ได้แบ่งระดับความเสี่ยงของอุปกรณ์ไว้ในพอร์ทัล MySonicWall เป็น 3 กลุ่ม:

“Active – High Priority” สำหรับอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต
“Active – Lower Priority” สำหรับอุปกรณ์ภายใน
“Inactive” สำหรับอุปกรณ์ที่ไม่ได้เชื่อมต่อมาเกิน 90 วัน

บริษัทแนะนำให้ลูกค้าเริ่มตรวจสอบอุปกรณ์กลุ่ม High Priority ก่อน พร้อมใช้เครื่องมือ Firewall Config Analysis Tool และสคริปต์ Essential Credential Reset เพื่อรีเซ็ตรหัสผ่านและ API key ที่อาจถูกเปิดเผย

ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr ระบุว่า แม้ข้อมูลจะถูกเข้ารหัส แต่หากรหัสผ่านอ่อนก็สามารถถูกถอดรหัสแบบออฟไลน์ได้ และการได้ไฟล์การตั้งค่าทั้งหมดคือ “ขุมทรัพย์” สำหรับการวางแผนโจมตีแบบเจาะจง

ข้อมูลสำคัญจากข่าว
SonicWall ยืนยันว่าแฮกเกอร์เข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของลูกค้าทุกคน
การโจมตีเริ่มจาก brute force API บนระบบ MySonicWall Cloud Backup
ไฟล์ที่ถูกเข้าถึงมีข้อมูล routing, VPN, firewall rules, credentials และบัญชีผู้ใช้
รหัสผ่านถูกเข้ารหัสด้วย AES-256 (Gen 7) และ 3DES (Gen 6)
SonicWall แบ่งระดับความเสี่ยงของอุปกรณ์เป็น High, Low และ Inactive
ลูกค้าสามารถดูรายการอุปกรณ์ที่ได้รับผลกระทบใน MySonicWall portal
มีเครื่องมือ Firewall Config Analysis Tool และสคริปต์รีเซ็ตรหัสผ่านให้ใช้งาน
SonicWall ทำงานร่วมกับ Mandiant เพื่อเสริมระบบและช่วยเหลือลูกค้า

ข้อมูลเสริมจากภายนอก
API brute force คือการสุ่มรหัสผ่านหรือ token เพื่อเข้าถึงระบบโดยไม่รับอนุญาต
การเข้าถึงไฟล์การตั้งค่าไฟร์วอลล์ช่วยให้แฮกเกอร์เข้าใจโครงสร้างเครือข่ายขององค์กร
AES-256 เป็นมาตรฐานการเข้ารหัสที่แข็งแกร่ง แต่ยังขึ้นอยู่กับความแข็งแรงของรหัสผ่าน
การใช้ cloud backup โดยไม่มี rate limiting หรือ access control ที่ดี เป็นช่องโหว่สำคัญ
Mandiant เป็นบริษัทด้านความปลอดภัยที่มีชื่อเสียงในการสอบสวนเหตุการณ์ระดับโลก

https://hackread.com/sonicwall-hackers-breached-all-firewall-backups/

“Python 3.14 มาแล้ว! เร็วขึ้นกว่าเดิม แต่ JIT ยังไม่เปรี้ยง — Free-threading คือดาวเด่นของเวอร์ชันนี้”

หลังจากเปิดตัวอย่างเป็นทางการในวันที่ 7 ตุลาคม 2025 Python 3.14 ได้รับการทดสอบประสิทธิภาพโดยนักพัฒนา Miguel Grinberg ซึ่งเปรียบเทียบกับเวอร์ชันก่อนหน้าและภาษาคู่แข่งอย่าง Node.js, Rust และ Pypy โดยใช้สคริปต์ทดสอบสองแบบคือ Fibonacci (เน้น recursion) และ Bubble Sort (เน้น iteration)

ผลลัพธ์ชี้ว่า Python 3.14 เร็วกว่า Python 3.13 ประมาณ 27% ในการคำนวณ Fibonacci และเร็วกว่าเวอร์ชัน 3.11 ถึง 45% โดย Bubble Sort ก็เร็วขึ้นเช่นกัน แม้จะไม่มากเท่า Fibonacci

นอกจากนี้ Python 3.14 ยังมี interpreter แบบใหม่สองแบบคือ JIT (Just-In-Time) และ Free-threading (FT) ซึ่งเปิดตัวตั้งแต่เวอร์ชัน 3.13 โดย JIT ยังไม่แสดงผลลัพธ์ที่โดดเด่นในงานทดสอบของ Miguel แต่ Free-threading กลับสร้างความประทับใจ โดยสามารถรันงานแบบ multi-thread ได้เร็วกว่า interpreter ปกติถึง 3 เท่าในบางกรณี

การเปลี่ยนแปลงนี้มีความสำคัญ เพราะ Free-threading ช่วยปลดล็อกข้อจำกัดของ GIL (Global Interpreter Lock) ที่เคยเป็นอุปสรรคในการใช้ Python กับงานที่ต้องการประมวลผลหลายเธรดพร้อมกัน เช่น งานด้าน data science, machine learning และ simulation

นอกจากนี้ Python 3.14 ยังมาพร้อมฟีเจอร์ใหม่ เช่น t-strings (PEP 750) สำหรับการจัดการข้อความแบบปลอดภัย, การรองรับ UUID เวอร์ชัน 6–8, และโมดูลใหม่สำหรับการบีบอัดข้อมูลด้วย Zstandard (PEP 784)

ข้อมูลสำคัญจากข่าว
Python 3.14 เปิดตัวเมื่อวันที่ 7 ตุลาคม 2025
เร็วกว่า Python 3.13 ประมาณ 27% ในการคำนวณ Fibonacci
Bubble Sort ก็เร็วขึ้น แต่ไม่มากเท่า Fibonacci
มี interpreter ใหม่: JIT และ Free-threading (FT)
Free-threading รันงาน multi-thread ได้เร็วกว่า interpreter ปกติถึง 3 เท่า
JIT ยังไม่แสดงผลลัพธ์ที่โดดเด่นในงานทดสอบ
ฟีเจอร์ใหม่: t-strings (PEP 750), UUID v6–8, โมดูลบีบอัด Zstandard (PEP 784)
รองรับการพัฒนาแอป Android ด้วย binary อย่างเป็นทางการ

ข้อมูลเสริมจากภายนอก
GIL เป็นข้อจำกัดที่ทำให้ Python ไม่สามารถใช้ CPU หลายคอร์ได้เต็มที่
Free-threading ช่วยให้ Python ใช้ multi-core ได้จริง โดยไม่ต้องใช้ multiprocessing
NumPy เริ่มรองรับ Free-threading แล้วใน Linux และ macOS
t-strings ช่วยลดความเสี่ยงจาก SQL injection และ XSS
Rust และ Pypy ยังเร็วกว่า Python 3.14 อย่างมากในงานที่ใช้ CPU หนัก

คำเตือนและข้อจำกัด
JIT ยังไม่ให้ผลลัพธ์ที่ชัดเจนในงานที่ใช้ recursion หนัก
Free-threading ยังช้ากว่า interpreter ปกติในงาน single-thread
การเปลี่ยน interpreter อาจต้อง rebuild จาก source และปรับ config
ฟีเจอร์ใหม่บางอย่างยังไม่รองรับในทุกระบบปฏิบัติการ
การใช้ Free-threading ต้องระวังเรื่อง thread safety และการจัดการ memory

https://blog.miguelgrinberg.com/post/python-3-14-is-here-how-fast-is-it

“CL0P โจมตี Oracle EBS ด้วยช่องโหว่ Zero-Day CVE-2025-61882 — ขโมยข้อมูลองค์กรผ่าน RCE โดยไม่ต้องล็อกอิน”

Google Threat Intelligence Group (GTIG) และ Mandiant ได้เปิดเผยแคมเปญการโจมตีขนาดใหญ่โดยกลุ่ม CL0P ที่มุ่งเป้าไปยัง Oracle E-Business Suite (EBS) ซึ่งเป็นระบบ ERP ที่ใช้กันอย่างแพร่หลายในองค์กรทั่วโลก โดยใช้ช่องโหว่ Zero-Day ที่เพิ่งถูกระบุว่าเป็น CVE-2025-61882 ซึ่งมีความรุนแรงระดับ “วิกฤต” ด้วยคะแนน CVSS 9.8

