🏆🐾 Chewy ครองแชมป์ร้านค้าออนไลน์ที่ลูกค้าพึงพอใจที่สุดในสหรัฐฯ ปี 2025 แซงหน้า Amazon และ eBay จากการจัดอันดับของ American Customer Satisfaction Index (ACSI) ประจำปี 2025 Chewy ได้รับคะแนนสูงสุดด้านความพึงพอใจของลูกค้าในหมวดร้านค้าออนไลน์ ด้วยคะแนน 85 แซงหน้า Amazon (83) และ eBay (81) อย่างน่าประทับใจ แม้ Amazon จะครองส่วนแบ่งตลาดอีคอมเมิร์ซในแง่ยอดขาย แต่เมื่อพูดถึง “ความพึงพอใจของลูกค้า” กลับเป็น Chewy ที่คว้าอันดับหนึ่งติดต่อกันเป็นปีที่สาม ACSI ซึ่งเป็นองค์กรวัดความพึงพอใจระดับประเทศในสหรัฐฯ ใช้แบบสอบถามวิเคราะห์ 3 ปัจจัยหลัก ได้แก่: 🎗️ คุณภาพและความน่าเชื่อถือของแอปหรือเว็บไซต์ 🎗️ ความง่ายในการใช้งานและขั้นตอนชำระเงิน 🎗️ ความพร้อมของสินค้าและตัวเลือกการจัดส่ง Chewy ได้คะแนนสูงสุดในทุกหมวด โดยเฉพาะด้าน “ประสบการณ์ลูกค้า” เช่น การส่งอีการ์ดวันเกิดให้สัตว์เลี้ยงของลูกค้า หรือการให้บริการแชทสดที่ตอบสนองอย่างรวดเร็ว ผู้เชี่ยวชาญมองว่า “ความใส่ใจในรายละเอียดเล็ก ๆ” คือสิ่งที่ทำให้ Chewy แตกต่างจากคู่แข่ง แม้จะไม่มีร้านค้าจริง แต่ก็สามารถสร้างความสัมพันธ์ที่แน่นแฟ้นกับลูกค้าได้ ✅ ผลการจัดอันดับ ACSI ปี 2025 ➡️ Chewy ได้คะแนน 85 (เพิ่มขึ้นจาก 84 ในปี 2024) ➡️ Amazon ได้ 83 ➡️ eBay ได้ 81 ✅ ปัจจัยที่ทำให้ Chewy ได้คะแนนสูง ➡️ แอปและเว็บไซต์ใช้งานง่าย ➡️ การจัดส่งรวดเร็วและแม่นยำ ➡️ การบริการลูกค้าแบบ “มีหัวใจ” เช่น ส่งอีการ์ดวันเกิดให้สัตว์เลี้ยง ➡️ คำอธิบายสินค้าและภาพประกอบชัดเจน ✅ บริบทของตลาดอีคอมเมิร์ซ ➡️ ปี 2024 ยอดขายกว่า 81% ยังมาจากร้านค้าจริง แต่ลดลงจาก 92% เมื่อ 10 ปีก่อน ➡️ คาดว่าอีคอมเมิร์ซจะครอง 27% ของยอดขายค้าปลีกทั้งหมดภายในปี 2027 ➡️ ผู้บริโภคให้ความสำคัญกับความสะดวก ความหลากหลาย และราคาที่คุ้มค่า https://www.slashgear.com/2008353/best-online-retailer-why-chewy-ranked-number-one/

For those looking to check FESCO Bill Online visit website: https://fscobill.pk/

🚨🔓 ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ! ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้ ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ: 🪲 ผู้โจมตีไม่จำเป็นต้องล็อกอิน 🪲 สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ 🪲 คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที 🪲 ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน ✅ รายละเอียดช่องโหว่ CVE-2025-11833 ➡️ ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ➡️ เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล ➡️ สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ ➡️ คะแนน CVSS 9.8 (ระดับวิกฤต) ✅ ผลกระทบต่อเว็บไซต์ WordPress ➡️ เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ ➡️ ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี ➡️ มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา ✅ วิธีป้องกันและแก้ไข ➡️ อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที ➡️ ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่ ➡️ เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้ ➡️ ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/

🎙️ เล่าให้ฟัง: เมื่ออีโมจิไม่ใช่แค่สื่ออารมณ์ แต่กลายเป็นรหัสลับของอาชญากร ในยุคที่อีโมจิกลายเป็นภาษาที่สองของคนรุ่นใหม่ ตำรวจออสเตรเลียพบว่าอีโมจิและสแลงออนไลน์ถูกใช้เป็น “รหัสลับ” ในการวางแผนก่ออาชญากรรม โดยเฉพาะในกลุ่มวัยรุ่นที่เรียกกันว่า “crimefluencers” — กลุ่มเยาวชนที่ถูกชักจูงเข้าสู่เครือข่ายความรุนแรงผ่านโซเชียลมีเดีย ผู้บัญชาการ AFP, Krissy Barrett เผยว่า กลุ่มเหล่านี้ไม่มีผู้นำที่ชัดเจน แต่มีเป้าหมายร่วมกันคือ “ความวุ่นวายและความรุนแรง” โดยเฉพาะต่อเด็กหญิงวัยรุ่น พวกเขาใช้แอปเข้ารหัสและอีโมจิ เช่น 💀 (ซึ่งอาจหมายถึง “ตาย” หรือ “ขำจนตาย”) หรือ 🍕 (ที่อาจหมายถึงพิซซ่าจริง ๆ หรือเป็นรหัสส่งยา) เพื่อสื่อสารกันอย่างแนบเนียน เพื่อรับมือกับภัยคุกคามนี้ AFP กำลังพัฒนา AI แบบ multimodal ที่สามารถแยกแยะความหมายของอีโมจิและสแลงตามบริบท โดยใช้โมเดล NLP อย่าง BERT ที่เรียนรู้จากข้อมูลโซเชียลมีเดีย เช่น TikTok, Instagram และข้อมูลจากคดีจริง เพื่อให้ AI เข้าใจความหมายที่เปลี่ยนแปลงตลอดเวลา นอกจากนี้ AFP ยังร่วมมือกับกลุ่ม Five Eyes Law Enforcement (สหรัฐฯ, อังกฤษ, แคนาดา, นิวซีแลนด์) และใช้เทคนิคนิติวิทยาศาสตร์แบบใหม่ เช่น การวิเคราะห์มือถือที่ฝังอยู่กับศพ เพื่อประเมินเวลาการเสียชีวิต ✅ AFP พัฒนา AI ถอดรหัสอีโมจิและสแลงของ Gen Z และ Gen Alpha ➡️ ใช้ในแอปแชตเข้ารหัสและกลุ่มออนไลน์ ➡️ เป้าหมายคือกลุ่ม “crimefluencers” ที่ใช้โซเชียลในการวางแผนก่อเหตุ ✅ ลักษณะของกลุ่ม crimefluencers ➡️ ไม่มีผู้นำชัดเจน แต่มีแนวคิดร่วม เช่น ความรุนแรงและอนาธิปไตย ➡️ ใช้สื่อออนไลน์ล่อลวงวัยรุ่นให้เข้าร่วม โดยบางครั้งต้อง “พิสูจน์ตัว” ด้วยการทำร้ายตัวเอง ✅ ตัวอย่างการใช้ AI ➡️ แยกแยะอีโมจิที่มีความหมายหลากหลาย เช่น 💀 หรือ 🍕 ➡️ ใช้ language embeddings เพื่อจับบริบท เช่น “pizza drop tonight?” + 🩸 ✅ ความร่วมมือและเทคนิคเสริม ➡️ ทำงานร่วมกับ Five Eyes Law Enforcement Group ➡️ ใช้เทคนิค forensic ใหม่ เช่น วิเคราะห์มือถือที่ฝังกับศพเพื่อประเมินเวลาการตาย https://www.tomshardware.com/tech-industry/artificial-intelligence/australias-police-will-soon-start-to-use-ai-to-curb-online-crime-emoji-slang-will-be-decoded-and-translated-for-investigators-to-better-understand-crimefluencers

