📌🔐🩷 รวมข่าวจากเวบ SecurityOnline 🩷🔐📌 #รวมข่าวIT #20260113 #securityonline 🔥 ช่องโหว่ร้ายแรง Advantech เปิดช่องให้โจมตี IoT (CVE-2025-52694) ช่องโหว่ SQL Injection ระดับวิกฤตคะแนนเต็ม 10 ทำให้อุปกรณ์ IoT ของ Advantech เสี่ยงถูกเจาะโดยไม่ต้องล็อกอิน ผู้โจมตีสามารถสั่งฐานข้อมูล แก้ไขค่าระบบ หรือยึดโครงสร้าง IoT ได้ทันที โดยกระทบหลายผลิตภัณฑ์เวอร์ชันเก่าและต้องอัปเดตด่วนผ่านการติดต่อซัพพอร์ตหรือดาวน์โหลดแพตช์ตามรุ่นที่ใช้ 🔗 https://securityonline.info/cve-2025-52694-cvss-10-critical-advantech-sql-injection-exposes-iot-devices ⚠️ สวิตช์ Moxa เสี่ยงถูกโจมตีผ่าน OpenSSH RCE (CVSS 9.8) พบช่องโหว่ร้ายแรงในสวิตช์อุตสาหกรรมของ Moxa จากบั๊กใน OpenSSH ที่เปิดทางให้รันโค้ดจากระยะไกลได้ หากมีการใช้ ssh-agent forwarding โดยรุ่นที่ได้รับผลกระทบต้องติดต่อ Moxa เพื่อขอแพตช์เฉพาะ พร้อมคำแนะนำเสริมด้านความปลอดภัย เช่น แยกเครือข่าย จำกัดการเข้าถึง และตรวจสอบบันทึกการใช้งานอย่างใกล้ชิด 🔗 https://securityonline.info/critical-alert-moxa-switches-exposed-to-openssh-remote-code-execution-cvss-9-8 📱 Google เตรียมนำ AirDrop มาสู่ Pixel 9 Google เดินหน้าเร่งพัฒนาการแชร์ไฟล์ข้ามระบบให้เทียบเท่า AirDrop โดยฟีเจอร์ Quick Share รุ่นใหม่ถูกพบในเฟิร์มแวร์ทดลองของ Pixel 9 ก่อนกำหนดเดิมที่ตั้งใจเปิดตัวพร้อม Pixel 10 สะท้อนว่าบริษัทต้องการผลักดันการเชื่อมต่อ Android–iOS ให้ไร้รอยต่อ และอาจเปิดใช้งานจริงพร้อมอัปเดต Android 16 QPR3 หรือ Android 17 ในอนาคต 🔗 https://securityonline.info/tearing-down-the-wall-google-brings-airdrop-support-to-the-pixel-9 🛒 Google เปิดตัว “Agentic Commerce” ยุคใหม่ของการช้อปด้วย AI Google ประกาศแนวคิด Agentic Commerce และโปรโตคอล UCP ที่ช่วยให้ AI ทำงานแทนผู้ใช้ตั้งแต่ค้นหา เปรียบเทียบราคา ไปจนถึงสั่งซื้อสินค้าโดยไม่ต้องเปิดหลายแท็บหรือกรอกข้อมูลซ้ำ ระบบนี้ร่วมพัฒนากับยักษ์ค้าปลีกอย่าง Walmart, Shopify และบริษัทการเงินหลายแห่ง เพื่อสร้างมาตรฐานกลางให้ AI เชื่อมต่อร้านค้าต่าง ๆ ได้อย่างราบรื่น และอาจเป็นก้าวสำคัญในการท้าชน Amazon 🔗 https://securityonline.info/the-end-of-the-shopping-tab-google-unveils-agentic-commerce-and-ucp 💻 Dell ยอมรับ “AI PC” ยังไม่จูงใจผู้บริโภค แม้ผู้ผลิตชิปและผู้พัฒนาระบบจะผลักดัน AI PC อย่างหนัก แต่ Dell ระบุว่าผู้ใช้ทั่วไปยังไม่เห็นประโยชน์ชัดเจนและกังวลเรื่องความเป็นส่วนตัว ทำให้ยอดขายไม่ขยับตามคาด