การโจมตีเริ่มต้นตั้งแต่เดือนกรกฎาคม 2025 โดยแฮกเกอร์สามารถเข้าถึงระบบ Oracle EBS ได้โดยไม่ต้องล็อกอิน ผ่านช่องโหว่ในคอมโพเนนต์ BI Publisher Integration ของระบบ Concurrent Processing โดยใช้เทคนิค SSRF, CRLF injection, การข้ามการยืนยันตัวตน และการฉีด XSL template เพื่อรันคำสั่งบนเซิร์ฟเวอร์

เมื่อเข้าระบบได้แล้ว ผู้โจมตีใช้ payload แบบ Java ที่ซับซ้อน เช่น GOLDVEIN.JAVA และ SAGEGIFT/SAGELEAF/SAGEWAVE เพื่อสร้าง backdoor และควบคุมระบบอย่างต่อเนื่อง โดย payload เหล่านี้สามารถหลบเลี่ยงการตรวจจับจากระบบป้องกันทั่วไปได้

แฮกเกอร์ใช้บัญชี “applmgr” ซึ่งเป็นบัญชีหลักของ Oracle EBS ในการสำรวจระบบและรันคำสั่ง เช่น ifconfig, netstat, และ bash -i >& /dev/tcp/... เพื่อเปิด shell แบบ interactive บนเซิร์ฟเวอร์

ในช่วงปลายเดือนกันยายน ผู้บริหารจากหลายองค์กรเริ่มได้รับอีเมลข่มขู่จาก CL0P โดยอ้างว่าข้อมูลจากระบบ Oracle EBS ถูกขโมยไปแล้ว พร้อมแนบรายการไฟล์จริงเพื่อยืนยันการโจมตี และเสนอให้จ่ายเงินเพื่อไม่ให้ข้อมูลถูกเผยแพร่บนเว็บไซต์ CL0P DLS

Oracle ได้ออก patch ฉุกเฉินเมื่อวันที่ 4 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่ CVE-2025-61882 และแนะนำให้ลูกค้าทุกคนอัปเดตทันที พร้อมแจก Indicators of Compromise (IoCs) เพื่อช่วยตรวจสอบการบุกรุก

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ใน Oracle EBS ที่ถูกใช้โจมตีโดย CL0P
ช่องโหว่เกิดใน BI Publisher Integration ของ Concurrent Processing
ใช้เทคนิค SSRF, CRLF injection, auth bypass และ XSL template injection
แฮกเกอร์สามารถรันคำสั่งบนเซิร์ฟเวอร์โดยไม่ต้องล็อกอิน
ใช้ payload Java เช่น GOLDVEIN.JAVA และ SAGE* เพื่อสร้าง backdoor
ใช้บัญชี applmgr เพื่อสำรวจระบบและเปิด shell
ส่งอีเมลข่มขู่ผู้บริหารพร้อมรายการไฟล์จริงจากระบบที่ถูกเจาะ
Oracle ออก patch ฉุกเฉินเมื่อ 4 ตุลาคม 2025 พร้อมแจก IoCs

ข้อมูลเสริมจากภายนอก
Oracle EBS ใช้ในระบบสำคัญขององค์กร เช่น การเงิน, HR, โลจิสติกส์
CL0P เคยโจมตี MOVEit, Cleo และ GoAnywhere ด้วย Zero-Day ลักษณะเดียวกัน
SSRF เป็นเทคนิคที่ใช้หลอกให้เซิร์ฟเวอร์เรียกข้อมูลจากแหล่งที่ผู้โจมตีควบคุม
XSLT injection สามารถใช้เรียกฟังก์ชัน Java เพื่อรันคำสั่งในระบบ
GOLDVEIN.JAVA ใช้การปลอม handshake TLS เพื่อหลบการตรวจจับ

https://securityonline.info/cl0p-extortion-google-mandiant-expose-zero-day-rce-in-oracle-e-business-suite-cve-2025-61882/

“พบช่องโหว่ Zero-Day ร้ายแรงใน Gladinet/Triofox — แฮกเกอร์ใช้ LFI ดึง machine key แล้วรันโค้ดบนเซิร์ฟเวอร์ทันที”

บริษัท Huntress ได้ออกคำเตือนถึงช่องโหว่ Zero-Day ใหม่ในซอฟต์แวร์ Gladinet CentreStack และ Triofox ซึ่งเป็นแพลตฟอร์มแชร์ไฟล์และจัดการข้อมูลสำหรับองค์กร โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-11371 และมีระดับความรุนแรง CVSS 6.1 ซึ่งแม้จะไม่สูงสุด แต่มีการโจมตีจริงแล้วในหลายองค์กร

ช่องโหว่นี้เป็นแบบ Local File Inclusion (LFI) ที่เปิดให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญในระบบได้โดยไม่ต้องยืนยันตัวตน โดยเฉพาะไฟล์ Web.config ที่เก็บ machine key ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสข้อมูลในระบบ ASP.NET

เมื่อแฮกเกอร์ได้ machine key แล้ว จะสามารถใช้ช่องโหว่เก่า CVE-2025-30406 ที่เกี่ยวข้องกับ ViewState deserialization เพื่อสร้าง payload ที่ผ่านการเข้ารหัสอย่างถูกต้อง แล้วรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที โดยไม่ต้อง login หรือมีสิทธิ์ใด ๆ

Huntress ตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 26 กันยายน 2025 ผ่านระบบตรวจจับภายใน โดยพบ payload แบบ base64 ถูกเรียกใช้เป็น child process ของ web server ซึ่งเป็นสัญญาณของการโจมตีหลังการ deserialization

แม้ช่องโหว่ CVE-2025-30406 จะถูกแก้ไขไปแล้วในเวอร์ชันใหม่ของ CentreStack แต่ช่องโหว่ CVE-2025-11371 กลับเปิดทางให้แฮกเกอร์ใช้ช่องโหว่เก่าได้อีกครั้งผ่านการดึง machine key ทำให้การโจมตีมีประสิทธิภาพสูงและยากต่อการตรวจจับ

ขณะนี้ยังไม่มี patch อย่างเป็นทางการจาก Gladinet แต่ Huntress ได้เสนอวิธีแก้ไขชั่วคราว โดยให้ผู้ดูแลระบบเข้าไปลบ handler ที่ชื่อ t.dn ในไฟล์ Web.config ของ UploadDownloadProxy เพื่อปิดช่องทางการเข้าถึงที่ใช้ในการโจมตี

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11371 เป็นแบบ Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox
ผู้โจมตีสามารถดึงไฟล์ Web.config เพื่อขโมย machine key โดยไม่ต้อง login
ใช้ machine key เพื่อรันโค้ดผ่านช่องโหว่ ViewState deserialization (CVE-2025-30406)
Huntress ตรวจพบการโจมตีจริงใน 3 องค์กรแล้ว
การโจมตีเริ่มจาก payload base64 ที่รันเป็น child process ของ web server
ช่องโหว่ CVE-2025-30406 เคยถูกแก้ไขแล้ว แต่ถูกนำกลับมาใช้ผ่านช่องโหว่ใหม่
ยังไม่มี patch อย่างเป็นทางการจาก Gladinet
Huntress แนะนำให้ลบ handler t.dn ใน Web.config เพื่อปิดช่องทางการโจมตี

ข้อมูลเสริมจากภายนอก
ViewState เป็นกลไกของ ASP.NET ที่ใช้เก็บสถานะของหน้าเว็บ
Deserialization คือการแปลงข้อมูลกลับเป็น object ซึ่งหากไม่ปลอดภัยอาจถูกใช้โจมตี
LFI เป็นช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในระบบโดยไม่ต้องมีสิทธิ์
Machine key ใช้ในการเข้ารหัสข้อมูลสำคัญ เช่น session และ ViewState
การโจมตีแบบนี้สามารถใช้เพื่อฝังมัลแวร์หรือเปิด backdoor บนเซิร์ฟเวอร์

https://securityonline.info/exploited-zero-day-gladinet-triofox-flaw-cve-2025-11371-allows-rce-via-lfi/

“พบช่องโหว่ร้ายแรงใน OpenSSH (CVE-2025-61984) — แฮกเกอร์สามารถรันคำสั่งผ่านชื่อผู้ใช้ได้!”