🧭 “CISO ข้ามอุตสาหกรรมได้ไหม? ถอดรหัสทักษะที่ยืดหยุ่นและความเสี่ยงที่ต้องรู้” ลองจินตนาการว่าคุณเป็น CISO (Chief Information Security Officer) ที่มีประสบการณ์แน่นในสายงานไอทีขององค์กรขนาดใหญ่ วันหนึ่งคุณอยากเปลี่ยนไปทำงานในอุตสาหกรรมใหม่ เช่น จากสายการเงินไปสายสุขภาพ หรือจากเทคโนโลยีไปค้าปลีก…ฟังดูง่ายใช่ไหม? แต่ในความเป็นจริง มันไม่ง่ายอย่างที่คิด หลายคนพบว่าการย้ายข้ามอุตสาหกรรมเป็นเรื่องยาก เพราะผู้บริหารและบริษัทมักมองว่าทักษะของ CISO นั้นเฉพาะเจาะจงกับอุตสาหกรรมเดิม เช่น ถ้าคุณเคยทำในสายธนาคาร ก็จะถูกมองว่าเหมาะกับงานในสายธนาคารเท่านั้น แต่ก็มีคนที่ทำได้สำเร็จ เช่น Marc Ashworth จาก First Bank ที่เคยผ่านงานในอุตสาหกรรมอวกาศ สุขภาพ และการเงิน เขาใช้ประสบการณ์จากการเป็นที่ปรึกษาในการสร้างทักษะที่ยืดหยุ่น และสามารถปรับตัวได้กับทุกบริบท Tim Youngblood อดีต CISO ของ Dell ก็เช่นกัน เขาเริ่มต้นจากการเป็นที่ปรึกษา KPMG ทำให้ได้สัมผัสกับหลายอุตสาหกรรมตั้งแต่ต้น และเรียนรู้ว่า “หลักการด้านความปลอดภัยนั้นเหมือนกันทุกที่ ต่างกันแค่บริบท” นอกจากนี้ ยังมีคำแนะนำจากผู้เชี่ยวชาญด้านการสรรหาบุคลากรว่า หากคุณไม่มีประสบการณ์ที่ปรึกษา ก็สามารถเริ่มจากการย้ายไปอุตสาหกรรมที่มีโครงสร้างคล้ายกัน เช่น จากเภสัชกรรมไปสุขภาพ เพราะทั้งสองอยู่ในระบบที่มีการกำกับดูแลสูง สิ่งสำคัญคือ “การแสดงให้เห็นว่าคุณเข้าใจความเสี่ยงในอุตสาหกรรมใหม่ และสามารถจัดการได้” เช่น Michael Meline ที่เคยเป็นตำรวจมาก่อน แล้วเปลี่ยนสายมาเป็นผู้บริหารด้านความปลอดภัยในธุรกิจการเงินและสุขภาพ โดยใช้หลักการบริหารความเสี่ยงเป็นแกนหลัก ✅ ทักษะที่ถ่ายโอนได้คือหัวใจของการเปลี่ยนอุตสาหกรรม ➡️ การเป็นที่ปรึกษาให้หลายองค์กรช่วยสร้างความเข้าใจในหลายบริบท ➡️ หลักการด้านความปลอดภัยมีความคล้ายกันในหลายอุตสาหกรรม ➡️ การเข้าร่วมกลุ่ม ISACs (Information Sharing and Analysis Centers) ช่วยให้เข้าใจปัญหาเฉพาะของแต่ละอุตสาหกรรม ➡️ การย้ายจากอุตสาหกรรมที่มีโครงสร้างคล้ายกันเป็นจุดเริ่มต้นที่ดี เช่น จากเภสัชกรรมไปสุขภาพ ✅ การแสดงผลลัพธ์ที่จับต้องได้ช่วยให้ผู้สรรหามองเห็นคุณค่า ➡️ ต้องอธิบายให้ได้ว่าเคยทำอะไร มีผลกระทบอย่างไร และจะนำมาปรับใช้ในบริบทใหม่ได้อย่างไร ➡️ การเข้าใจโครงสร้างองค์กรและภัยคุกคามเฉพาะของอุตสาหกรรมใหม่เป็นสิ่งจำเป็น ‼️ ความเสี่ยงในการถูกมองว่า “เหมาะกับอุตสาหกรรมเดียว” ⛔ อาจทำให้โอกาสในการเปลี่ยนสายงานลดลง ⛔ ผู้บริหารบางคนยังยึดติดกับแนวคิด “อยู่ในสายไหนก็ต้องอยู่ในสายนั้น” ‼️ การไม่เข้าใจความเสี่ยงเฉพาะของอุตสาหกรรมใหม่ ⛔ อาจทำให้ขาดความน่าเชื่อถือในการบริหารความปลอดภัย ⛔ ส่งผลต่อการตัดสินใจรับเข้าทำงานในองค์กรใหม่ ถ้าคุณกำลังคิดจะเปลี่ยนสายงานในระดับ CISO หรือผู้บริหารด้านความปลอดภัย ข้อคิดสำคัญคือ “อย่าขายแค่ตำแหน่งเดิม แต่ต้องขายผลลัพธ์และความเข้าใจในความเสี่ยง” แล้วคุณจะมีโอกาสข้ามอุตสาหกรรมได้อย่างมั่นใจ 💼✨ https://www.csoonline.com/article/4079956/tips-for-cisos-switching-between-industries.html

🕵️‍♂️ Bronze Butler โจมตีองค์กรผ่านช่องโหว่ Zero-Day ใน Lanscope — แฮกเกอร์จีนใช้ช่องทางควบคุมระบบแบบลับๆ กลุ่ม APT จากจีนชื่อ Bronze Butler ถูกพบว่าใช้ช่องโหว่ Zero-Day ในซอฟต์แวร์ Lanscope เพื่อลอบควบคุมระบบขององค์กรในญี่ปุ่น โดยไม่ต้องใช้มัลแวร์หรือไฟล์ใดๆ — เป็นการโจมตีแบบ “fileless” ที่ยากต่อการตรวจจับ Lanscope เป็นซอฟต์แวร์ที่ใช้ในองค์กรเพื่อควบคุมและตรวจสอบอุปกรณ์ภายในเครือข่าย เช่น การล็อกการใช้งาน USB หรือการตรวจสอบการเข้าเว็บไซต์ ล่าสุดพบว่ามีช่องโหว่ Zero-Day ที่เปิดให้ผู้โจมตีสามารถใช้ API ภายในเพื่อควบคุมระบบได้โดยไม่ต้องติดตั้งมัลแวร์ใดๆ กลุ่ม Bronze Butler ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ได้ใช้ช่องโหว่นี้ในการโจมตีองค์กรในญี่ปุ่น โดยใช้เทคนิค “living off the land” คือการใช้เครื่องมือที่มีอยู่ในระบบ เช่น PowerShell หรือ WMI เพื่อควบคุมเครื่องเป้าหมายโดยไม่ทิ้งร่องรอย การโจมตีนี้ไม่ต้องใช้ไฟล์หรือ payload แบบเดิมๆ ทำให้ระบบป้องกันไวรัสหรือ EDR ตรวจจับได้ยากมาก และสามารถแฝงตัวในระบบได้นานโดยไม่ถูกพบ นักวิจัยด้านความปลอดภัยแนะนำให้องค์กรที่ใช้ Lanscope ตรวจสอบการเรียกใช้งาน API ภายใน และอัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ พร้อมทั้งเสริมระบบตรวจสอบพฤติกรรมที่ผิดปกติในเครือข่าย 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 “Living off the land” คือเทคนิคที่แฮกเกอร์ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ 💠 Fileless attack เป็นรูปแบบการโจมตีที่ไม่ใช้ไฟล์ ทำให้ระบบป้องกันแบบ signature-based ไม่สามารถตรวจจับได้ 💠 Bronze Butler เคยถูกจับตาในกรณีโจมตีหน่วยงานรัฐบาลและบริษัทเทคโนโลยีในญี่ปุ่นตั้งแต่ปี 2016 ✅ ช่องโหว่ Zero-Day ใน Lanscope ➡️ เปิดให้ควบคุมระบบผ่าน API ภายใน ➡️ ไม่ต้องใช้ไฟล์หรือมัลแวร์ในการโจมตี ➡️ เป็นการโจมตีแบบ fileless ที่ยากต่อการตรวจจับ ✅ กลุ่มผู้โจมตี: Bronze Butler ➡️ เป็นกลุ่ม APT ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ➡️ มีประวัติการโจมตีองค์กรในญี่ปุ่นและเอเชียตะวันออก ➡️ ใช้เทคนิค “living off the land” เพื่อหลบเลี่ยงการตรวจจับ ✅ วิธีการโจมตี ➡️ ใช้ PowerShell, WMI และ API ภายในของ Lanscope ➡️ ไม่ต้องติดตั้งโปรแกรมเพิ่ม ➡️ ควบคุมระบบจากระยะไกลโดยไม่ทิ้งร่องรอย ‼️ ความเสี่ยงต่อองค์กร ⛔ ระบบตรวจสอบทั่วไปอาจไม่สามารถตรวจจับได้ ⛔ อาจถูกควบคุมโดยไม่รู้ตัวเป็นเวลานาน ⛔ ข้อมูลสำคัญอาจถูกขโมยหรือเปลี่ยนแปลง ‼️ ข้อควรระวังสำหรับผู้ใช้ Lanscope ⛔ ควรตรวจสอบการเรียกใช้งาน API ที่ผิดปกติ ⛔ อัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ ⛔ เสริมระบบตรวจสอบพฤติกรรมในเครือข่าย เช่น UEBA หรือ XDR https://securityonline.info/chinese-apt-bronze-butler-exploits-lanscope-zero-day-for-system-control/