ผู้บริโภคยังให้ความสำคัญกับราคา ประสิทธิภาพ และความทนทานมากกว่า ส่งผลให้ Dell ปรับกลยุทธ์เน้นดีไซน์และประสบการณ์ใช้งานแทนการโปรโมต AI แบบเดิม 🔗 https://securityonline.info/the-hype-hangover-dell-admits-consumers-arent-buying-the-ai-pc-narrative 🕵️‍♂️ “TryCloudflare” ถูกใช้เป็นช่องทางซ่อนมัลแวร์ AsyncRAT แคมเปญโจมตีใหม่กำลังใช้บริการ TryCloudflare และ WebDAV เพื่อสร้างโครงสร้างสั่งการมัลแวร์ที่ซ่อนตัวแนบเนียน โดยเริ่มจากอีเมลฟิชชิงที่หลอกให้เหยื่อเปิดไฟล์ลวงซึ่งดาวน์โหลด Python ของจริงมาติดตั้งสภาพแวดล้อมก่อนฉีด AsyncRAT เข้าไปใน explorer.exe ทำให้ผู้โจมตีควบคุมเครื่องได้อย่างต่อเนื่องและยากต่อการตรวจจับ แนวโน้มนี้สะท้อนการใช้บริการคลาวด์ถูกกฎหมายเป็นเครื่องมือโจมตีมากขึ้น 🔗 https://securityonline.info/trycloudflare-abuse-asyncrat-exploits-free-tunnels-to-build-stealthy-webdav-network 🤖 Apple จับมือ Google Gemini ปั้น Siri เวอร์ชันใหม่ Apple และ Google ประกาศความร่วมมือครั้งใหญ่ โดย Apple จะนำโมเดล Gemini มาเป็นแกนหลักของ Apple Foundation Models เพื่อยกระดับ Siri ให้ฉลาดขึ้น เข้าใจภาษาธรรมชาติดีขึ้น และรองรับฟีเจอร์ Apple Intelligence รุ่นใหม่ แม้จะยังคงประมวลผลข้อมูลส่วนตัวบนอุปกรณ์และ Private Cloud Compute ของ Apple แต่ดีลนี้สะท้อนว่า Apple ต้องเร่งปิดช่องว่างการแข่งขันด้าน AI ขณะที่ Google ได้ประโยชน์จากดีมานด์มหาศาลของผู้ใช้ iPhone 🔗 https://securityonline.info/the-ai-alliance-apple-taps-google-gemini-to-power-the-new-siri 🇮🇳 อินเดียขอซอร์สโค้ดมือถือ จุดชนวนความไม่พอใจในวงการเทค รัฐบาลอินเดียเสนอข้อกำหนดด้านความปลอดภัย 83 ข้อ โดยหนึ่งในนั้นคือการให้ผู้ผลิตสมาร์ตโฟนส่งมอบ “ซอร์สโค้ด” ให้รัฐตรวจสอบ อ้างเพื่อความมั่นคงไซเบอร์ แต่บริษัทใหญ่ทั้ง Apple, Samsung และ MAIT ต่างคัดค้านอย่างหนักเพราะซอร์สโค้ดคือทรัพย์สินสำคัญและเสี่ยงต่อการถูกเจาะระบบ หากข้อกำหนดนี้เดินหน้าจริงอาจทำให้อินเดียเสียความเชื่อมั่นจากผู้ผลิตรายใหญ่ทั่วโลก 🔗 https://securityonline.info/indias-source-code-demand-sparks-tech-revolt 🧩 QEMU 11.0 เตรียมตัดการรองรับ 32-bit บน Cloud Variant QEMU กำลังเดินหน้าลดภาระโค้ดโดยเตรียมลบการรองรับโฮสต์ 32-bit ในเวอร์ชัน Cloud ซึ่งจะช่วยลดโค้ดกว่า 7,000 บรรทัด แม้เวอร์ชันปกติยังรองรับอยู่ แต่ผู้ใช้ 32-bit จะไม่สามารถอัปเกรดเป็น QEMU 11.0 ได้และต้องค้างอยู่บน 10.x ที่ไม่มีแพตช์ความปลอดภัย ทำให้เสี่ยงต่อการใช้งานระยะยาว