ช่องโหว่ใหม่ใน OpenSSH ที่ถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัย David Leadbeater ได้สร้างความตื่นตระหนกในวงการไซเบอร์ โดยช่องโหว่นี้มีรหัส CVE-2025-61984 และส่งผลกระทบต่อ OpenSSH เวอร์ชันก่อน 10.1 ซึ่งเปิดช่องให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลผ่านการใช้ชื่อผู้ใช้ที่ถูกออกแบบมาอย่างเจาะจง

ปัญหาเกิดจากการที่ OpenSSH อนุญาตให้มีอักขระควบคุม (control characters) ในชื่อผู้ใช้ โดยเฉพาะเมื่อใช้ร่วมกับคำสั่ง ProxyCommand ที่มีการแทรกชื่อผู้ใช้ผ่านตัวแปร %r ซึ่งจะถูกนำไปสร้างคำสั่ง exec เพื่อรันผ่าน shell ของผู้ใช้ หากชื่อผู้ใช้มีอักขระพิเศษ เช่น $[ และ \n (ขึ้นบรรทัดใหม่) จะทำให้ shell เช่น Bash หรือ csh ตีความผิดพลาด แล้วรันคำสั่งถัดไปที่แฮกเกอร์แอบแทรกไว้

ตัวอย่างการโจมตีที่เป็นไปได้คือการฝังชื่อผู้ใช้อันตรายไว้ในไฟล์ .gitmodules ของ Git repository แล้วใช้ SSH configuration ที่มี ProxyCommand แบบ %r@%h:%p เมื่อผู้ใช้ clone repository แบบ recursive (git clone --recursive) ระบบจะรันคำสั่งที่แฮกเกอร์แอบใส่ไว้ก่อนจะเชื่อมต่อจริง

แม้การโจมตีจะต้องใช้เงื่อนไขเฉพาะ เช่น shell ที่ไม่หยุดทำงานเมื่อเจอ syntax error และการตั้งค่า SSH ที่ใช้ %r แต่ก็ถือเป็นช่องโหว่ที่อันตราย เพราะสามารถใช้โจมตีผ่านเครื่องมือที่นักพัฒนาใช้งานเป็นประจำ เช่น Git, Teleport หรือ CI/CD pipeline

OpenSSH ได้ออกแพตช์ในเวอร์ชัน 10.1 โดยเพิ่มการตรวจสอบอักขระควบคุมในชื่อผู้ใช้ผ่านฟังก์ชัน iscntrl() เพื่อป้องกันการแทรกคำสั่ง สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ทันที ควรใช้ single quote ครอบ %r ใน ProxyCommand เช่น 'some-command '%r@%h:%p' และปิดการใช้งาน SSH-based submodules ใน Git

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61984 ส่งผลต่อ OpenSSH ก่อนเวอร์ชัน 10.1
เกิดจากการอนุญาตให้ใช้ control characters ในชื่อผู้ใช้
ใช้ร่วมกับ ProxyCommand ที่มี %r จะสร้างคำสั่ง exec ผ่าน shell
หากชื่อผู้ใช้มี $[ และ \n จะทำให้ shell รันคำสั่งถัดไปโดยไม่ตั้งใจ
ตัวอย่างการโจมตีคือการฝังชื่อผู้ใช้ใน Git submodule แล้ว clone แบบ recursive
Shell ที่ได้รับผลกระทบคือ Bash, csh และ fish — Zsh ไม่ได้รับผลกระทบ
OpenSSH 10.1 แก้ไขโดยใช้ iscntrl() ตรวจสอบชื่อผู้ใช้
แนะนำให้ใช้ single quote ครอบ %r ใน ProxyCommand เพื่อป้องกัน
ควรปิดการใช้งาน SSH-based submodules ใน Git โดยค่าเริ่มต้น
ช่องโหว่นี้เป็นการต่อยอดจาก CVE-2023-51385 ที่เคยเกิดขึ้นก่อนหน้านี้

ข้อมูลเสริมจากภายนอก
Git submodules มักใช้ SSH ในการเชื่อมต่อ ทำให้เป็นช่องทางโจมตีที่นิยม
Teleport และเครื่องมือ cloud gateway อื่น ๆ มักสร้าง SSH config โดยอัตโนมัติ
Shell เช่น Bash จะไม่หยุดทำงานเมื่อเจอ syntax error แต่จะรันบรรทัดถัดไป
การใช้ %r โดยไม่ครอบด้วย single quote เปิดช่องให้ shell ตีความอักขระพิเศษ
การโจมตีแบบนี้สามารถใช้เพื่อรันสคริปต์อันตราย เช่น source poc.sh ก่อนเชื่อมต่อ

https://securityonline.info/openssh-flaw-cve-2025-61984-allows-remote-code-execution-via-usernames/

“Raspberry Pi OS รีเบสสู่ Debian 13 ‘Trixie’ — ปรับโฉมใหม่หมด เพิ่มความยืดหยุ่น พร้อมฟีเจอร์จัดการระบบแบบรวมศูนย์”

Raspberry Pi OS ซึ่งเป็นระบบปฏิบัติการยอดนิยมสำหรับบอร์ด Raspberry Pi ได้รับการอัปเดตครั้งใหญ่ในเดือนตุลาคม 2025 โดยรีเบสไปใช้ Debian 13 “Trixie” เป็นฐานหลัก พร้อมยังคงใช้ Linux Kernel 6.12 LTS เพื่อความเสถียรในระยะยาว การเปลี่ยนแปลงครั้งนี้ไม่เพียงแค่ปรับปรุงด้านเทคนิค แต่ยังมาพร้อมกับการออกแบบใหม่ที่ทันสมัยและฟีเจอร์จัดการระบบที่รวมศูนย์มากขึ้น

หนึ่งในจุดเด่นของเวอร์ชันใหม่นี้คือการปรับโครงสร้างการติดตั้งแพ็กเกจให้เป็นแบบ modular ซึ่งช่วยให้ผู้ใช้สามารถปรับแต่งภาพ ISO ได้ง่ายขึ้น เช่น การแปลงจากเวอร์ชัน Lite ไปเป็น Desktop หรือกลับกัน ซึ่งไม่เคยรองรับอย่างเป็นทางการมาก่อน

ด้านการออกแบบ UI มีการเพิ่มธีม GTK ใหม่ 2 แบบ ได้แก่ PiXtrix (โหมดสว่าง) และ PiXonyx (โหมดมืด) พร้อมไอคอนใหม่และฟอนต์ระบบ “Nunito Sans Light” ที่ให้ความรู้สึกทันสมัยมากขึ้น รวมถึงภาพพื้นหลังใหม่ที่เข้ากับธีมโดยรวม

ระบบ taskbar ได้รับการปรับปรุงด้วย System Monitor plugin สำหรับแจ้งเตือนพลังงานและสถานะอื่น ๆ และมีการรวม Clock plugin ให้ใช้งานร่วมกันระหว่าง wf-panel-pi และ lxpanel-pi ซึ่งเป็นเวอร์ชัน fork ของ LXDE Panel ที่ตัดปลั๊กอินที่ไม่รองรับออกไป

ที่สำคัญคือการเปิดตัว Control Centre แบบใหม่ที่รวมการตั้งค่าทั้งหมดไว้ในที่เดียว แทนที่แอปแยกย่อยเดิม เช่น Raspberry Pi Configuration, Appearance Settings, Mouse and Keyboard Settings ฯลฯ ทำให้การจัดการระบบสะดวกขึ้นมาก

ยังมีการเพิ่มเครื่องมือ command-line ใหม่ ได้แก่ rpi-keyboard-config และ rpi-keyboard-fw-update สำหรับปรับแต่งและอัปเดตคีย์บอร์ดโดยเฉพาะ ส่วนแอป Bookshelf ก็ได้รับการปรับปรุงให้แสดงเนื้อหาพิเศษสำหรับผู้สนับสนุน พร้อมระบบปลดล็อกผ่านการ “Contribute”