🚨 CISA เตือนภัย! ช่องโหว่ XWiki และ VMware ถูกโจมตีจริงแล้ว — องค์กรต้องเร่งอุดช่องโหว่ทันที หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเตือนว่าช่องโหว่ใน XWiki และ VMware กำลังถูกใช้โจมตีอย่างต่อเนื่องในโลกจริง พร้อมแนะนำให้องค์กรรีบอัปเดตแพตช์และตรวจสอบระบบโดยด่วน CISA (Cybersecurity and Infrastructure Security Agency) ได้เพิ่มช่องโหว่สองรายการลงใน Known Exploited Vulnerabilities (KEV) ซึ่งหมายความว่า “มีการโจมตีจริงแล้ว” ไม่ใช่แค่ทฤษฎี ช่องโหว่แรกคือ CVE-2023-41327 ใน XWiki ซึ่งเป็นระบบจัดการเอกสารแบบโอเพ่นซอร์สที่หลายองค์กรใช้สำหรับวิกิภายใน ช่องโหว่นี้เปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน — แปลว่าแค่เปิดหน้าเว็บก็อาจโดนเจาะได้ ช่องโหว่ที่สองคือ CVE-2024-22267 ใน VMware Aria Automation ซึ่งเป็นระบบจัดการการทำงานอัตโนมัติในคลาวด์ ช่องโหว่นี้เปิดให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญหรือควบคุมระบบได้จากระยะไกลเช่นกัน CISA ระบุว่าองค์กรที่ใช้ซอฟต์แวร์เหล่านี้ควรอัปเดตแพตช์ทันที และตรวจสอบระบบย้อนหลังเพื่อดูว่ามีการเข้าถึงที่ผิดปกติหรือไม่ โดยเฉพาะในระบบที่เปิดให้เข้าจากอินเทอร์เน็ต การที่ช่องโหว่เหล่านี้ถูกเพิ่มลงใน KEV หมายความว่าเป็นภัยระดับสูง และอาจถูกใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ หรือกลุ่ม ransomware ที่มุ่งเป้าโจมตีองค์กรขนาดใหญ่ 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 Known Exploited Vulnerabilities (KEV) คือรายการช่องโหว่ที่ “มีการโจมตีจริงแล้ว” ไม่ใช่แค่เสี่ยง 💠 VMware Aria Automation เคยเป็นส่วนหนึ่งของ vRealize Automation ซึ่งใช้ในระบบคลาวด์ระดับองค์กร 💠 XWiki เป็นระบบที่นิยมในองค์กรด้านวิจัย การศึกษา และเทคโนโลยี เพราะมีความยืดหยุ่นสูง ✅ ช่องโหว่ที่ถูกใช้งานจริง ➡️ CVE-2023-41327 ใน XWiki (Remote Code Execution) ➡️ CVE-2024-22267 ใน VMware Aria Automation (Remote Access) ➡️ ถูกเพิ่มลงในรายการ Known Exploited Vulnerabilities ของ CISA ✅ ผลกระทบต่อองค์กร ➡️ เสี่ยงต่อการถูกเจาะระบบจากระยะไกล ➡️ อาจถูกขโมยข้อมูลหรือควบคุมระบบ ➡️ มีความเสี่ยงสูงหากเปิดระบบให้เข้าจากอินเทอร์เน็ต ✅ คำแนะนำจาก CISA ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ ตรวจสอบระบบย้อนหลังเพื่อหาการเข้าถึงผิดปกติ ➡️ ปิดการเข้าถึงจากภายนอกหากไม่จำเป็น https://securityonline.info/cisa-warns-of-active-exploitation-in-xwiki-and-vmware-vulnerabilities/

⚠️ Brash Attack: ช่องโหว่ร้ายแรงในเบราว์เซอร์ Chromium แค่เปลี่ยนชื่อแท็บก็ทำให้ระบบล่มได้! นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใหม่ใน Blink engine ของ Chromium ที่สามารถทำให้เบราว์เซอร์ล่มภายในไม่กี่วินาที ด้วยการเปลี่ยนค่า document.title อย่างต่อเนื่อง — ส่งผลกระทบต่อผู้ใช้กว่า 3 พันล้านคนทั่วโลก Brash คือชื่อของช่องโหว่ใหม่ที่ถูกค้นพบใน Blink rendering engine ซึ่งเป็นหัวใจของเบราว์เซอร์ยอดนิยมอย่าง Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi และแม้แต่ ChatGPT Atlas หรือ Perplexity Comet ก็ไม่รอด ช่องโหว่นี้เกิดจากการที่ API document.title ไม่มีการจำกัดความถี่ในการอัปเดต ทำให้แฮกเกอร์สามารถ inject โค้ดที่เปลี่ยนชื่อแท็บได้หลายล้านครั้งต่อวินาที ส่งผลให้ thread หลักของเบราว์เซอร์ทำงานหนักจนล่มในเวลาเพียง 15–60 วินาที นักวิจัย Jose Pino ผู้ค้นพบช่องโหว่นี้ ได้เผยแพร่ proof-of-concept (PoC) ที่ชื่อว่า “Brash” ซึ่งสามารถทำให้เบราว์เซอร์ล่มได้จริง โดยไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ เพียงแค่เปิดหน้าเว็บที่ฝังโค้ดไว้เท่านั้น 🧠 เกร็ดน่ารู้เพิ่มเติมจากภายนอก 💠 ช่องโหว่นี้มีผลกับ Chromium เวอร์ชัน ≤ 143.0.7483.0 💠 นักวิจัยแนะนำให้ผู้ใช้และองค์กรอัปเดตเบราว์เซอร์ทันทีเมื่อมีแพตช์ 💠 การใช้เบราว์เซอร์ใน sandbox หรือ virtual environment ช่วยลดความเสี่ยง ✅ ช่องโหว่ Brash ใน Blink engine ➡️ ใช้ document.title อัปเดตชื่อแท็บหลายล้านครั้งต่อวินาที ➡️ ทำให้เบราว์เซอร์ล่มภายใน 15–60 วินาที ➡️ ไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ ✅ เบราว์เซอร์ที่ได้รับผลกระทบ ➡️ Chrome, Edge, Brave, Opera, Vivaldi, Arc, Dia, ChatGPT Atlas, Perplexity Comet ➡️ ทุกแพลตฟอร์ม: Windows, macOS, Linux, Android ➡️ Firefox และ Safari ไม่ได้รับผลกระทบ (ใช้ engine คนละตัว) ✅ วิธีการโจมตี ➡️ แฮกเกอร์ preload สตริงยาว 512 ตัวอักษร 100 ชุด ➡️ ยิงคำสั่งเปลี่ยนชื่อแท็บแบบ burst (เช่น 8,000 ครั้งต่อ 1 มิลลิวินาที) ➡️ ทำให้ thread หลักของเบราว์เซอร์ล่ม ‼️ ความเสี่ยงต่อผู้ใช้ทั่วไป ⛔ แค่เปิดหน้าเว็บที่ฝังโค้ดก็ทำให้เบราว์เซอร์ล่ม ⛔ อาจสูญเสียงานที่ยังไม่ได้บันทึก ⛔ ส่งผลกระทบต่อระบบโดยรวม เช่น CPU พุ่งสูง, เครื่องค้าง ‼️ ความเสี่ยงต่อองค์กร ⛔ ระบบที่ใช้เบราว์เซอร์เป็นเครื่องมือหลักอาจหยุดชะงัก ⛔ การโจมตีสามารถใช้เป็น logic bomb หรือโจมตีแบบเจาะจงเวลา ⛔ ระบบป้องกันทั่วไปอาจไม่สามารถตรวจจับได้ https://securityonline.info/brash-attack-critical-chromium-flaw-allows-dos-via-simple-code-injection/

🛡️ MOVEit โดนอีกแล้ว! ช่องโหว่ CVE-2025-10932 ในโมดูล AS2 เสี่ยงทำระบบล่ม — Progress เร่งออกแพตช์อุดช่องโหว่ Progress Software ออกแพตช์ด่วนเพื่อแก้ไขช่องโหว่ระดับสูงใน MOVEit Transfer ที่อาจถูกใช้โจมตีแบบ DoS ผ่านโมดูล AS2 ซึ่งเป็นหัวใจของการแลกเปลี่ยนไฟล์แบบปลอดภัยในองค์กร MOVEit Transfer คือระบบจัดการไฟล์ที่องค์กรทั่วโลกใช้กันอย่างแพร่หลาย โดยเฉพาะในงานที่ต้องการความปลอดภัยสูง เช่น การส่งข้อมูลระหว่างหน่วยงานหรือคู่ค้า ล่าสุดพบช่องโหว่ใหม่ CVE-2025-10932 ซึ่งเป็นช่องโหว่ “Uncontrolled Resource Consumption” หรือการใช้ทรัพยากรโดยไม่จำกัด ช่องโหว่นี้อยู่ในโมดูล AS2 (Applicability Statement 2) ซึ่งใช้สำหรับการแลกเปลี่ยนไฟล์แบบเข้ารหัสและลงลายเซ็นดิจิทัล หากถูกโจมตีด้วยคำขอ AS2 ที่ถูกสร้างขึ้นอย่างเจาะจง อาจทำให้ระบบล่มหรือประสิทธิภาพลดลงอย่างรุนแรง Progress ได้ออกแพตช์สำหรับ MOVEit Transfer ทุกเวอร์ชันที่ได้รับผลกระทบ และเพิ่มฟีเจอร์ whitelist IP เพื่อจำกัดการเข้าถึงโมดูล AS2 โดยเฉพาะ สำหรับผู้ที่ไม่ได้ใช้ AS2 แนะนำให้ลบไฟล์ endpoint ที่เกี่ยวข้องออกชั่วคราวเพื่อปิดช่องทางโจมตี ช่องโหว่นี้ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่เนื่องจาก MOVEit เคยถูกใช้เป็นช่องทางโจมตีในกรณี Clop ransomware มาก่อน จึงถือเป็นเป้าหมายสำคัญที่ควรเฝ้าระวัง ✅ ช่องโหว่ CVE-2025-10932 ใน MOVEit Transfer ➡️ เป็นช่องโหว่ Uncontrolled Resource Consumption ➡️ อยู่ในโมดูล AS2 ที่ใช้แลกเปลี่ยนไฟล์แบบปลอดภัย ➡️ เสี่ยงต่อการโจมตีแบบ DoS หากถูกใช้โดยผู้ไม่หวังดี ✅ เวอร์ชันที่ได้รับผลกระทบ ➡️ 2025.0.0 ก่อน 2025.0.3 ➡️ 2024.1.0 ก่อน 2024.1.7 ➡️ 2023.1.0 ก่อน 2023.1.16 ✅ วิธีแก้ไขและป้องกัน ➡️ อัปเดตเป็นเวอร์ชันที่มีแพตช์ล่าสุด ➡️ เพิ่ม whitelist IP สำหรับโมดูล AS2 ➡️ สำหรับผู้ไม่ใช้ AS2 ให้ลบไฟล์ AS2Rec2.ashx และ AS2Receiver.aspx ชั่วคราว https://securityonline.info/progress-patches-high-severity-vulnerability-in-moveit-transfer-as2-module-cve-2025-10932/