การเปลี่ยนแปลงยังอยู่ระหว่างพิจารณาแต่มีแนวโน้มสูงว่าจะเกิดขึ้นจริง 🔗 https://securityonline.info/cutting-the-cord-qemu-11-0-to-expunge-32-bit-host-support-in-cloud-variant 🔐 พบช่องโหว่ร้ายแรงใน Ruckus IoT Controller เสี่ยงถูกยึดระบบเต็มรูปแบบ มีการเปิดเผยช่องโหว่ CVSS 10 สองรายการใน Ruckus vRIoT Controller ที่เกิดจากการฝังคีย์ลับและข้อมูลล็อกอินแบบฮาร์ดโค้ด ทำให้ผู้โจมตีสามารถเข้าถึงบริการบนพอร์ต 2004 เพื่อรันคำสั่งระดับ root หรือใช้บัญชี SSH ที่ฝังไว้เพื่อเจาะออกจาก Docker และยึดระบบทั้งหมดได้ Ruckus ออกแพตช์แก้ไขแล้วในเวอร์ชัน 3.0.0.0 และแนะนำให้อัปเดตทันที 🔗 https://securityonline.info/double-critical-hardcoded-secrets-expose-ruckus-iot-controllers-to-root-rce 🔐 Hikvision เจอช่องโหว่ Stack Overflow กระทบกล้องวงจรปิดและระบบควบคุมการเข้าออก รายงานชี้ว่าอุปกรณ์ของ Hikvision ทั้งกล้องวงจรปิดและระบบ Access Control ถูกพบช่องโหว่แบบ Stack Overflow ที่อาจเปิดทางให้ผู้โจมตีทำให้ระบบล่มหรือเข้าควบคุมอุปกรณ์ได้ โดยข้อมูลเชิงลึกถูกจำกัดให้เฉพาะผู้สนับสนุน แต่ประเด็นหลักคือความเสี่ยงต่อโครงสร้างพื้นฐานด้านความปลอดภัยที่ใช้อุปกรณ์เหล่านี้อย่างแพร่หลาย 🔗 https://securityonline.info/hikvision-security-cameras-and-access-controls-hit-by-stack-overflow-flaws 🕵️‍♂️ ช่องโหว่ร้ายแรงใน ServiceNow (CVE-2025-12420) เปิดทางปลอมตัวเป็นผู้ใช้ มีการค้นพบช่องโหว่ระดับวิกฤตในแพลตฟอร์ม AI ของ ServiceNow ที่เปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถสวมรอยเป็นผู้ใช้จริงและทำสิ่งที่ผู้ใช้คนนั้นมีสิทธิ์ทำได้ แม้ ServiceNow จะออกแพตช์แก้ไขแล้วสำหรับระบบที่โฮสต์โดยบริษัท แต่ลูกค้าที่ติดตั้งเองยังต้องเร่งอัปเดตเพื่อปิดความเสี่ยงนี้ทันที 🔗 https://securityonline.info/ai-identity-theft-critical-servicenow-flaw-cve-2025-12420-allows-unauthenticated-impersonation 🚨 CISA เตือนด่วน! ช่องโหว่ Gogs (CVE-2025-8110) ถูกโจมตีจริงแล้ว CISA ออกประกาศ “Must-Patch” หลังพบว่าช่องโหว่ใน Gogs ซึ่งเป็นระบบ Git แบบ self-hosted ถูกใช้โจมตีจริงในโลกไซเบอร์ โดยช่องโหว่นี้เป็นการเลี่ยงแพตช์เดิม ทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถทำ Path Traversal และเขียนไฟล์ออกนอกไดเรกทอรีได้ ส่งผลให้สามารถรันโค้ดบนเซิร์ฟเวอร์ได้ หน่วยงานรัฐสหรัฐฯ ถูกกำหนดเส้นตายให้แก้ไขก่อนกุมภาพันธ์ 2026 🔗 https://securityonline.info/cisa-must-patch-alert-critical-gogs-exploit-cve-2025-8110-active-in-wild 