ข้อมูลสำคัญจากข่าว
Raspberry Pi OS รีเบสไปใช้ Debian 13 “Trixie” พร้อม Linux Kernel 6.12 LTS
ปรับโครงสร้างแพ็กเกจให้เป็นแบบ modular เพื่อความยืดหยุ่นในการติดตั้ง
เพิ่มธีม GTK ใหม่ 2 แบบ: PiXtrix และ PiXonyx พร้อมไอคอนและฟอนต์ใหม่
Taskbar มี System Monitor plugin และ Clock plugin แบบรวมศูนย์
LXDE Panel ถูก fork เป็น lxpanel-pi และลบปลั๊กอินที่ไม่รองรับ
เปิดตัว Control Centre ใหม่ที่รวมการตั้งค่าทั้งหมดไว้ในแอปเดียว
เพิ่มเครื่องมือ command-line: rpi-keyboard-config และ rpi-keyboard-fw-update
แอป Bookshelf แสดงเนื้อหาพิเศษพร้อมระบบปลดล็อกผ่านการสนับสนุน
รองรับ Raspberry Pi ทุกรุ่น ตั้งแต่ 1A+ ถึง CM4 และ Zero 2 W
ผู้ใช้สามารถอัปเดตผ่านคำสั่ง sudo apt update && sudo apt full-upgrade

ข้อมูลเสริมจากภายนอก
Debian 13 “Trixie” มาพร้อมการปรับปรุงด้านความปลอดภัยและการรองรับฮาร์ดแวร์ใหม่
Modular package layout ช่วยให้การสร้าง image แบบ custom ง่ายขึ้นมาก
ฟอนต์ Nunito Sans Light เป็นฟอนต์แบบ open-source ที่เน้นความอ่านง่าย
Control Centre แบบรวมศูนย์เป็นแนวทางที่นิยมในระบบ desktop สมัยใหม่ เช่น GNOME และ KDE
การ fork lxpanel ช่วยให้ทีม Raspberry Pi สามารถควบคุมการพัฒนาได้เต็มที่

https://9to5linux.com/raspberry-pi-os-is-now-based-on-debian-13-trixie-with-fresh-new-look

“CVE-2025-38352: ช่องโหว่ TOCTOU ใน Linux/Android Kernel — แค่เสี้ยววินาที ก็อาจเปิดทางสู่สิทธิ Root”

นักวิจัยด้านความปลอดภัยชื่อ StreyPaws ได้เปิดเผยรายละเอียดเชิงลึกของช่องโหว่ CVE-2025-38352 ซึ่งเป็นช่องโหว่แบบ TOCTOU (Time-of-Check to Time-of-Use) ที่เกิดขึ้นในระบบ POSIX CPU Timer ของ Linux และ Android kernel โดยช่องโหว่นี้ถูกระบุใน Android Security Bulletin เดือนกันยายน 2025 และมีแนวโน้มว่าจะถูกใช้โจมตีแบบเจาะจงในบางกรณีแล้ว

ช่องโหว่นี้เกิดจากการจัดการ synchronization ที่ผิดพลาดในไฟล์ posix-cpu-timers.c โดยเฉพาะเมื่อมีสองเธรดทำงานพร้อมกัน — เธรดหนึ่งกำลังจัดการกับ timer ที่หมดเวลา ส่วนอีกเธรดพยายามลบ timer เดียวกัน ทำให้เกิด race condition ที่อาจนำไปสู่การอ้างอิงหน่วยความจำที่ถูกปล่อยไปแล้ว (use-after-free) ซึ่งอาจทำให้ระบบ crash หรือแม้แต่ privilege escalation ได้

POSIX CPU Timer ใช้ติดตามเวลาการประมวลผลของ process ไม่ใช่เวลาจริง ทำให้มีความสำคัญในการวิเคราะห์ performance และจัดการทรัพยากร โดยระบบรองรับ clock หลายประเภท เช่น CPUCLOCK_PROF, CPUCLOCK_VIRT และ CPUCLOCK_SCHED เพื่อใช้ในสถานการณ์ต่าง ๆ

นักวิจัยได้สร้างสภาพแวดล้อมจำลอง kernel บน Android และพัฒนา PoC ที่สามารถทำให้ระบบ crash ได้แม้จะเปิดใช้ CONFIG_POSIX_CPU_TIMERS_TASK_WORK ซึ่งเป็นการตั้งค่าที่ควรช่วยลดความเสี่ยง แสดงให้เห็นว่าช่องโหว่นี้มีความซับซ้อนและอันตรายแม้ในระบบที่มีการป้องกันเบื้องต้น

แพตช์ที่ออกมาเพื่อแก้ไขช่องโหว่นี้มีการเพิ่มเงื่อนไขตรวจสอบสถานะการ exit ของ task ก่อนดำเนินการลบ timer ซึ่งช่วยป้องกันการเกิด race condition ได้อย่างมีประสิทธิภาพ

ข้อมูลสำคัญจากข่าว
CVE-2025-38352 เป็นช่องโหว่ TOCTOU ใน POSIX CPU Timer subsystem ของ Linux/Android kernel
เกิดจาก race condition ระหว่างการจัดการ timer ที่หมดเวลาและการลบ timer พร้อมกัน
อาจนำไปสู่ use-after-free, memory corruption และ privilege escalation
POSIX CPU Timer ใช้ติดตามเวลาประมวลผลของ process ไม่ใช่เวลาจริง
รองรับ clock หลายประเภท เช่น CPUCLOCK_PROF, CPUCLOCK_VIRT, CPUCLOCK_SCHED
นักวิจัยสร้าง PoC ที่ทำให้ระบบ crash ได้แม้เปิดใช้ CONFIG_POSIX_CPU_TIMERS_TASK_WORK
แพตช์แก้ไขโดยเพิ่มการตรวจสอบ exit_state เพื่อป้องกันการอ้างอิงหน่วยความจำที่ถูกปล่อย
ช่องโหว่นี้ถูกระบุใน Android Security Bulletin เดือนกันยายน 2025

ข้อมูลเสริมจากภายนอก
TOCTOU เป็นช่องโหว่ที่เกิดจากการตรวจสอบเงื่อนไขก่อนใช้งาน แต่เงื่อนไขเปลี่ยนไปในระหว่างนั้น
Use-after-free เป็นช่องโหว่ที่อันตรายเพราะสามารถนำไปสู่การควบคุมระบบได้
Race condition มักเกิดในระบบที่มีการทำงานแบบ multi-threaded หรือ interrupt context
การตรวจสอบ exit_state เป็นเทคนิคที่ใช้กันทั่วไปในการป้องกันการอ้างอิง task ที่กำลังถูกลบ
ช่องโหว่ระดับ kernel มีผลกระทบสูงต่อความมั่นคงของระบบ เพราะสามารถควบคุมทุกระดับได้

https://securityonline.info/researcher-details-zero-day-linux-android-kernel-flaw-cve-2025-38352/

“Termix Docker เจอช่องโหว่ร้ายแรง CVE-2025-59951 — ดึงข้อมูล SSH ได้ทันทีโดยไม่ต้องล็อกอิน”

Termix ซึ่งเป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ self-hosted ที่ได้รับความนิยมในกลุ่ม DevOps และผู้ดูแลระบบ ได้เปิดเผยช่องโหว่ร้ายแรงใน Docker image อย่างเป็นทางการของตนเอง โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-59951 และได้รับคะแนนความรุนแรง CVSS v4 สูงถึง 9.2 ซึ่งอยู่ในระดับ “วิกฤต”

ช่องโหว่นี้เกิดจากการที่ Termix ใช้ reverse proxy ผ่าน Nginx แล้ว backend ดึง IP address ของ proxy แทนที่จะเป็น IP ของผู้ใช้จริงผ่านคำสั่ง req.ip ทำให้ระบบเข้าใจผิดว่าทุกคำขอเป็น “localhost” และเปิดสิทธิ์ให้เข้าถึง endpoint ที่ควรถูกจำกัดไว้

ผลคือ endpoint /ssh/db/host/internal ซึ่งเก็บข้อมูล SSH host เช่น IP, username และ password สามารถถูกเข้าถึงได้โดยไม่ต้องล็อกอินหรือยืนยันตัวตนใด ๆ ทั้งสิ้น นักวิจัยด้านความปลอดภัยสามารถทำ PoC ได้ง่าย ๆ ด้วยคำสั่ง HTTP GET ธรรมดา และได้รับข้อมูล SSH กลับมาในรูปแบบ JSON ทันที

ช่องโหว่นี้มีผลกับทุกเวอร์ชันตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag โดยเวอร์ชันที่ได้รับการแก้ไขคือ release-1.7.0-tag ซึ่งแนะนำให้ผู้ใช้รีบอัปเดตทันที พร้อมปรับ backend ให้ใช้ X-Real-IP แทน req.ip เพื่อป้องกันการเข้าใจผิดเรื่อง IP

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-59951 เกิดจากการใช้ req.ip ใน backend ทำให้เข้าใจว่า request มาจาก localhost
ส่งผลให้ endpoint /ssh/db/host/internal ถูกเปิดให้เข้าถึงโดยไม่ต้องล็อกอิน
ข้อมูลที่รั่วไหลได้แก่ IP, username และ password ของ SSH hosts
ช่องโหว่นี้มีผลกับ Docker image ตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag
เวอร์ชันที่แก้ไขแล้วคือ release-1.7.0-tag
PoC แสดงให้เห็นว่าการโจมตีสามารถทำได้ง่ายและเสถียร
ระบบที่ใช้ reverse proxy ผ่าน Nginx มีความเสี่ยงสูง
แนะนำให้เปลี่ยนการตรวจสอบ IP เป็น X-Real-IP แทน req.ip

ข้อมูลเสริมจากภายนอก
Termix เป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ web-based ที่รวม SSH, tunneling และ file management
ช่องโหว่ประเภท Use-After-Free และ IP spoofing เป็นปัญหาที่พบได้บ่อยในระบบที่ใช้ proxy
การใช้ reverse proxy โดยไม่ตรวจสอบ IP อย่างถูกต้องอาจเปิดช่องให้เกิดการโจมตีแบบ privilege escalation
การใช้ Docker image จากแหล่งทางการโดยไม่ตรวจสอบ config อาจนำไปสู่การรั่วไหลข้อมูล
การใช้ asset mapping tools สามารถช่วยค้นหา instance ที่เปิด endpoint นี้อยู่

https://securityonline.info/critical-flaw-in-termix-docker-image-cve-2025-59951-leaks-ssh-credentials-without-authentication/

Highlight Words In Action : September 2025

acrimony noun: sharpness, harshness, or bitterness of nature, speech, disposition, etc.

From the headlines: European trade ministers gathered on July 14 to discuss the new U.S. tariffs, aiming to ease the acrimony between the EU and the Trump administration. While they planned potential countermeasures against the 30 percent tariffs, which they deemed “unacceptable,” they were united in favor of pursuing a negotiated agreement with the U.S. to maintain stable trade ties.

adamant
adjective: utterly unyielding in attitude or opinion in spite of all appeals, urgings, etc.

From the headlines: Mars, the maker of M&M’s, Skittles, and other popular candies, remains adamant that it will only stop using synthetic dyes in its candy if legally required. While other food companies have announced plans to phase out artificial colors in items like Lucky Charms, Jell-O, and Kool-Aid, some candy manufacturers are holding firm. They argue that natural alternatives cost more and don’t deliver the same vibrant colors.

aerial
adjective: existing, living, growing, or operating in the air

From the headlines: On June 29, Russia launched its largest aerial assault of the war in Ukraine, firing more missiles than in any previous attack since the beginning of the war in 2022. The strikes hit multiple Ukrainian cities, injuring at least a dozen people and damaging key infrastructure.

autonomous
adjective: existing as an independent entity

From the headlines: Robots competed in a fully autonomous soccer tournament in Beijing, with four teams of three humanoid robots each operating solely under AI control. Although the idea was innovative, the robots had trouble with basic actions like kicking and staying balanced. Tsinghua University’s THU Robotics team clinched the championship by scoring five goals in the final round.

bioluminescent
adjective: pertaining to the production of light by living organisms

From the headlines: A new research project will try to interpret the meaning of fireflies’ blinking. Scientists in Colorado enlisted the help of citizen observers to record videos of the bioluminescent insects at dusk. Researchers will eventually make a 3D map of where the glowing lights flash over time. While they know firefly blinks follow a deliberate pattern and are used to attract a mate, experts believe there is more to learn.

bodega
noun: a small, independent or family-owned grocery store, usually located in a densely populated urban environment

From the headlines: A recent crime spree in New York City has targeted bodega ATMs. Thefts of cash machines have increased over the past five years, and New York’s small corner stores have been hit particularly hard. Three people are suspected of stealing almost $600,000 over six months by breaking into independent convenience stores, removing their ATMs, and driving away with them in stolen cars.

contretemps
noun: an inopportune occurrence; an embarrassing mischance

From the headlines: After a contretemps between the Quebec Board of the French Language and Montreal’s transit agency, new rules grudgingly allow the use of the word “go” when cheering sports teams. The Board had objected to a Montreal Canadiens ad campaign that read “Go! Canadiens Go!” Tasked with preserving the province’s French heritage, the Board had been insisting on replacing the signs with “Allez! Canadiens Allez!”

decorum
noun: dignified propriety of behavior, speech, dress, etc.

From the headlines: La Scala has introduced a new dress code requiring attendees to “choose clothing in keeping with the decorum of the theatre.” The renowned Milan opera house is codifying its long-standing policy discouraging attire like flip-flops, shorts, and tank tops. Guests are now expected to dress with elegance, honoring both the opera house’s refined ambiance and its storied cultural legacy.

driftwood
noun: pieces of trees that are floating on a body of water or have been washed ashore

From the headlines: In rural Alaska, residents of some villages and small towns are continuing a long tradition by using driftwood for fuel and as energy-efficient siding for their homes. The pieces of wood, worn smooth by ocean waves or currents in rivers and streams, have been used this way by Indigenous Alaskans for thousands of years. Communities save money and protect the environment by reusing old trees or boards found floating in the water instead of buying lumber and logs.

eavesdrop
verb: to listen secretly to a private conversation

From the headlines: Ecologists have found that long-billed curlews and other grassland nesters routinely eavesdrop on prairie dogs to dodge predators. Sharing a habitat where hawks, eagles, foxes, and other Great Plains animals lurk, the birds capitalize on the rodents’ warning calls. After eavesdropping on these distinctive calls, the curlews and other birds crouch or camouflage themselves until the threat has passed.

emulate
verb: to imitate with effort to equal or surpass

From the headlines: Inspired by Paris’s recent success, cities across the globe are preparing to emulate its efforts to restore polluted urban rivers for public use. After a hundred-year swimming ban, Parisians can now take a dip in the once-contaminated Seine, thanks to more than a billion dollars spent on upgrades like sewer improvements and rainwater storage. Cities such as Berlin, Boston, New York, and London are developing similar plans to clean their waterways and make them safe for swimming once again.

estuary
noun: the part of the mouth or lower course of a river in which the river’s current meets the sea’s tide

From the headlines: Florida Governor Ron DeSantis signed a bill that will ban oil drilling on the Apalachicola River. The river’s estuary is home to many endangered plants and animals, including the world’s largest stand of tupelo trees. The inlet is also the most important site in the state’s oyster industry. Environmentalists and fishermen supported the bill and pushed DeSantis to sign it.

Fun fact: A Latin word meaning “boiling of the sea” is the root of estuary.

gentrification
noun: the buying and renovation of property in urban neighborhoods in a way that often displaces low-income families and small businesses

From the headlines: Protesters in Mexico City say they’re angry about gentrification caused by large numbers of foreigners moving there since 2020. Locals say they have seen formerly affordable housing prices skyrocket as the numbers of short-term rentals and expats increase. Airbnb listings in the city have exploded to over 20,000, and Americans have arrived in particularly large numbers to buy and renovate houses. In the process, they say these factors have driven up costs for everyone, including local residents.

hedonism
noun: the doctrine that pleasure or happiness is the highest good

From the headlines: Researchers say there are six traits that make someone seem “cool” to others, including extroversion, power, and embracing hedonism. An American Psychological Association study surveyed 6,000 people in 12 countries and found a sharp division between people seen as “good” versus “cool.” Being hedonistic, for example, didn’t make someone seem “good,” but focusing on one’s own happiness and pleasure was strongly associated with appearing “cool.”

kayak
verb: to travel by a traditional Inuit or Yupik canoe with a skin cover on a light framework, or by a small boat resembling this

From the headlines: Several dozen Native American teens who spent a month kayaking the length of the Klamath River reached their destination. The group paddled their long, narrow boats about 300 miles, from Oregon to California, to celebrate the removal of four dams. The waterway holds a deep significance to Native American tribes, and many of the teens learned to kayak specifically to participate in the long paddle.

larceny
noun: the wrongful taking of someone’s property or goods

From the headlines: Atlanta police have identified a suspect in the theft of hard drives holding unreleased Beyoncé songs. Setlists and plans for concert footage were also stolen when the alleged thief broke into a vehicle rented by the singer’s team. The larceny occurred during a stop on her Cowboy Carter tour.

linchpin
noun: something that holds the various elements of a complicated structure together