📱 Netflix ปรับเกม! ทดลองวิดีโอแนวตั้งและพอดแคสต์ หวังครองใจผู้ใช้มือถือ Netflix กำลังทดลองฟอร์แมตใหม่อย่างวิดีโอแนวตั้งและพอดแคสต์ เพื่อขยายประสบการณ์ความบันเทิงบนมือถือ หวังเจาะกลุ่มผู้ใช้ที่ชอบดูคอนเทนต์สั้นและฟังเสียงระหว่างเดินทาง Netflix ไม่หยุดแค่ซีรีส์หรือหนังอีกต่อไป ล่าสุดบริษัทกำลังทดลอง “วิดีโอแนวตั้ง” และ “พอดแคสต์” บนแอปมือถือ เพื่อให้ตอบโจทย์พฤติกรรมผู้ใช้ยุคใหม่ที่นิยมคอนเทนต์สั้น ดูง่าย ฟังสะดวก และเข้าถึงได้ทุกที่ทุกเวลา วิดีโอแนวตั้งที่ Netflix กำลังทดลองมีลักษณะคล้ายกับ TikTok หรือ Instagram Reels โดยเน้นคลิปสั้นที่ดูได้ในแนวตั้งเต็มจอ ไม่ต้องหมุนมือถือ จุดประสงค์คือเพื่อให้ผู้ใช้สามารถ “เสพความบันเทิงแบบเร็วๆ” ระหว่างพักเบรกหรือเดินทาง ในขณะเดียวกัน Netflix ยังเริ่มทดลอง “พอดแคสต์” ซึ่งเป็นทั้งเสียงจากรายการที่มีอยู่แล้ว และเนื้อหาพิเศษที่ผลิตขึ้นใหม่โดยเฉพาะ เช่น เบื้องหลังซีรีส์, บทสัมภาษณ์นักแสดง หรือการเล่าเรื่องในรูปแบบเสียงล้วน การทดลองนี้ยังอยู่ในวงจำกัด โดยเปิดให้ผู้ใช้บางกลุ่มในบางประเทศได้ลองใช้ก่อน หากผลตอบรับดี Netflix อาจเปิดให้ใช้งานทั่วโลกในอนาคต 🧠 เกร็ดน่ารู้เพิ่มเติมจากภายนอก 💠 วิดีโอแนวตั้งกลายเป็นเทรนด์หลักของคอนเทนต์มือถือ โดย TikTok มีผู้ใช้งานกว่า 1 พันล้านคนต่อเดือน 💠 พอดแคสต์เป็นตลาดที่เติบโตเร็ว โดย Spotify และ Apple Podcasts ครองส่วนแบ่งหลัก 💠 การเพิ่มฟีเจอร์ใหม่ช่วยให้ Netflix สร้าง “ecosystem” ความบันเทิงที่ครอบคลุมทั้งภาพ เสียง และเกม Netflix กำลังพิสูจน์ว่าแพลตฟอร์มสตรีมมิงไม่จำเป็นต้องจำกัดแค่ “การดู” อีกต่อไป — แต่สามารถเป็นเพื่อนร่วมทางของคุณได้ทุกที่ ทุกเวลา ทั้งภาพและเสียง! ✅ Netflix ทดลองวิดีโอแนวตั้ง ➡️ คลิปสั้นแบบเต็มจอในแนวตั้ง ➡️ คล้าย TikTok, Reels, Shorts ➡️ เหมาะกับการดูบนมือถือระหว่างเดินทาง ✅ ทดลองฟีเจอร์พอดแคสต์ ➡️ มีทั้งเสียงจากรายการเดิมและเนื้อหาใหม่ ➡️ เช่น เบื้องหลังซีรีส์, สัมภาษณ์, เรื่องเล่า ➡️ ตอบโจทย์ผู้ใช้ที่ชอบฟังระหว่างทำกิจกรรม ✅ กลยุทธ์ของ Netflix ➡️ ขยายรูปแบบความบันเทิงให้หลากหลาย ➡️ เจาะกลุ่มผู้ใช้มือถือที่ชอบคอนเทนต์สั้น ➡️ แข่งขันกับแพลตฟอร์มอย่าง TikTok, Spotify ‼️ ข้อควรระวังและข้อจำกัด ⛔ ฟีเจอร์ยังอยู่ในช่วงทดลอง ใช้ได้เฉพาะบางประเทศ ⛔ อาจยังไม่รองรับทุกอุปกรณ์หรือบัญชีผู้ใช้ ⛔ ความหลากหลายของคอนเทนต์อาจยังจำกัดในช่วงแรก https://securityonline.info/netflix-experiments-with-vertical-video-and-podcasts-redefining-mobile-entertainment/

🌐 Samsung Internet บุก Windows! พร้อมวิสัยทัศน์ “Ambient AI” ที่จะเปลี่ยนประสบการณ์ท่องเว็บ Samsung เปิดตัวเบราว์เซอร์ “Samsung Internet” สำหรับ Windows อย่างเป็นทางการ พร้อมฟีเจอร์ซิงก์ข้ามอุปกรณ์ และแนวคิดใหม่ “Ambient AI” ที่จะทำให้เบราว์เซอร์กลายเป็นผู้ช่วยอัจฉริยะในชีวิตประจำวัน Samsung เคยทดลองปล่อยเบราว์เซอร์ของตัวเองบน Microsoft Store ในปี 2024 แต่ก็ถอดออกไปอย่างเงียบๆ จนกระทั่งล่าสุดในเดือนตุลาคม 2025 บริษัทกลับมาอีกครั้งด้วยการเปิดตัว “Samsung Internet” สำหรับ Windows 10 และ 11 อย่างเป็นทางการ สิ่งที่น่าสนใจคือเบราว์เซอร์นี้ไม่ได้มาแค่เพื่อให้ใช้งานเว็บทั่วไป แต่เป็นส่วนหนึ่งของวิสัยทัศน์ใหญ่ที่ Samsung เรียกว่า “Ambient AI” — ระบบอัจฉริยะที่สามารถเข้าใจบริบทและคาดการณ์ความต้องการของผู้ใช้ได้ล่วงหน้า เบราว์เซอร์นี้รองรับการซิงก์ข้อมูลข้ามอุปกรณ์ เช่น บุ๊กมาร์ก ประวัติการท่องเว็บ และข้อมูลการกรอกฟอร์มอัตโนมัติ ทำให้ผู้ใช้สามารถเริ่มต้นจากมือถือแล้วมาต่อบนคอมพิวเตอร์ได้อย่างไร้รอยต่อ Samsung ยังเน้นเรื่องความเป็นส่วนตัวและความปลอดภัย โดยมีฟีเจอร์บล็อกตัวติดตาม (tracker blocking), แดชบอร์ดความเป็นส่วนตัว และเครื่องมือป้องกันอื่นๆ ติดตั้งมาให้ตั้งแต่แรก การเปิดตัวครั้งนี้ยังเป็นการประกาศศักดาในสนามแข่งขันเบราว์เซอร์ AI ที่กำลังร้อนแรง โดยมีคู่แข่งอย่าง ChatGPT Atlas จาก OpenAI, Microsoft Edge ที่มี Copilot และ Comet จาก Perplexity 🧠 เกร็ดน่ารู้เพิ่มเติมจากภายนอก 💠 Ambient AI คือแนวคิดที่อุปกรณ์และซอฟต์แวร์สามารถ “เข้าใจบริบท” และ “ตอบสนองอัตโนมัติ” โดยไม่ต้องสั่งงานโดยตรง 💠 Samsung Internet มีฐานผู้ใช้บนมือถือ Android หลายร้อยล้านคน โดยเฉพาะในกลุ่มผู้ใช้ Galaxy 💠 การขยายสู่ Windows อาจเป็นก้าวสำคัญในการสร้าง ecosystem ที่แข่งขันกับ Apple และ Google ได้ในระยะยาว ✅ Samsung Internet เปิดตัวบน Windows ➡️ รองรับ Windows 10 (เวอร์ชัน 1809 ขึ้นไป) และ Windows 11 ➡️ เปิดให้ทดลองใช้งานผ่านโปรแกรมเบต้า ✅ ฟีเจอร์เด่นของเบราว์เซอร์ ➡️ ซิงก์ข้อมูลข้ามอุปกรณ์ เช่น บุ๊กมาร์กและประวัติการใช้งาน ➡️ บล็อกตัวติดตามและมีแดชบอร์ดความเป็นส่วนตัว ➡️ รองรับการกรอกฟอร์มอัตโนมัติ ✅ วิสัยทัศน์ Ambient AI ➡️ เปลี่ยนเบราว์เซอร์จากเครื่องมือรับคำสั่ง เป็นผู้ช่วยอัจฉริยะ ➡️ คาดการณ์ความต้องการของผู้ใช้และให้ข้อมูลเชิงบริบท ➡️ เป็นส่วนหนึ่งของกลยุทธ์ Galaxy AI ที่ขยายจากมือถือสู่เดสก์ท็อป ✅ การแข่งขันในตลาดเบราว์เซอร์ AI ➡️ คู่แข่งหลัก ได้แก่ ChatGPT Atlas, Microsoft Edge Copilot, Perplexity Comet ➡️ Samsung ต้องการสร้างระบบนิเวศซอฟต์แวร์ของตัวเองให้แข็งแกร่ง ‼️ ข้อควรระวัง ⛔ ยังอยู่ในช่วงเบต้า อาจมีบั๊กหรือฟีเจอร์ไม่สมบูรณ์ ⛔ ผู้ใช้ต้องสมัครเข้าร่วมโปรแกรมทดสอบก่อนใช้งาน ⛔ ความสามารถด้าน AI ยังอยู่ระหว่างการพัฒนา อาจยังไม่ตอบโจทย์ทุกสถานการณ์ https://securityonline.info/samsung-internet-arrives-on-windows-pushing-forward-ambient-ai-vision/