📄 มิจฉาชีพใช้ PDF ปลอมล่อเหยื่อ ติดตั้ง RMM Tools เพื่อยึดเครื่อง รายงานจาก ASEC ระบุว่าผู้โจมตีกำลังใช้ไฟล์ PDF ปลอมที่แกล้งทำเป็นเอกสารเสียหรือโหลดไม่ขึ้น เพื่อหลอกให้เหยื่อคลิกลิงก์ดาวน์โหลดเครื่องมือ Remote Monitoring & Management (RMM) เช่น Syncro, NinjaOne หรือ ScreenConnect ซึ่งเป็นซอฟต์แวร์ถูกต้องตามกฎหมาย แต่ถูกนำมาใช้เป็นช่องทางเข้าควบคุมเครื่องของเหยื่อแบบแนบเนียน ทำให้ตรวจจับได้ยากมาก 🔗 https://securityonline.info/attackers-weaponize-legitimate-rmm-tools-via-fake-pdfs 🛡️ Angular พบช่องโหว่ร้ายแรงใน SVG (CVE-2026-22610) เสี่ยงถูกโจมตีแบบ XSS ช่องโหว่ใหม่ใน Angular Template Compiler ทำให้ผู้โจมตีสามารถใช้คุณสมบัติของ SVG script เพื่อหลบเลี่ยงระบบ Sanitization และฝังโค้ด JavaScript อันตรายได้ หากแอปมีการผูกข้อมูลแบบไดนามิกกับ attribute ของ SVG script อาจถูกใช้ขโมย session, ดึงข้อมูล หรือสั่งการโดยไม่ได้รับอนุญาต นักพัฒนาถูกแนะนำให้อัปเดตเวอร์ชัน Angular ทันทีเพื่อปิดช่องโหว่นี้ 🔗 https://securityonline.info/angular-security-alert-high-severity-svg-flaw-cve-2026-22610-exposes-apps-to-xss

🛡️ Angular เตือนด่วน! ช่องโหว่ร้ายแรงใน SVG (CVE-2026-22610) เปิดทาง XSS บนเว็บแอป ช่องโหว่ใหม่ที่ถูกจัดระดับความรุนแรงสูงใน Angular กำลังสร้างแรงสั่นสะเทือนให้กับนักพัฒนาเว็บทั่วโลก ช่องโหว่นี้ถูกระบุเป็น CVE-2026-22610 และมีคะแนนความรุนแรง CVSS 8.5 ซึ่งถือว่าสูงมาก เนื่องจากเปิดโอกาสให้ผู้โจมตีสามารถ ฉีดโค้ด JavaScript (XSS) ผ่านการจัดการ SVG ที่ผิดพลาดภายใน Angular Template Compiler ฟีเจอร์ SVG ที่ดูเหมือนไม่อันตราย กลับกลายเป็นช่องทางให้โค้ดอันตรายเล็ดลอดผ่านระบบป้องกันของ Angular ได้ ปัญหานี้เกิดจากการที่ Angular ไม่รู้จักความเสี่ยงของ attribute บางตัวใน <script> ของ SVG เช่น href และ xlink:href ซึ่งควรถูกจัดการในบริบท Resource URL ที่มีความเสี่ยงสูง แต่ Angular กลับมองว่าเป็นเพียง string ธรรมดา ทำให้ผู้โจมตีสามารถใช้ template binding เช่น [attr.href]="userInput" เพื่อส่ง payload อันตราย เช่น data:text/javascript หรือสคริปต์จากภายนอกเข้าสู่ระบบได้โดยตรง ผลกระทบของการโจมตีนี้รุนแรงมาก เพราะเมื่อโค้ดถูกฉีดเข้าไปในเบราว์เซอร์ของเหยื่อ ผู้โจมตีสามารถทำได้ตั้งแต่ ขโมย session, ดึงข้อมูลสำคัญ, ไปจนถึง สั่งให้เบราว์เซอร์ทำงานโดยไม่ได้รับอนุญาต เช่น ส่งฟอร์ม หรือคลิกปุ่มต่าง ๆ โดยที่ผู้ใช้ไม่รู้ตัว