From the headlines: The Department of Defense will stop supplying meteorologists with satellite data, which experts describe as a linchpin of storm modeling. Forecasts for hurricanes rely heavily on this military satellite feed to track storm paths and determine when people should evacuate.

matcha
noun: finely ground tea leaf powder used to make tea or as a flavoring, or the tea made from it

From the headlines: The worldwide demand for matcha is causing severe shortages and higher prices. The bright green, grassy-flavored, powdered tea has a long history in Japan, but its popularity in other countries has exploded in recent years. Drinks and baked goods made with matcha have become wildly popular, causing Japanese tea growers to struggle to keep up with the demand.

meteorite
noun: a mass of stone or metal that has reached the earth from outer space

From the headlines: On July 16, a bidder paid $4.3 million to own a chunk of Mars. The rare Martian meteorite, which weighs about 54 pounds, is the largest meteor fragment ever found on Earth that’s known to come from the red planet. Out of approximately 77,000 confirmed meteorites, only 400 were originally part of Mars. This one, named NWA 16788, was found in the Sahara Desert after its 140-million-mile journey through space.

monastery
noun: a residence occupied by a community of persons, especially monks, living in seclusion under religious vows

From the headlines: Tens of thousands of books are being removed from a medieval Hungarian monastery to save them from a beetle infestation. The Pannonhalma Archabbey contains Hungary’s oldest library and some of the country’s most ancient and valuable books and written records. The monastery was founded 1,000 years ago by Benedictines, and about fifty monks live there today, practicing religious contemplation and solitude.

nuptials
noun: a marriage ceremony, or a social event accompanying one

From the headlines: Protesters took to the streets in Venice as Amazon founder Jeff Bezos and Lauren Sanchez held their nuptials on a Venetian island, complete with 200 guests and three days of extravagant celebrations. Locals expressed outrage, saying the event placed additional strain on a city already struggling with overtourism and environmental fragility.

offering
noun: something presented to a deity as a symbol of devotion

From the headlines: Archaeologists discovered about 2,000 pottery offerings on the Greek island of Kythnos. Historians said the clay figures, which represent children, women, and animals, had been left by devoted worshippers over the centuries. Two ancient temples once stood on the site, as well as a pit where the objects given as gifts to the gods were eventually thrown away to make room for new offerings.

parody
noun: a humorous or satirical imitation of a serious piece of writing or art

From the headlines: Weird Al Yankovic, famed for his clever musical parodies, performed to a sold-out crowd at Madison Square Garden in New York, marking his first show at the iconic 20,000-seat venue. Over his forty-year career, Yankovic has become the most recognizable figure in the parody genre, with hits such as “Like a Surgeon,” a spoof of Madonna’s “Like a Virgin,” and “I Love Rocky Road,” a playful take on “I Love Rock ‘n Roll.”

perennial
adjective: arising repeatedly or always existing

From the headlines: Joey Chestnut, the perennial champion of the Nathan’s Famous Hot Dog Eating Contest, reclaimed his crown this year after missing last year’s competition. He was sidelined in 2024 due to a sponsorship deal with a vegan meat brand, but prior to that, Chestnut had claimed victory in 16 of the past 17 contests. He still holds the world record for devouring 76 hot dogs and buns in just 10 minutes in 2021.

philanthropist
noun: someone who makes charitable donations

From the headlines: Warren Buffett said he would donate $6 billion to five charitable foundations. The businessman and philanthropist, whose net worth is approximately $145 billion, has previously given more than $50 billion to the aforementioned foundations. While Buffet’s children will decide how to give away the rest of his fortune after his death, he said that more than 99 percent of it will have to be used philanthropically.

plunder
verb: to take wrongfully, as by pillage, robbery, or fraud

From the headlines: Experts assumed that a Stradivarius violin plundered after World War II had been lost or destroyed; now it appears to have resurfaced. The 316-year-old instrument was stolen from a Berlin bank safe during the chaos at the end of the war, and the family who owned it searched for decades before giving up. An image of the looted violin, which is valued at millions of dollars, was discovered among photos of Stradivarius instruments from a 2018 Tokyo exhibition.

risotto
noun: a dish of rice cooked with broth and flavored with grated cheese and other ingredients

From the headlines: The short-grain Italian rice that’s used to make risotto is under threat from an unusual culprit: flamingos. Flocks of the birds are settling into northern Italian rice paddies instead of their usual nesting grounds. By stirring the shallow water and rooting for mollusks, the flamingos are destroying many valuable rice crops.

skittish
adjective: easily frightened or extremely cautious

From the headlines: Economists report that despite a low unemployment rate, employers are increasingly skittish about hiring, leaving many recent college graduates struggling to find jobs. Numerous tech companies, consulting firms, and federal agencies are cutting back or freezing hiring, while other industries are hesitant to increase payroll expenses. Furthermore, fewer workers are quitting, limiting job openings even more.

synthetic
adjective: pertaining to compounds formed through a chemical process by human agency, as opposed to those of natural origin

From the headlines: The J.M. Smucker Company has announced it will phase out synthetic dyes from its jams and other offerings. While many of its products are already made without artificial colors, some, including sugar-free jams and Hostess snacks like Twinkies and Snoballs, still rely on them. The company intends to use naturally sourced dyes by 2027.

tandem
adverb: one following or behind the other

From the headlines: Researchers were surprised by video evidence of animals that are normally at odds traveling in tandem. A night-vision camera recorded an ocelot traveling peacefully behind an opossum — a surprise, since ocelots usually prey on opossums. Later footage showed the opossum trailing the ocelot as it prowled. Other researchers have since reported at least three additional examples of such behavior.

© 2025, Aakkhra, All rights reserved.

“OpenSSL 3.6 เปิดตัวอย่างเป็นทางการ — เสริมความปลอดภัยยุคหลังควอนตัม พร้อมฟีเจอร์ใหม่ระดับองค์กร”

OpenSSL 3.6 ได้รับการเปิดตัวเมื่อวันที่ 1 ตุลาคม 2025 โดยถือเป็นการอัปเดตครั้งใหญ่ของไลบรารีเข้ารหัสยอดนิยมที่ใช้ในเว็บไซต์ แอปพลิเคชัน และระบบเครือข่ายทั่วโลก เวอร์ชันนี้มาพร้อมฟีเจอร์ใหม่ที่ตอบโจทย์ทั้งความปลอดภัยระดับสูงและการเตรียมพร้อมสำหรับยุคหลังควอนตัม (post-quantum cryptography)

หนึ่งในไฮไลต์สำคัญคือการรองรับการตรวจสอบลายเซ็น LMS (Leighton-Micali Signature) ตามมาตรฐาน NIST SP 800-208 ซึ่งเป็นลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุคที่คอมพิวเตอร์ควอนตัมอาจทำลายระบบเข้ารหัสแบบเดิมได้ โดย LMS รองรับทั้งในโหมด FIPS และโหมดทั่วไป

OpenSSL 3.6 ยังเพิ่มการรองรับคีย์แบบ opaque symmetric key objects ผ่านฟังก์ชันใหม่ เช่น EVP_KDF_CTX_set_SKEY() และ EVP_PKEY_derive_SKEY() ซึ่งช่วยให้การจัดการคีย์ในระบบองค์กรมีความปลอดภัยมากขึ้น

นอกจากนี้ยังมีฟีเจอร์ใหม่อีกมากมาย เช่น:
เครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
รองรับการคอมไพล์ด้วย C99 (ไม่รองรับ ANSI-C อีกต่อไป)
เพิ่มการตรวจสอบ PCT (Power-On Self Test) สำหรับการนำเข้าคีย์ในโหมด FIPS
รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตามมาตรฐาน RFC 9629
เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
เพิ่มการปรับแต่งหน่วยความจำปลอดภัยด้วย CRYPTO_MEM_SEC
ปรับปรุงประสิทธิภาพด้วย Intel AVX-512 และ VAES สำหรับ AES-CFB128
รองรับ AES-CBC+HMAC-SHA แบบ interleaved บน AArch64
เพิ่ม SHA-2 assembly สำหรับสถาปัตยกรรม LoongArch
เพิ่ม API ใหม่ CRYPTO_THREAD_[get|set]_local ลดการพึ่งพาตัวแปร thread-local ของระบบปฏิบัติการ