🏛️ ศาลสหรัฐฯ บังคับ Google เปิด Google Play ให้ใช้ระบบจ่ายเงินภายนอกได้แล้ว — แต่เฉพาะในอเมริกาเท่านั้น! Google ถูกศาลสหรัฐฯ สั่งให้เปิดทางให้แอปบน Google Play ใช้ระบบชำระเงินภายนอกได้ โดยนักพัฒนาสามารถหลีกเลี่ยงค่าคอมมิชชันของ Google และเสนอราคาที่ถูกลงให้ผู้ใช้ได้ — แต่การเปลี่ยนแปลงนี้ยังเป็นเพียงมาตรการชั่วคราว ก่อนหน้านี้ทั้ง Apple และ Google ต่างก็ไม่อนุญาตให้นักพัฒนาแอปใช้ระบบจ่ายเงินภายนอก เพราะต้องการเก็บค่าคอมมิชชันจากทุกธุรกรรมในแอป แต่เมื่อ Epic Games ฟ้องร้องทั้งสองบริษัทในข้อหาผูกขาด ศาลสหรัฐฯ จึงมีคำตัดสินให้ทั้งสองบริษัทต้องเปิดระบบมากขึ้น แม้ทั้ง Apple และ Google จะแพ้คดี แต่ผลกระทบที่เกิดขึ้นต่างกัน — Apple ได้รับผลกระทบน้อยกว่าเพราะระบบปิดของ iOS แต่ Google ซึ่งใช้ระบบ Android ที่เปิดกว้างกว่า กลับต้องปรับนโยบายมากกว่า ผลลัพธ์คือ Google ต้องเปิดให้แอปใน Google Play สามารถใช้ระบบจ่ายเงินภายนอกได้ในสหรัฐฯ นักพัฒนาจึงไม่จำเป็นต้องจ่ายค่าคอมมิชชันให้ Google อีกต่อไป และสามารถเสนอราคาที่ถูกลงให้ผู้ใช้ได้ นอกจากนี้ Google ยังอนุญาตให้นักพัฒนาชี้ทางให้ผู้ใช้ดาวน์โหลดแอปจากแหล่งอื่นนอก Google Play ได้ด้วย แต่ทั้งหมดนี้มีผลเฉพาะในสหรัฐฯ เท่านั้น และจะมีผลถึงวันที่ 1 พฤศจิกายน 2027 เท่านั้น เพราะ Google ยังอยู่ระหว่างการอุทธรณ์คำตัดสิน แม้จะเปิดให้ใช้ระบบจ่ายเงินภายนอกได้ แต่ Google ก็ยังมีแผนจะเรียกเก็บ “ค่าบริการเสริม” เช่น ค่าตรวจสอบตัวตนหรือค่าความปลอดภัย เพื่อชดเชยรายได้ที่หายไปจากค่าคอมมิชชัน 🧠 เกร็ดน่ารู้เพิ่มเติมจากภายนอก 💠 ค่าคอมมิชชันของ Google Play อยู่ที่ประมาณ 15–30% ต่อธุรกรรม 💠 Apple เคยถูกศาลสั่งให้อนุญาตลิงก์ไปยังระบบจ่ายเงินภายนอกเช่นกัน แต่ยังมีข้อจำกัดมาก 💠 การเปิดให้ใช้ระบบจ่ายเงินภายนอกอาจส่งผลให้เกิดการแข่งขันด้านราคามากขึ้นในตลาดแอป นี่อาจเป็นจุดเริ่มต้นของการเปลี่ยนแปลงครั้งใหญ่ในโลกของแอปมือถือ — แต่จะยั่งยืนหรือไม่ ยังต้องจับตาดูผลของการอุทธรณ์จาก Google ต่อไป ✅ คำสั่งศาลสหรัฐฯ ต่อ Google ➡️ บังคับให้ Google เปิดให้ใช้ระบบจ่ายเงินภายนอกในแอป ➡️ มีผลเฉพาะในสหรัฐฯ เท่านั้น ➡️ มีผลจนถึงวันที่ 1 พฤศจิกายน 2027 ✅ ผลกระทบต่อนักพัฒนา ➡️ ไม่ต้องจ่ายค่าคอมมิชชันให้ Google ➡️ สามารถเสนอราคาที่ถูกลงให้ผู้ใช้ ➡️ ชี้ทางให้ผู้ใช้ดาวน์โหลดแอปจากแหล่งอื่นได้ ✅ ท่าทีของ Google ➡️ ปรับนโยบายตามคำสั่งศาลแบบชั่วคราว ➡️ อยู่ระหว่างการอุทธรณ์เพื่อยกเลิกคำสั่ง ➡️ เตรียมเก็บค่าบริการเสริมแม้ใช้ระบบจ่ายเงินภายนอก https://securityonline.info/court-mandate-google-play-opens-to-external-payments-in-the-us/

🕵️‍♂️ Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 “Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง 💠 AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ 💠 การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล ✅ Airstalk คือมัลแวร์จารกรรมระดับสูง ➡️ มีทั้งเวอร์ชัน PowerShell และ .NET ➡️ ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots ➡️ ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ ✅ เทคนิคการโจมตี ➡️ ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง ➡️ ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob ➡️ สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง ✅ ความสามารถของเวอร์ชัน .NET ➡️ รองรับ multi-threaded communication ➡️ มีระบบ debug, beaconing ทุก 10 นาที ➡️ รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island ✅ เทคนิคหลบเลี่ยงการตรวจจับ ➡️ ใช้ใบรับรองดิจิทัลที่ถูกขโมย ➡️ เปลี่ยน timestamp ของไฟล์ ➡️ ลบตัวเองหลังจากทำงานเสร็จ ‼️ ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี ⛔ ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ ⛔ ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป ⛔ อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO ‼️ ความเสี่ยงต่อความมั่นคงขององค์กร ⛔ ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว ⛔ การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม ⛔ อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/

🚨 PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์ ✅ PhantomRaven คือแคมเปญมัลแวร์ใน npm ➡️ ปล่อยแพ็กเกจปลอมกว่า 126 รายการ ➡️ ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง ➡️ เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ ✅ เทคนิค Remote Dynamic Dependency (RDD) ➡️ ดึงโค้ดจาก URL ภายนอกแทน registry ➡️ ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies ➡️ โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script ✅ ข้อมูลที่มัลแวร์พยายามขโมย ➡️ อีเมลและข้อมูลจากไฟล์ config ➡️ โทเคนจาก GitHub, GitLab, Jenkins, CircleCI ➡️ ข้อมูลระบบ เช่น IP, hostname, OS, username ✅ ช่องทางการส่งข้อมูลออก ➡️ HTTP GET (ฝังข้อมูลใน URL) ➡️ HTTP POST (ส่ง JSON payload) ➡️ WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด) ‼️ ความเสี่ยงจากแพ็กเกจปลอม ⛔ ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด ⛔ ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์ ⛔ โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก ‼️ ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ ⛔ โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว ⛔ ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy ⛔ อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure 🧠 เกร็ดน่ารู้เพิ่มเติม 🎗️ Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง 🎗️ Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง 🎗️ นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/

📹 Sora บุกตลาดเอเชีย! แอปสร้างวิดีโอจาก OpenAI พร้อมฟีเจอร์ Cameo สุดฮิตและกฎความปลอดภัยใหม่ OpenAI เปิดตัว Sora App ในเอเชียอย่างเป็นทางการ พร้อมฟีเจอร์ Cameo ที่ให้ผู้ใช้ใส่ตัวเองลงในวิดีโอ AI และระบบความปลอดภัยหลายชั้นเพื่อป้องกันเนื้อหาที่ไม่เหมาะสม Sora App คือแอปสร้างวิดีโอด้วย AI จาก OpenAI ที่เปิดตัวครั้งแรกในสหรัฐฯ และแคนาดาเมื่อเดือนกันยายน และตอนนี้ได้ขยายสู่เอเชีย โดยเริ่มที่ไต้หวัน ไทย และเวียดนาม ซึ่งเป็นภูมิภาคที่มีชุมชนครีเอเตอร์ที่แข็งแกร่ง ผู้ใช้สามารถดาวน์โหลดแอปได้ทันทีจาก Apple App Store โดยไม่ต้องใช้โค้ดเชิญ ฟีเจอร์เด่นของ Sora ได้แก่การสร้างวิดีโอจากข้อความ (text-to-video), การรีมิกซ์วิดีโอของผู้ใช้อื่น, ฟีดวิดีโอที่ปรับแต่งได้ และ Cameo — ฟีเจอร์ที่ให้ผู้ใช้บันทึกคลิปและเสียงของตัวเองเพื่อให้ AI สร้างวิดีโอที่มีใบหน้าและเสียงของผู้ใช้ในฉากต่างๆ OpenAI เน้นย้ำเรื่องความปลอดภัย โดยใช้ระบบกรองหลายชั้น เช่น การตรวจสอบเฟรมวิดีโอ, คำสั่งข้อความ และเสียง เพื่อป้องกันเนื้อหาลามก, ส่งเสริมการทำร้ายตัวเอง หรือเนื้อหาก่อการร้าย นอกจากนี้ยังมีระบบ watermark แบบ C2PA ที่ฝังในวิดีโอเพื่อระบุว่าเป็นเนื้อหา AI ฟีเจอร์ Cameo ยังให้ผู้ใช้ควบคุมสิทธิ์ของตัวเองได้เต็มที่ เช่น ถอนการอนุญาต หรือขอลบวิดีโอที่มีใบหน้าตนเอง แม้จะยังอยู่ในร่างต้นฉบับก็ตาม สำหรับผู้ใช้วัยรุ่น Sora มีการจำกัดเวลาการใช้งานรายวัน และเพิ่มการตรวจสอบจากมนุษย์เพื่อป้องกันการกลั่นแกล้ง พร้อมระบบควบคุมโดยผู้ปกครองผ่าน ChatGPT 📌 สรุปเนื้อหาสำคัญและคำเตือน ✅ Sora App เปิดตัวในเอเชีย ➡️ เริ่มใช้งานในไต้หวัน ไทย และเวียดนาม ➡️ ดาวน์โหลดได้ทันทีจาก Apple App Store โดยไม่ต้องใช้โค้ดเชิญ ✅ ฟีเจอร์เด่นของ Sora ➡️ สร้างวิดีโอจากข้อความ (text-to-video) ➡️ รีมิกซ์วิดีโอของผู้ใช้อื่น ➡️ ฟีดวิดีโอที่ปรับแต่งได้ ➡️ Cameo: ใส่ใบหน้าและเสียงของผู้ใช้ลงในวิดีโอ AI ✅ ระบบความปลอดภัยของ Sora ➡️ กรองเนื้อหาด้วยการตรวจสอบเฟรม, ข้อความ และเสียง ➡️ ป้องกันเนื้อหาลามก, ส่งเสริมการทำร้ายตัวเอง และก่อการร้าย ➡️ ใช้ watermark แบบ C2PA เพื่อระบุว่าเป็นวิดีโอจาก AI ✅ การควบคุมสิทธิ์ของผู้ใช้ ➡️ ผู้ใช้สามารถถอนการอนุญาต Cameo ได้ทุกเมื่อ ➡️ ขอให้ลบวิดีโอที่มีใบหน้าตนเองได้ แม้ยังไม่เผยแพร่ ✅ การป้องกันสำหรับผู้ใช้วัยรุ่น ➡️ จำกัดเวลาการใช้งานรายวัน ➡️ เพิ่มการตรวจสอบจากมนุษย์ ➡️ ผู้ปกครองสามารถควบคุมผ่าน ChatGPT 🌐 เกร็ดน่ารู้เพิ่มเติม 💠 เทคโนโลยี C2PA (Coalition for Content Provenance and Authenticity) เป็นมาตรฐานใหม่ที่ใช้ระบุแหล่งที่มาของเนื้อหาดิจิทัล 💠 ฟีเจอร์ Cameo คล้ายกับเทคโนโลยี deepfake แต่มีการควบคุมสิทธิ์และความปลอดภัยมากกว่า 💠 การเปิดตัวในเอเชียสะท้อนถึงการเติบโตของตลาดครีเอเตอร์ในภูมิภาคนี้อย่างชัดเจน https://securityonline.info/openai-launches-sora-app-in-asia-featuring-viral-cameos-and-new-safety-rules/