ช่องโหว่นี้จะเกิดขึ้นก็ต่อเมื่อแอปมีการใช้ <script> ภายใน SVG และผูกค่าจากผู้ใช้เข้ากับ attribute เหล่านี้โดยตรง ทีม Angular ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน ได้แก่ 19.2.18, 20.3.16, 21.0.7 และ 21.1.0-rc.0 พร้อมคำแนะนำให้หยุดใช้ dynamic binding กับ SVG <script> ทันที หากจำเป็นต้องใช้จริง ๆ ต้องตรวจสอบ input อย่างเข้มงวดด้วย allowlist เพื่อป้องกัน payload อันตรายไม่ให้หลุดรอดเข้าไปใน template 📌 สรุปประเด็นสำคัญ ✅ CVE-2026-22610 เป็นช่องโหว่ XSS รุนแรงใน Angular ➡️ เกิดจากการจัดการ SVG <script> ผิดพลาด ➡️ คะแนน CVSS สูงถึง 8.5 ✅ เกิดจากการ misclassify ของ Angular Template Compiler ➡️ href และ xlink:href ไม่ถูกจัดเป็น Resource URL ➡️ เปิดทางให้ payload อันตรายผ่าน template binding ✅ ผลกระทบของการโจมตีรุนแรง ➡️ ขโมย session และข้อมูลสำคัญ ➡️ บังคับให้เบราว์เซอร์ทำงานโดยไม่ได้รับอนุญาต ✅ มีแพตช์ออกแล้วหลายเวอร์ชัน ➡️ 19.2.18 / 20.3.16 / 21.0.7 / 21.1.0-rc.0 ➡️ แนะนำให้หยุดใช้ dynamic binding กับ SVG <script> ⚠️ ประเด็นที่ควรระวัง ‼️ แอปที่ใช้ SVG <script> เสี่ยงสูงมาก ⛔ หากผูกค่าจากผู้ใช้โดยตรง อาจถูกโจมตีทันที ‼️ การ sanitize ของ Angular ไม่ครอบคลุมกรณีนี้ ⛔ นักพัฒนาที่คิดว่าระบบป้องกันของ Angular เพียงพออาจเข้าใจผิด ‼️ การตรวจสอบ input ต้องเข้มงวด ⛔ ห้ามปล่อยให้ URL หรือ data URI จากผู้ใช้เข้าสู่ template โดยไม่กรอง https://securityonline.info/angular-security-alert-high-severity-svg-flaw-cve-2026-22610-exposes-apps-to-xss/

📡 Google เร่งเปิด Quick Share รองรับ AirDrop บน Pixel 9 – ก้าวใหม่ของการแชร์ไฟล์ข้ามระบบ การพัฒนาเพื่อทำลาย “กำแพงระบบปิด” ระหว่าง Android และ iOS ดูจะเดินหน้าเร็วกว่าที่หลายฝ่ายคาดไว้ เมื่อมีการค้นพบว่า Pixel 9 ได้ซ่อนฟีเจอร์ Quick Share เวอร์ชันใหม่ที่สามารถส่งไฟล์ไปยังอุปกรณ์ Apple ผ่าน AirDrop ได้แล้วภายในเฟิร์มแวร์ทดลอง แม้เดิมที Google ตั้งใจจะเปิดตัวความสามารถนี้พร้อม Pixel 10 แต่การปรากฏตัวก่อนกำหนดบ่งบอกถึงกลยุทธ์เร่งปล่อยฟีเจอร์เพื่อให้ผู้ใช้ได้รับประโยชน์เร็วขึ้น ภายใน Android Canary build ล่าสุด นักพัฒนาได้พบสตริงโค้ดที่เกี่ยวข้องกับโปรโตคอล Quick Share แบบใหม่ ซึ่งจำเป็นต่อการส่งไฟล์ไปยัง iPhone การค้นพบนี้ชี้ว่าฟีเจอร์กำลังถูกเตรียมใช้งานบน Pixel 9 โดยเฉพาะรุ่นที่ใช้ชิป Tensor G4 ขณะที่ Pixel 8 และ Pixel 9a ยังไม่พบสัญญาณรองรับ ทำให้เกิดการคาดการณ์ว่าฟีเจอร์นี้อาจต้องการฮาร์ดแวร์ใหม่เพื่อทำงานได้เต็มประสิทธิภาพ นักวิเคราะห์หลายรายมองว่าการเปิดใช้งานจริงอาจเกิดขึ้นในอัปเดต Android 16 QPR3 หรืออาจเลื่อนไปถึง Android 17 ขึ้นอยู่กับความพร้อมของระบบนิเวศ แต่สิ่งที่น่าสนใจคือ Qualcomm ออกมาสนับสนุนอย่างชัดเจนว่าต้องการเห็นฟีเจอร์นี้บนอุปกรณ์ Snapdragon ด้วย ซึ่งหมายความว่าความสามารถในการแชร์ไฟล์ข้ามระบบอาจไม่ได้จำกัดเฉพาะ Pixel แต่จะขยายไปยังสมาร์ตโฟน Android จำนวนมากในอนาคต หากฟีเจอร์นี้เปิดใช้งานจริง จะถือเป็นก้าวสำคัญของการเชื่อมต่อข้ามแพลตฟอร์ม ลดความยุ่งยากในการส่งไฟล์ระหว่าง Android และ iPhone ซึ่งเป็นปัญหาที่ผู้ใช้ทั่วโลกเผชิญมานาน และยังสะท้อนแรงกดดันจากหน่วยงานกำกับดูแลในหลายภูมิภาคที่ผลักดันให้ผู้ผลิตเปิดระบบให้ทำงานร่วมกันได้มากขึ้น 📌 สรุปประเด็นสำคัญ ✅ Google เตรียมปล่อย Quick Share รองรับ AirDrop บน Pixel 9 ➡️ ฟีเจอร์ถูกพบในเฟิร์มแวร์ทดลองของ Pixel 9 ➡️ เดิมทีตั้งใจเปิดตัวพร้อม Pixel 10 แต่เร่งปล่อยให้เร็วขึ้น ✅ ฟีเจอร์อาจรองรับเฉพาะฮาร์ดแวร์ใหม่ ➡️ พบเฉพาะในรุ่นที่ใช้ Tensor G4 ➡️ Pixel 8 และ Pixel 9a ยังไม่พบสัญญาณรองรับ ✅ อาจเปิดใช้งานจริงใน Android 16 QPR3 หรือ Android 17 ➡️ ยังไม่มีกำหนดแน่ชัด ขึ้นอยู่กับความพร้อมของระบบ ✅ Qualcomm สนับสนุนเต็มที่ ➡️ บ่งบอกว่าฟีเจอร์นี้อาจมาถึงอุปกรณ์ Snapdragon จำนวนมาก ⚠️ ประเด็นที่ควรระวัง ‼️ ความเข้ากันได้ของอุปกรณ์อาจไม่เท่ากัน ⛔ รุ่นเก่าอาจไม่ได้รับฟีเจอร์นี้แม้จะอัปเดตระบบ ‼️ ความปลอดภัยของการแชร์ไฟล์ข้ามระบบ ⛔ ต้องรอการยืนยันมาตรฐานความปลอดภัยจากทั้ง Google และ Apple ‼️ ความเสี่ยงด้านความเป็นส่วนตัว ⛔ การเปิดระบบให้ทำงานร่วมกันมากขึ้นอาจเพิ่มช่องโจมตีหากไม่มีการป้องกันที่ดี https://securityonline.info/tearing-down-the-wall-google-brings-airdrop-support-to-the-pixel-9/

📌🔐🟡 รวมข่าวจากเวบ SecurityOnline 🟡🔐📌 #รวมข่าวIT #20260112 #securityonline 🕵️‍♂️ เครือข่ายมืดไม่เคยตาย: ตลาด Carding ยังรอดด้วยโดเมนยุคโซเวียต นักวิจัยเผยให้เห็นโครงสร้างลับของตลาดซื้อขายข้อมูลบัตรเครดิตใต้ดินที่ยังคงดำเนินอยู่ผ่านโดเมนเก่าอย่าง .su ของสหภาพโซเวียต พร้อมพึ่งพาโฮสติ้งแบบ “bulletproof” เพื่อหลบเลี่ยงการบังคับใช้กฎหมาย โดยตลาดเหล่านี้แบ่งเป็นทั้งเว็บซื้อขายและฟอรั่มแลกเปลี่ยนเทคนิค ทำให้ระบบอาชญากรรมไซเบอร์มีความยืดหยุ่นสูงและยากต่อการปิดกั้น 🔗 https://securityonline.info/the-soviet-ghost-how-carding-markets-survive-on-legacy-domains ⚠️ 🔐 ช่องโหว่ร้ายแรงใน