OpenSSL 3.6 ยังลบการรองรับแพลตฟอร์ม VxWorks และยกเลิกการใช้งานฟังก์ชัน EVP_PKEY_ASN1_METHOD ที่ล้าสมัย พร้อมเพิ่มการตรวจสอบขนาด buffer ในการเข้ารหัส RSA เพื่อป้องกันการเขียนข้อมูลเกินขอบเขต

ข้อมูลสำคัญจากข่าว
OpenSSL 3.6 เปิดตัวเมื่อ 1 ตุลาคม 2025 เป็นการอัปเดตใหญ่ของไลบรารีเข้ารหัส
รองรับ LMS signature verification ตามมาตรฐาน SP 800-208 ทั้งใน FIPS และโหมดทั่วไป
เพิ่มการรองรับ EVP_SKEY สำหรับการจัดการคีย์แบบ opaque
เปิดตัวเครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
รองรับการคอมไพล์ด้วย C99 ไม่รองรับ ANSI-C อีกต่อไป
เพิ่ม PCT สำหรับการนำเข้าคีย์ใน RSA, EC, ECX และ SLH-DSA
รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตาม RFC 9629
เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
เพิ่ม CRYPTO_MEM_SEC สำหรับจัดการหน่วยความจำปลอดภัย
ปรับปรุงประสิทธิภาพด้วย AVX-512, VAES และ SHA-2 assembly
รองรับ AES-CBC+HMAC-SHA บน AArch64
เพิ่ม API CRYPTO_THREAD_[get|set]_local ลดการพึ่งพา OS thread-local
ลบการรองรับ VxWorks และยกเลิกฟังก์ชัน EVP_PKEY_ASN1_METHOD

ข้อมูลเสริมจากภายนอก
LMS เป็นหนึ่งในลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุค post-quantum
ML-KEM เป็นอัลกอริธึมเข้ารหัสแบบ KEM ที่ใช้ในมาตรฐาน CMS รุ่นใหม่
FIPS 140-3 เป็นมาตรฐานความปลอดภัยที่เข้มงวดสำหรับระบบที่ใช้ในภาครัฐสหรัฐฯ
การใช้ deterministic ECDSA ช่วยลดความเสี่ยงจากการใช้ nonce ซ้ำ
OCSP multi-stapling ช่วยให้เซิร์ฟเวอร์ส่งข้อมูลการตรวจสอบใบรับรองหลายใบพร้อมกัน

https://9to5linux.com/openssl-3-6-officially-released-with-lms-signature-verification-support-more

“Django ออกแพตช์ด่วน! อุดช่องโหว่ SQL Injection ร้ายแรงใน MySQL/MariaDB พร้อมเตือนภัย Directory Traversal”

ทีมพัฒนา Django ได้ออกอัปเดตความปลอดภัยครั้งสำคัญในวันที่ 1 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่สองรายการที่ส่งผลกระทบต่อระบบฐานข้อมูลและการตั้งค่าโปรเจกต์ โดยเฉพาะช่องโหว่ CVE-2025-59681 ซึ่งถูกจัดอยู่ในระดับ “ร้ายแรง” เนื่องจากเปิดทางให้ผู้โจมตีสามารถฝังคำสั่ง SQL ผ่านฟังก์ชันยอดนิยมของ Django ORM ได้แก่ annotate(), alias(), aggregate() และ extra() เมื่อใช้งานร่วมกับฐานข้อมูล MySQL หรือ MariaDB

ช่องโหว่นี้เกิดจากการใช้ dictionary expansion (**kwargs) ที่ไม่ผ่านการตรวจสอบอย่างเหมาะสม ทำให้ attacker สามารถส่ง key ที่มีคำสั่ง SQL แฝงเข้าไปเป็น column alias ได้โดยตรง เช่น malicious_alias; DROP TABLE users; -- ซึ่งจะถูกแปลเป็นคำสั่ง SQL และรันทันทีหากระบบไม่มีการป้องกัน

อีกหนึ่งช่องโหว่ CVE-2025-59682 แม้จะมีความรุนแรงต่ำกว่า แต่ก็อันตรายไม่น้อย โดยเกิดจากฟังก์ชัน django.utils.archive.extract() ที่ใช้ในการสร้างโปรเจกต์หรือแอปผ่าน template ซึ่งสามารถถูกใช้เพื่อโจมตีแบบ directory traversal ได้ หากไฟล์ใน archive มี path ที่คล้ายกับโฟลเดอร์เป้าหมาย เช่น ../../config.py อาจทำให้ไฟล์สำคัญถูกเขียนทับได้

Django ได้ออกแพตช์ในเวอร์ชัน 5.2.7, 5.1.13 และ 4.2.25 รวมถึงสาขา main และ 6.0 alpha โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันที และสำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ควรตรวจสอบโค้ดที่ใช้ฟังก์ชันดังกล่าว และหลีกเลี่ยงการใช้ template ที่ไม่ได้รับความไว้วางใจ

ข้อมูลสำคัญจากข่าว
Django ออกแพตช์แก้ไขช่องโหว่ CVE-2025-59681 และ CVE-2025-59682
CVE-2025-59681 เป็นช่องโหว่ SQL Injection ในฟังก์ชัน ORM เช่น annotate(), alias(), aggregate(), extra()
ช่องโหว่นี้เกิดจากการใช้ dictionary expansion (**kwargs) ที่ไม่ผ่านการตรวจสอบ
ส่งผลเฉพาะกับฐานข้อมูล MySQL และ MariaDB ไม่กระทบ PostgreSQL หรือ SQLite
CVE-2025-59682 เป็นช่องโหว่ directory traversal ในฟังก์ชัน extract() ที่ใช้ใน startapp และ startproject
Django ออกแพตช์ในเวอร์ชัน 5.2.7, 5.1.13, 4.2.25 และสาขา main/6.0 alpha
แนะนำให้อัปเดตทันที หรือหลีกเลี่ยงการใช้ template ที่ไม่ปลอดภัย

ข้อมูลเสริมจากภายนอก
Django ORM เป็นหนึ่งในจุดแข็งของ framework ที่ช่วยป้องกัน SQL injection ได้ดี แต่ช่องโหว่นี้หลุดจากการตรวจสอบ alias
การใช้ dictionary ที่มี key จาก user input เป็นความเสี่ยงที่พบได้บ่อยในระบบ dynamic query
Directory traversal เป็นเทคนิคที่ใช้ path เช่น ../ เพื่อเข้าถึงไฟล์นอกโฟลเดอร์เป้าหมาย
ช่องโหว่ลักษณะนี้สามารถใช้ร่วมกับ template ที่ฝังมัลแวร์เพื่อโจมตีในขั้นตอน setup
Django มีระบบแจ้งช่องโหว่ผ่านอีเมล security@djangoproject.com เพื่อให้แก้ไขได้รวดเร็ว

https://securityonline.info/django-security-alert-high-severity-sql-injection-flaw-cve-2025-59681-fixed-in-latest-updates/

“Rhadamanthys v0.9.2 กลับมาอีกครั้ง — มัลแวร์ขโมยข้อมูลที่ฉลาดขึ้น ซ่อนตัวในไฟล์ PNG พร้อมหลบการวิเคราะห์แบบมืออาชีพ”

มัลแวร์ Rhadamanthys Stealer ซึ่งเปิดตัวครั้งแรกในปี 2022 ได้กลับมาอีกครั้งในเวอร์ชันใหม่ v0.9.2 พร้อมความสามารถที่อันตรายและซับซ้อนมากขึ้น โดยเวอร์ชันล่าสุดนี้ถูกใช้ในแคมเปญ ClickFix และมีการปรับปรุงหลายด้านเพื่อให้หลบเลี่ยงการตรวจจับและการวิเคราะห์จากนักวิจัยด้านความปลอดภัยได้ดีขึ้น

หนึ่งในเทคนิคใหม่ที่โดดเด่นคือการซ่อน payload ในไฟล์ภาพ PNG ที่ดู “มีสัญญาณรบกวน” ซึ่งต่างจากเวอร์ชันก่อนที่ใช้ไฟล์ WAV หรือ JPG เป็นตัวบรรจุโค้ด โดยไฟล์ PNG เหล่านี้จะบรรจุโมดูลขั้นถัดไปของมัลแวร์ไว้ภายใน ทำให้การตรวจจับด้วยเครื่องมือทั่วไปยากขึ้น