บัตรทอง-ระหว่างสปสช.กับหมอ ฝ่ายไหนที่พูดความจริง? บทความโดย : สุรวิชช์ วีรวรรณ คลิก>> https://mgronline.com/daily/detail/9680000103901

🧨 Jenkins Plugin Flaws: เมื่อระบบ CI/CD กลายเป็นเป้าหมายใหม่ของแฮกเกอร์ Jenkins เจอคลื่นช่องโหว่ปลั๊กอินครั้งใหญ่: SAML Auth Bypass เสี่ยงยึดระบบ CI/CD ทั้งองค์กร ช่องโหว่ CVE-2025-64131 ในปลั๊กอิน SAML ของ Jenkins เปิดทางให้แฮกเกอร์ขโมย session และสวมรอยผู้ใช้ได้ทันที พร้อมช่องโหว่อื่น ๆ อีกกว่า 10 รายการที่ยังไม่มีแพตช์ Jenkins ซึ่งเป็นเครื่องมือ CI/CD ยอดนิยมในองค์กรทั่วโลก กำลังเผชิญกับคลื่นช่องโหว่ปลั๊กอินครั้งใหญ่ โดยมีการเปิดเผยช่องโหว่รวม 14 รายการใน advisory ล่าสุด ซึ่งหลายรายการยังไม่มีแพตช์แก้ไข จุดที่ร้ายแรงที่สุดคือ CVE-2025-64131 ในปลั๊กอิน SAML ที่ใช้สำหรับ Single Sign-On (SSO) โดยช่องโหว่นี้เกิดจากการไม่เก็บ replay cache ทำให้แฮกเกอร์สามารถ reuse token ที่เคยใช้แล้วเพื่อสวมรอยผู้ใช้ได้ทันที แม้จะเป็นผู้ดูแลระบบก็ตาม ผลกระทบของช่องโหว่นี้: 🪲 แฮกเกอร์สามารถขโมย session และเข้าถึง Jenkins โดยไม่ต้องยืนยันตัวตน 🪲 หาก Jenkins มีสิทธิ์เชื่อมต่อกับ GitHub, Docker, หรือ cloud provider แฮกเกอร์สามารถเข้าถึงระบบ downstream ได้ทันที 🪲 เป็นภัยคุกคามต่อระบบ DevOps pipeline และความปลอดภัยของซอร์สโค้ด นอกจากนี้ยังมีช่องโหว่อื่น ๆ ที่น่ากังวล เช่น: 🪲 CVE-2025-64132: Missing permission checks ใน MCP Server Plugin 🪲 CVE-2025-64133: CSRF ใน Extensible Choice Parameter Plugin 🪲 CVE-2025-64134: XXE ใน JDepend Plugin 🪲 CVE-2025-64140: Command Injection ใน Azure CLI Plugin 🪲 CVE-2025-64143–64147: Secrets ถูกเก็บในไฟล์ config แบบ plaintext 🪲 CVE-2025-64148–64150: Missing permission checks ใน Publish to Bitbucket Plugin ผู้ดูแลระบบควรรีบตรวจสอบปลั๊กอินที่ใช้งานอยู่ และอัปเดตหรือปิดการใช้งานปลั๊กอินที่มีช่องโหว่ทันที https://securityonline.info/jenkins-faces-wave-of-plugin-flaws-including-saml-authentication-bypass-cve-2025-64131/

🧨 Kea DHCPv4 ล่มได้เพราะ hostname ผิดรูปแบบ ช่องโหว่ร้ายแรงใน Kea DHCPv4: แพ็กเกจแจก IP อาจล่มทั้งระบบเพราะ hostname ผิดรูปแบบ ISC ออกแพตช์ด่วนเพื่ออุดช่องโหว่ CVE-2025-11232 ที่เปิดทางให้แฮกเกอร์ส่ง DHCP request พิเศษเพื่อทำให้เซิร์ฟเวอร์ Kea DHCPv4 ล่มทันที ส่งผลกระทบต่อระบบแจก IP ในองค์กรขนาดใหญ่ ช่องโหว่นี้ถูกจัดอยู่ในระดับ “High Severity” ด้วยคะแนน CVSS 7.5 โดยเกิดจากการจัดการ hostname ที่ไม่ปลอดภัยใน Kea DHCPv4 ซึ่งเป็นเซิร์ฟเวอร์แจก IP แบบ dynamic ที่นิยมใช้ในองค์กรและผู้ให้บริการอินเทอร์เน็ต รายละเอียดช่องโหว่: 🔖 หากมีการตั้งค่าดังนี้: 🪲 hostname-char-set เป็นค่าเริ่มต้น [^A-Za-z0-9.-] 🪲 hostname-char-replacement เป็นค่าว่าง 🪲 ddns-qualifying-suffix ไม่ว่าง 🔖 แล้วมี client ส่ง DHCP request ที่มี hostname ผิดรูปแบบ จะทำให้ Kea crash ทันที แม้ว่า Dynamic DNS (DDNS) จะไม่ถูกเปิดใช้งาน ช่องโหว่นี้ก็ยังสามารถถูกโจมตีได้ เพราะเกิดจากการตรวจสอบ hostname ที่ไม่รัดกุมใน component kea-dhcp4 🔖 ผลกระทบ: 🪲 เซิร์ฟเวอร์ DHCP ล่มทันที 🪲 ระบบแจก IP หยุดทำงาน 🪲 อุปกรณ์ในเครือข่ายอาจไม่สามารถเชื่อมต่อได้ 🪲 หากถูกโจมตีซ้ำ ๆ จะเกิด DoS แบบต่อเนื่อง 🚦 เวอร์ชันที่ได้รับผลกระทบ: 💠 3.0.1 → 3.0.1 💠 3.1.1 → 3.1.2 🔨 วิธีแก้ไข: 💠 อัปเดตเป็นเวอร์ชัน 3.0.2 หรือ 3.1.3 💠 หากยังไม่สามารถอัปเดตได้ ให้ตั้งค่า hostname-char-replacement เป็นค่าอื่น เช่น “x” เพื่อหลีกเลี่ยงการ crash https://securityonline.info/isc-patches-high-severity-kea-dhcpv4-dos-cve-2025-11232-flaw-allows-crash-via-malformed-hostname/