Apache Uniffle เปิดทางดักฟังข้อมูลคลัสเตอร์ พบช่องโหว่ CVE-2025-68637 ที่ทำให้ระบบกระจายข้อมูลขนาดใหญ่เสี่ยงถูกโจมตีแบบ MITM เนื่องจากการตั้งค่า SSL/TLS ที่ไม่ปลอดภัย ส่งผลให้ผู้โจมตีสามารถสวมรอยใบรับรองและดักข้อมูลระหว่างไคลเอนต์กับเซิร์ฟเวอร์ได้ โดยเวอร์ชันใหม่ 0.10.0 ได้แก้ไขปัญหานี้แล้วและผู้ดูแลระบบควรอัปเดตทันทีเพื่อป้องกันการรั่วไหลของข้อมูลสำคัญ 🔗 https://securityonline.info/cve-2025-68637-critical-apache-uniffle-flaw-exposes-clusters-to-eavesdropping 🐟💬 มัลแวร์ Astaroth รุ่นใหม่แพร่ผ่าน WhatsApp แบบอัตโนมัติ แคมเปญ “Boto Cor-de-Rosa” เผยวิวัฒนาการใหม่ของมัลแวร์ Astaroth ที่หันมาใช้ WhatsApp Web เป็นช่องทางแพร่กระจาย โดยฝังโมดูล Python ที่สามารถดึงรายชื่อผู้ติดต่อและส่งไฟล์ ZIP อันตรายออกไปโดยอัตโนมัติ ทำให้เครื่องเหยื่อกลายเป็นบอทแพร่มัลแวร์ พร้อมทั้งขโมยข้อมูลรายชื่อเพื่อใช้ในแคมเปญโจมตีอื่นในอนาคต 🔗 https://securityonline.info/boto-cor-de-rosa-banking-malware-astaroth-pivots-to-whatsapp-in-new-campaign 🛠️⚡ ช่องโหว่ React Router เปิดช่องอ่านไฟล์เซิร์ฟเวอร์ ช่องโหว่ CVE-2025-61686 ใน React Router ทำให้ผู้โจมตีสามารถชี้ session ID ไปยังไฟล์สำคัญบนเซิร์ฟเวอร์และดึงข้อมูลออกมาได้ หากแอปใช้ createFileSessionStorage() ร่วมกับคุกกี้ที่ไม่เซ็นกำกับ นอกจากนี้ยังมีช่องโหว่ XSS หลายรายการที่กระทบการทำงาน SSR และ SPA ทำให้ผู้พัฒนาต้องเร่งตรวจสอบเวอร์ชันและอัปเดตแพตช์เพื่อป้องกันการโจมตี 🔗 https://securityonline.info/critical-react-router-flaws-cve-2025-61686-exposes-server-files 🛡️ RustyWater: มัลแวร์สายพันธุ์ใหม่ของ MuddyWater กลุ่ม APT ชื่อดัง MuddyWater ถูกพบว่าปรับยุทธวิธีครั้งใหญ่ด้วยการทิ้ง PowerShell และ VBS ที่เคยใช้มายาวนาน แล้วหันมาใช้มัลแวร์ตัวใหม่ชื่อ RustyWater ที่พัฒนาด้วยภาษา Rust เพื่อเพิ่มความล่องหนและหลบการตรวจจับ โดยเริ่มจากการส่งอีเมลลวงแนบไฟล์ Word ที่มีมาโครอันตราย ก่อนติดตั้ง implant ที่มีความสามารถครบเครื่องทั้งสื่อสารแบบ asynchronous, ฝังตัวใน registry และขยายโมดูลหลังเจาะระบบ เป้าหมายหลักคือหน่วยงานด้านการทูต การเงิน การเดินเรือ และโทรคมนาคมในตะวันออกกลาง ซึ่งสะท้อนว่ากลุ่มนี้กำลังยกระดับเครื่องมือให้ทันสมัยและตรวจจับยากขึ้นอย่างชัดเจน 🔗 https://securityonline.info/rustywater-rising-muddywater-drops-powershell-for-stealthy-rust-implants 📹 กล้อง Vivotek รุ่นเก่าเสี่ยงถูกส่องสดทั่วโลก CERT Polska