นอกจากนี้ Rhadamanthys ยังเพิ่มฟีเจอร์ใหม่ เช่น

การตรวจสอบ sandbox ผ่าน wallpaper hash และ hardware ID
การ inject โค้ดเข้าโปรเซสที่กำหนดไว้ล่วงหน้า
การขยาย Lua plugin ให้รองรับการขโมยข้อมูลจากแอปกระเป๋าเงินคริปโต เช่น Ledger Live
การเก็บข้อมูล fingerprint ของเบราว์เซอร์ผ่านโมดูล fingerprint.js เช่น WebGL, ฟอนต์ที่ติดตั้ง, และข้อมูลระบบ

ผู้พัฒนา Rhadamanthys ยังเปิดตัวเว็บไซต์บน Tor ที่มีการรีแบรนด์ใหม่ภายใต้ชื่อ “RHAD Security” และ “Mythical Origin Labs” พร้อมขายผลิตภัณฑ์อื่น ๆ เช่น Elysium Proxy Bot และบริการเข้ารหัสข้อมูล โดยมีแพ็กเกจเริ่มต้นที่ $299 ต่อเดือน และแบบองค์กรที่ปรับแต่งได้ตามต้องการ

นักวิจัยจาก Check Point Research ระบุว่า Rhadamanthys กำลังกลายเป็น “ธุรกิจไซเบอร์เต็มรูปแบบ” มากกว่าการเป็นโปรเจกต์ของแฮกเกอร์ทั่วไป และหากพัฒนาต่อไปในทิศทางนี้ เวอร์ชัน 1.0 อาจกลายเป็นแพลตฟอร์มมัลแวร์ที่เสถียรและทรงพลังที่สุดในกลุ่ม stealer

ข้อมูลสำคัญจากข่าว
Rhadamanthys Stealer v0.9.2 เปิดตัวพร้อมฟีเจอร์ใหม่ที่ซับซ้อนและหลบการวิเคราะห์ได้ดีขึ้น
ใช้ไฟล์ PNG ที่มีสัญญาณรบกวนเป็นตัวบรรจุ payload แทน WAV/JPG
เพิ่มการตรวจสอบ sandbox ผ่าน wallpaper hash, username และ hardware ID
รองรับ targeted process injection เพื่อหลบการป้องกันของระบบ
ขยาย Lua plugin ให้รองรับการขโมยข้อมูลจากแอปคริปโต เช่น Ledger Live
ใช้ fingerprint.js เพื่อเก็บข้อมูลเบราว์เซอร์และระบบ เช่น WebGL และฟอนต์
เปิดตัวเว็บไซต์ Tor ภายใต้ชื่อ RHAD Security และ Mythical Origin Labs
ขายผลิตภัณฑ์มัลแวร์แบบ subscription เริ่มต้นที่ $299 ต่อเดือน

ข้อมูลเสริมจากภายนอก
Rhadamanthys เป็นมัลแวร์แบบ multi-modular ที่สามารถขโมยข้อมูลจาก VPN, 2FA, messenger และ crypto wallets
ใช้เทคนิค anti-analysis เช่นการแสดงกล่องข้อความ “Do you want to run a malware?” หากรันในสภาพแวดล้อมที่ไม่ปลอดภัย
ใช้ executable format แบบ XS ที่ออกแบบมาให้หลบเครื่องมือวิเคราะห์รุ่นเก่า
config blob ถูกปรับใหม่ให้เริ่มต้นด้วย 0xBEEF แทน !RHY และรองรับหลาย C2 address
มีการลงทุนต่อเนื่องในโครงสร้างมัลแวร์เพื่อให้ใช้งานได้ยาวนานและมีเสถียรภาพ

https://securityonline.info/rhadamanthys-stealer-v0-9-2-drops-new-png-payloads-and-anti-analysis-tricks-make-malware-deadlier/

“จีนส่งออกเครื่องบินรบเพิ่มขึ้น — เมื่อ J-10C และ JF-17 กลายเป็นตัวเลือกใหม่ของประเทศกำลังพัฒนา”

ในอดีต จีนเคยเป็นผู้รับเทคโนโลยีทางทหารจากโซเวียต แต่หลังจากการล่มสลายของสหภาพโซเวียต จีนได้พัฒนาอุตสาหกรรมการบินของตนเองอย่างต่อเนื่อง จนกลายเป็นหนึ่งในผู้ผลิตเครื่องบินรบที่มีความสามารถสูงในระดับโลก โดยมีโมเดลเด่นอย่าง Chengdu J-10, JF-17 Thunder, Shenyang J-16, J-35 และ J-20

แม้เครื่องบินรบจีนส่วนใหญ่จะใช้ภายในประเทศ แต่ในช่วงไม่กี่ปีที่ผ่านมา จีนเริ่มส่งออกเครื่องบินรบไปยังหลายประเทศ โดยเฉพาะประเทศกำลังพัฒนาในเอเชียและแอฟริกา เช่น ปากีสถาน บังกลาเทศ เมียนมา ซูดาน แซมเบีย แทนซาเนีย และซิมบับเว

ปากีสถานถือเป็นพันธมิตรหลักของจีนในด้านการทหาร โดยมีการใช้งานเครื่องบินรบจีนหลายรุ่น เช่น F-7 จำนวน 72 ลำ, J-10C จำนวน 20 ลำ และ JF-17 Thunder จำนวน 123 ลำ ซึ่งรุ่นหลังนี้เป็นการพัฒนาร่วมกันระหว่างจีนและปากีสถาน และผลิตในประเทศปากีสถานเอง

บังกลาเทศใช้ Chengdu F-7 จำนวน 36 ลำ ส่วนเมียนมาใช้งาน F-7 และ FTC-2000 สำหรับฝึกบิน ขณะที่ซูดานกำลังอยู่ในขั้นตอนการจัดซื้อ J-10CE ซึ่งเป็นรุ่นส่งออกของ J-10C โดยมีรายงานว่าอาจได้รับเครื่องชุดแรกภายในปีนี้

แม้จีนจะยังไม่เป็นผู้นำด้านการส่งออกเครื่องบินรบเทียบเท่าสหรัฐฯ (ซึ่งมีคำสั่งซื้อกว่า 996 ลำในปี 2024) แต่ก็มีแนวโน้มเติบโต โดยเฉพาะในกลุ่มประเทศที่ต้องการอาวุธราคาถูกและไม่มีเงื่อนไขทางการเมืองแบบที่ผู้ผลิตตะวันตกมักกำหนด

ข้อมูลสำคัญจากข่าว
จีนพัฒนาเครื่องบินรบของตนเอง เช่น J-10, JF-17, J-16, J-35 และ J-20
ปากีสถานเป็นผู้นำเข้าหลักของเครื่องบินรบจีน เช่น F-7, J-10C และ JF-17
JF-17 ผลิตในปากีสถาน โดยร่วมพัฒนากับ Chengdu Aircraft Corporation
บังกลาเทศใช้ F-7 จำนวน 36 ลำ ส่วนเมียนมาใช้ F-7 และ FTC-2000
ซูดานอยู่ระหว่างจัดซื้อ J-10CE และอาจได้รับเครื่องชุดแรกภายในปีนี้
ประเทศในแอฟริกา เช่น แซมเบีย แทนซาเนีย และซิมบับเว ใช้ F-7 และ K-8 สำหรับฝึกบิน
จีนยังไม่เป็นผู้นำด้านการส่งออกเครื่องบินรบ โดยมีคำสั่งซื้อเพียง 57 ลำในปี 2024
สหรัฐฯ ยังคงเป็นผู้นำด้วยคำสั่งซื้อ 996 ลำ ตามด้วยฝรั่งเศสและรัสเซีย

ข้อมูลเสริมจากภายนอก
J-10CE เป็นรุ่นส่งออกของ J-10C ที่มีความสามารถ multirole และใช้ขีปนาวุธ PL-15
J-20 ถูกห้ามส่งออก เช่นเดียวกับ F-22 ของสหรัฐฯ
ประเทศอย่างอียิปต์และ UAE สนใจเครื่องบินรบจีน หลังถูกปฏิเสธการขาย F-35 จากสหรัฐฯ
จีนเสนออาวุธราคาถูกและไม่มีเงื่อนไขทางการเมือง ทำให้เป็นทางเลือกสำหรับประเทศกำลังพัฒนา
การส่งออกอาวุธของจีนช่วยสร้างพันธมิตรและขยายอิทธิพลทางภูมิรัฐศาสตร์

https://www.slashgear.com/1978439/which-countries-use-chinese-fighter-jets/