🔓 WP Freeio CVE-2025-11533: เมื่อการสมัครสมาชิกกลายเป็นช่องทางยึดเว็บ Wordfence เตือนภัยด่วน: ช่องโหว่ WP Freeio เปิดทางให้แฮกเกอร์ยึดเว็บไซต์ WordPress ได้ทันที ปลั๊กอิน WP Freeio ถูกพบช่องโหว่ร้ายแรง CVE-2025-11533 ที่เปิดโอกาสให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดยไม่ต้องยืนยันตัวตน ส่งผลกระทบต่อเว็บไซต์ WordPress จำนวนมากทั่วโลก Wordfence Threat Intelligence รายงานช่องโหว่ระดับวิกฤต (CVSS 9.8) ในปลั๊กอิน WP Freeio ซึ่งเป็นส่วนหนึ่งของธีม Freeio ที่ขายบน ThemeForest โดยช่องโหว่นี้อยู่ในฟังก์ชัน process_register() ของคลาส WP_Freeio_User ที่ใช้จัดการการสมัครสมาชิก ปัญหาเกิดจากการที่ฟังก์ชันนี้อนุญาตให้ผู้ใช้กำหนด role ได้เองผ่านฟิลด์ $_POST['role'] โดยไม่มีการตรวจสอบ ทำให้ผู้โจมตีสามารถระบุ role เป็น “administrator” และสร้างบัญชีผู้ดูแลระบบได้ทันที Wordfence ตรวจพบการโจมตีทันทีหลังการเปิดเผยช่องโหว่เมื่อวันที่ 10 ตุลาคม 2025 และบล็อกการโจมตีไปแล้วกว่า 33,200 ครั้ง 🔖 ตัวอย่างคำขอที่ใช้โจมตี: POST /?wpfi-ajax=wp_freeio_ajax_register&action=wp_freeio_ajax_register Content-Type: application/x-www-form-urlencoded role=administrator&email=attacker@gmail.com&password=xxx&confirmpassword=xxx เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว ผู้โจมตีสามารถ: 💠 อัปโหลดปลั๊กอินหรือธีมที่มี backdoor 💠 แก้ไขโพสต์หรือหน้าเว็บเพื่อ redirect ไปยังเว็บไซต์อันตราย 💠 ฝังสแปมหรือมัลแวร์ในเนื้อหา IP ที่พบว่ามีการโจมตีจำนวนมาก เช่น: 💠 35.178.249.28 💠 13.239.253.194 💠 3.25.204.16 💠 18.220.143.136 Wordfence แนะนำให้ผู้ดูแลระบบอัปเดต WP Freeio เป็นเวอร์ชัน 1.2.22 หรือใหม่กว่าโดยด่วน https://securityonline.info/wordfence-warns-of-active-exploits-targeting-critical-privilege-escalation-flaw-in-wp-freeio-cve-2025-11533/

🔓 WSO2 Auth Bypass: เมื่อ regex กลายเป็นจุดอ่อนของระบบ WSO2 เจอช่องโหว่ร้ายแรง: แฮกเกอร์สามารถข้ามการยืนยันตัวตนและเข้าถึงสิทธิ์ผู้ดูแลระบบได้ทันที นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ 3 รายการใน WSO2 API Manager และ Identity Server ที่เปิดทางให้ผู้โจมตีเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน พร้อมความเสี่ยงในการขโมยข้อมูลและรันโค้ดจากระยะไกล นักวิจัย Crnkovic ได้เปิดเผยช่องโหว่ร้ายแรง 3 รายการ ได้แก่ CVE-2025-9152, CVE-2025-10611, และ CVE-2025-9804 โดยแต่ละรายการมีคะแนน CVSS สูงถึง 9.8 ซึ่งถือว่าอยู่ในระดับ “วิกฤต” และสามารถใช้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน จุดอ่อนหลักมาจากการใช้ regex ในการกำหนดสิทธิ์เข้าถึง ที่แยกออกจากตรรกะของแอปพลิเคชัน ทำให้เกิดช่องโหว่หลายรูปแบบ เช่น: 🪲 การใช้เครื่องหมาย / เพื่อหลบเลี่ยง regex 🪲 การใช้ HTTP method แบบตัวพิมพ์เล็ก เช่น “Post” แทน “POST” 🪲 การใช้ path ที่ถูก normalize โดย Java เพื่อหลบเลี่ยงการตรวจสอบ ตัวอย่างการโจมตี: 🪲 เข้าถึง endpoint /keymanager-operations/dcr/register/<client_id> เพื่อขโมย OAuth client secrets 🪲 ใช้ HTTP method “Post” เพื่อหลบเลี่ยงการตรวจสอบสิทธิ์ 🪲 ใช้ URL encoding เพื่อเข้าถึง endpoint ที่ควรต้องมีการยืนยันตัวตน เช่น /scim2/Users ช่องโหว่ CVE-2025-9804 ยังเปิดทางให้ผู้ใช้ระดับต่ำสามารถสร้างบัญชีและยกระดับสิทธิ์เป็นผู้ดูแลระบบได้ทันที หากระบบเปิดให้สมัครสมาชิกด้วยตนเอง WSO2 ได้ออกแพตช์แก้ไขแล้ว แต่ Crnkovic เตือนว่า “การใช้ regex ในการควบคุมสิทธิ์เป็นแนวทางที่มีความเสี่ยงสูง” และควรหลีกเลี่ยงในระบบที่ต้องการความปลอดภัยระดับสูง https://securityonline.info/researcher-details-critical-authentication-bypasses-in-wso2-api-manager-and-identity-server/

🎭 เมื่อชื่อ “Cameo” กลายเป็นสนามรบระหว่างของจริงกับของปลอม Cameo ฟ้อง OpenAI ปมฟีเจอร์ “Cameo” ใน Sora ละเมิดเครื่องหมายการค้าและสร้าง Deepfake ดารา แพลตฟอร์มวิดีโอชื่อดัง Cameo ยื่นฟ้อง OpenAI ฐานใช้ชื่อ “Cameo” ในฟีเจอร์ใหม่ของ Sora ที่เปิดให้ผู้ใช้สร้างวิดีโอ AI โดยใส่ใบหน้าตนเองหรือคนอื่น ซึ่งอาจสร้างความสับสนและละเมิดสิทธิ์ของดารา Cameo เป็นแพลตฟอร์มที่ให้ผู้ใช้จ่ายเงินเพื่อรับวิดีโอส่วนตัวจากคนดัง เช่น Jon Gruden หรือ Lisa Vanderpump โดยมีการจดทะเบียนเครื่องหมายการค้า “Cameo” อย่างถูกต้อง แต่เมื่อ OpenAI เปิดตัวฟีเจอร์ใหม่ใน Sora ที่ใช้ชื่อเดียวกันว่า “Cameo” ซึ่งเปิดให้ผู้ใช้ใส่ใบหน้าตัวเองหรือคนอื่นลงในวิดีโอ AI ได้ ทำให้เกิดความขัดแย้งทันที Cameo กล่าวหาว่า OpenAI “จงใจละเมิดเครื่องหมายการค้า” และ “เพิกเฉยต่อความสับสนที่อาจเกิดขึ้นกับผู้บริโภค” พร้อมระบุว่าเกิด “ความเสียหายที่ไม่สามารถเยียวยาได้” ต่อแบรนด์ของตน OpenAI ตอบกลับว่า “ไม่มีใครเป็นเจ้าของคำว่า Cameo” และกำลังพิจารณาคำฟ้องอยู่ สิ่งที่ทำให้คดีนี้น่าสนใจคือ: 🎗️ ฟีเจอร์ “Cameo” ของ Sora สามารถสร้างวิดีโอที่เหมือนจริงโดยใช้ใบหน้าคนอื่น ซึ่งอาจเป็นคนดัง 🎗️ ผู้ใช้สามารถเลือกได้ว่าจะใช้แพลตฟอร์ม Cameo เพื่อรับวิดีโอจากคนดังจริง หรือใช้ Sora เพื่อสร้างวิดีโอปลอมที่เหมือนจริง 🎗️ มีการกล่าวอ้างว่า Sora ใช้ likeness ของคนดัง เช่น Mark Cuban และ Jake Paul โดยไม่ได้รับอนุญาต นอกจากนี้ Sora ยังถูกวิจารณ์เรื่องการใช้ข้อมูลฝึก AI ที่อาจละเมิดลิขสิทธิ์ เช่น อนิเมะ บุคคลที่เสียชีวิต และเนื้อหาที่ได้รับการคุ้มครองอื่น ๆ https://securityonline.info/ai-vs-authenticity-cameo-sues-openai-over-soras-cameo-deepfake-feature/

🚀 Superhuman: จากผู้ช่วยเขียนสู่แพลตฟอร์ม AI ครบวงจร Grammarly ก่อตั้งในปี 2009 และเป็นที่รู้จักในฐานะผู้ช่วยเขียนที่ใช้ AI อย่างแพร่หลาย ล่าสุดบริษัทได้ประกาศเปลี่ยนชื่อเป็น “Superhuman” หลังจากเข้าซื้อกิจการของ Superhuman Mail และ Coda ในปี 2025 โดยเลือกใช้ชื่อของบริษัทที่ถูกซื้อมาแทนชื่อเดิม ซึ่งถือเป็นกลยุทธ์ที่ไม่ธรรมดาในวงการเทคโนโลยี ภายใต้ชื่อใหม่ Superhuman จะรวม: 💠 Grammarly (ผู้ช่วยเขียน) 💠 Superhuman Mail (แพลตฟอร์มอีเมลระดับพรีเมียม) 💠 Coda (ผู้ช่วยงานที่ใช้ AI) ทั้งหมดจะอยู่ภายใต้ระบบ subscription เดียว พร้อมเปิดตัวผู้ช่วย AI ใหม่ชื่อว่า Superhuman Go ที่จะทำงานแบบเบื้องหลังโดยไม่ต้องรอคำสั่งจากผู้ใช้ Superhuman Go จะสามารถ: 💠 เขียนและปรับแต่งอีเมลอัตโนมัติ 💠 สรุปข้อมูลจากข้อความหรือเอกสาร 💠 จัดการตารางงานและการประชุม 💠 เชื่อมต่อกับ Google Workspace และ Microsoft Outlook นอกจากนี้ยังมีฟีเจอร์ใหม่ที่กำลังจะเปิดตัว เช่น: 💠 แปลงบันทึกการประชุมเป็นร่างเอกสาร 💠 จัดระเบียบกล่องอีเมลตามปฏิทินและ workflow ของผู้ใช้ แพ็กเกจ subscription มีให้เลือก 2 ระดับ: 🎗️ Pro Plan ($12/เดือน): เขียนใหม่และแปลข้อความได้ไม่จำกัดใน 19 ภาษา 🎗️ Business Plan ($33/เดือน): รวมทุกฟีเจอร์ของ Pro พร้อมใช้งาน Superhuman Mail เต็มรูปแบบ https://securityonline.info/grammarly-is-now-superhuman-unifying-mail-and-ai-in-new-productivity-suite/

🔐 Chrome 154: ปิดประตู HTTP เปิดทางสู่เว็บปลอดภัย Google ประกาศว่าในอีกหนึ่งปีข้างหน้า Chrome เวอร์ชัน 154 จะเปิดใช้งานฟีเจอร์ “Always Use Secure Connections” เป็นค่าเริ่มต้น ซึ่งหมายความว่า หากผู้ใช้พยายามเข้าถึงเว็บไซต์ที่ไม่ใช้ HTTPS เบราว์เซอร์จะขออนุญาตก่อนเข้าถึง และแสดงคำเตือนทันที แม้ว่า 95% ของทราฟฟิกเว็บทั่วโลกจะใช้ HTTPS แล้ว แต่ Google ชี้ว่า “เพียงหนึ่งการเข้าถึงแบบไม่เข้ารหัส ก็อาจเปิดช่องให้แฮกเกอร์ดักจับหรือเปลี่ยนแปลงข้อมูลได้” โดยเฉพาะการ redirect หรือการโหลด resource ที่ฝังอยู่ในหน้าเว็บ ฟีเจอร์นี้เคยเปิดให้ใช้งานแบบ opt-in ตั้งแต่ปี 2022 แต่ตอนนี้ Google เชื่อว่า ecosystem พร้อมสำหรับการบังคับใช้แบบเต็มรูปแบบ โดยจะเริ่มจากผู้ใช้ที่เปิด Enhanced Safe Browsing ใน Chrome 147 (เมษายน 2026) ก่อนจะขยายไปยังผู้ใช้ทั่วไปใน Chrome 154 (ตุลาคม 2026) เพื่อไม่ให้เกิดความรำคาญจากคำเตือนซ้ำ ๆ Chrome จะใช้ระบบ “smart warning logic” ที่จะแสดงคำเตือนเฉพาะการเข้าถึงเว็บไซต์ HTTP ครั้งแรกหรือแบบไม่บ่อยเท่านั้น ยกเว้นเฉพาะเว็บไซต์ที่อยู่ใน private network เช่น 192.168.0.1 หรือหน้า router setup ซึ่งจะไม่แสดงคำเตือน เพราะไม่ใช่โดเมนสาธารณะ ✅ Chrome 154 จะเปิดใช้งาน “Always Use Secure Connections” เป็นค่าเริ่มต้น ➡️ เริ่มใช้งานจริงในเดือนตุลาคม 2026 ➡️ Chrome จะเตือนผู้ใช้ก่อนเข้าถึงเว็บไซต์ที่ไม่ใช้ HTTPS ➡️ ฟีเจอร์นี้เคยเป็น opt-in ตั้งแต่ปี 2022 ➡️ เริ่มจากผู้ใช้ Enhanced Safe Browsing ใน Chrome 147 (เมษายน 2026) ➡️ ใช้ smart warning logic เพื่อลดคำเตือนซ้ำ ➡️ เว็บไซต์ใน private network จะไม่ถูกเตือน https://securityonline.info/major-shift-chrome-154-will-default-to-always-use-secure-connections-warning-users-before-insecure-http-sites/

🧨 VSCode ถูกเจาะ! ปลั๊กอินอันตรายขโมยโค้ด-เปิด backdoor HelixGuard Threat Intelligence ได้เปิดเผยการโจมตีแบบ supply chain ที่รุนแรงที่สุดครั้งหนึ่งในวงการ IDE โดยพบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX ซึ่งบางตัวยังคงออนไลน์อยู่ในขณะค้นพบ ปลั๊กอินเหล่านี้ไม่ได้แค่ขโมยโค้ด แต่ยังสามารถ: 💠 ดึงข้อมูล credential 💠 จับภาพหน้าจอ 💠 เปิด remote shell 💠 สร้าง reverse shell เพื่อควบคุมเครื่องของนักพัฒนา ตัวอย่างปลั๊กอินอันตราย: 💠 Christine-devops1234.scraper: ส่งข้อมูลโค้ดและภาพไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี 💠 Kodease.fyp-23-s2-08: ใช้ Ngrok tunnel เพื่อส่งโค้ดที่เลือกไปยัง endpoint อันตราย 💠 teste123444212.teste123444212: สร้าง reverse shell เชื่อมต่อกับ EC2 instance เพื่อรันคำสั่งจากระยะไกล 💠 ToToRoManComp.diff-tool-vsc: ใช้ Bash และ Perl สร้าง shell session ไปยัง IP อันตราย 💠 BX-Dev.Blackstone-DLP: ดึงข้อมูล clipboard และจับภาพหน้าจอส่งไปยัง CloudFront ที่น่ากังวลคือปลั๊กอินบางตัวมีความสามารถในการตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์ เช่นการส่ง beacon ไปยัง webhook เพื่อยืนยันการติดตั้ง HelixGuard เตือนว่า IDE ที่ถูกเจาะอาจกลายเป็นช่องทางเข้าสู่ระบบภายในองค์กร โดยเฉพาะใน DevOps pipeline และระบบที่ใช้ AI ช่วยเขียนโค้ด ✅ พบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX ➡️ บางตัวยังคงออนไลน์อยู่ในขณะค้นพบ ➡️ ปลั๊กอินสามารถขโมยโค้ด, credential, ภาพหน้าจอ และเปิด remote shell ➡️ ใช้เทคนิค reverse shell ผ่าน Bash, Perl และ JavaScript ➡️ มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี เช่น AWS EC2, Ngrok, CloudFront ➡️ บางปลั๊กอินมีระบบตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์ ➡️ เป็นภัยคุกคามต่อ DevOps pipeline และระบบที่ใช้ AI coding ‼️ นักพัฒนาอาจถูกขโมยโค้ดและข้อมูลสำคัญโดยไม่รู้ตัว ⛔ IDE ที่ถูกเจาะสามารถเป็นช่องทางเข้าสู่ระบบภายในองค์กร ⛔ ปลั๊กอินอันตรายอาจแฝงตัวใน Marketplace อย่างแนบเนียน ⛔ การใช้ปลั๊กอินโดยไม่ตรวจสอบอาจเปิดช่องให้มัลแวร์ควบคุมเครื่อง https://securityonline.info/vscode-supply-chain-compromise-12-malicious-extensions-steal-source-code-and-open-remote-shells/

⚠️ LiteSpeed Cache XSS: เมื่อปลั๊กอินเร่งเว็บกลายเป็นช่องทางโจมตี ลองจินตนาการว่าคุณใช้ปลั๊กอิน LiteSpeed Cache เพื่อเร่งความเร็วเว็บไซต์ WordPress ของคุณ แต่กลับกลายเป็นว่ามีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถขโมยข้อมูลผู้ใช้หรือแม้แต่ยึดเว็บไซต์ของคุณได้! ช่องโหว่นี้มีชื่อว่า CVE-2025-12450 เป็นประเภท Reflected Cross-Site Scripting (XSS) ซึ่งหมายความว่าแฮกเกอร์สามารถสร้างลิงก์พิเศษที่เมื่อเหยื่อคลิกเข้าไป จะทำให้สคริปต์อันตรายถูกส่งกลับจากเซิร์ฟเวอร์ของเว็บไซต์และรันในเบราว์เซอร์ของเหยื่อทันที โดยเบราว์เซอร์จะเข้าใจผิดว่าสคริปต์นั้นมาจากแหล่งที่เชื่อถือได้ ผลลัพธ์คือ: 💠 แฮกเกอร์สามารถขโมย session cookies 💠 เข้าถึงข้อมูลผู้ใช้ 💠 เปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิ่ง 💠 หรือแม้แต่สร้างบัญชีผู้ดูแลระบบใหม่โดยไม่ได้รับอนุญาต ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยจาก Trustwave และมีผลกระทบต่อ ทุกเวอร์ชันของปลั๊กอิน LiteSpeed Cache จนถึงเวอร์ชัน 7.5.0.1 โดยเวอร์ชันที่ได้รับการแก้ไขคือ 7.6 ขึ้นไป ✅ ช่องโหว่ CVE-2025-12450 ถูกค้นพบในปลั๊กอิน LiteSpeed Cache ➡️ เป็นช่องโหว่ประเภท Reflected XSS ที่สามารถโจมตีผ่านลิงก์พิเศษ ➡️ กระทบเว็บไซต์ WordPress กว่า 7 ล้านแห่งทั่วโลก ➡️ ผู้โจมตีสามารถขโมยข้อมูลหรือยึดเว็บไซต์ได้ ➡️ เวอร์ชันที่ได้รับผลกระทบคือ 7.5.0.1 และก่อนหน้า ➡️ เวอร์ชันที่ปลอดภัยคือ 7.6 ขึ้นไป ➡️ ช่องโหว่นี้ถูกค้นพบโดย Trustwave และรายงานอย่างรับผิดชอบ ‼️ ผู้ดูแลเว็บไซต์ที่ยังไม่ได้อัปเดตปลั๊กอินมีความเสี่ยงสูง ⛔ อาจถูกขโมย session cookies และข้อมูลผู้ใช้ ⛔ อาจถูก redirect ไปยังเว็บไซต์ฟิชชิ่ง ⛔ อาจถูกสร้างบัญชีผู้ดูแลระบบใหม่โดยไม่ได้รับอนุญาต ⛔ การโจมตีสามารถเกิดขึ้นได้ง่ายเพียงแค่คลิกลิงก์ https://securityonline.info/litespeed-cache-flaw-cve-2025-12450-7-million-wordpress-sites-exposed-to-xss-attack/