เปิดเผยว่ากล้องวงจรปิด Vivotek IP7137 ที่หมดอายุซัพพอร์ตแล้วมีช่องโหว่ร้ายแรงถึง 4 รายการ ตั้งแต่การเปิดให้ใครก็ได้ดูภาพสดผ่าน RTSP โดยไม่ต้องล็อกอิน ไปจนถึงการเข้าถึงหน้าแอดมินโดยไม่ต้องใช้รหัสผ่าน รวมถึงช่องโหว่สั่งรันคำสั่งและไต่ directory ได้ ทำให้ผู้ใช้เสี่ยงถูกสอดแนมและถูกยึดอุปกรณ์อย่างถาวรเพราะไม่มีแพตช์แก้ไขอีกต่อไป ทางออกเดียวคือถอดออกจากระบบหรือแยกเครือข่ายอย่างเด็ดขาด 🔗 https://securityonline.info/unpatched-exposed-legacy-vivotek-cameras-broadcast-live-video-to-all 🛰️ UAT-7290 กลุ่มแฮกเกอร์จีนขยายปฏิบัติการสู่ยุโรป Cisco Talos เปิดโปงกลุ่ม UAT-7290 ซึ่งเชื่อมโยงกับจีนว่ากำลังโจมตีโครงสร้างพื้นฐานโทรคมนาคมในเอเชียใต้และขยายสู่ยุโรปตะวันออก โดยกลุ่มนี้ไม่เพียงสอดแนมข้อมูล แต่ยังสร้างโครงสร้าง ORB ให้แฮกเกอร์กลุ่มอื่นใช้เป็นเส้นทางโจมตี พร้อมใช้อาวุธเฉพาะทางอย่าง RushDrop, DriveSwitch, SilentRaid และ backdoor ชื่อ Bulbature ที่สามารถสลับเซิร์ฟเวอร์ C2 ได้อย่างยืดหยุ่น ทำให้การกำจัดออกจากระบบเป็นเรื่องยากมาก 🔗 https://securityonline.info/china-nexus-actor-uat-7290-caught-targeting-telecoms-in-south-asia-and-europe 🎮 ช่องโหว่ InputPlumber ทำผู้ใช้ Linux Gaming เสี่ยงถูกยึดคีย์บอร์ด รายงานจากทีมความปลอดภัยของ SUSE พบว่า InputPlumber ซึ่งใช้ใน SteamOS มีช่องโหว่ร้ายแรงจากการขาดระบบยืนยันตัวตนบน D-Bus ทำให้ผู้ใช้ทั่วไปสามารถสั่งสร้างอุปกรณ์อินพุตปลอมและส่งคีย์กดเข้า session ของผู้ใช้คนอื่นได้ รวมถึงอ่านไฟล์สำคัญอย่าง bash_history ผ่านช่องโหว่การ parse ไฟล์ หลังการเปิดเผย นักพัฒนาจึงออกแพตช์ในเวอร์ชัน v0.69.0 และ SteamOS ก็อัปเดตตามเพื่ออุดช่องโหว่ทั้งหมด 🔗 https://securityonline.info/game-over-critical-inputplumber-flaws-expose-linux-gamers-to-hijacking ⚙️ Qualcomm–Samsung จับมือคุยดีลผลิตชิป 2nm Qualcomm ยืนยันระหว่างงาน CES 2026 ว่ากำลังเจรจากับ Samsung เพื่อกลับมาร่วมผลิตชิประดับ 2nm หลังเคยย้ายไปพึ่ง TSMC เต็มตัวเพราะปัญหาความร้อนและประสิทธิภาพในอดีต โดยดีลนี้สะท้อนการแข่งขันด้านกำลังผลิตที่ตึงตัว และอาจช่วยฟื้นความเชื่อมั่นต่อเทคโนโลยีของ Samsung หากพิสูจน์คุณภาพได้สำเร็จ 🔗 https://securityonline.info/the-2nm-reunion-qualcomm-confirms-samsung-foundry-talks-at-ces-2026 🔍 Musk ลั่นเปิดซอร์สอัลกอริทึม X ทั้งระบบภายใน 7 วัน Elon Musk ประกาศจะเปิดซอร์สโค้ดอัลกอริทึมของ X ทั้งระบบ รวมถึงระบบแนะนำโฆษณา เพื่อแสดงความโปร่งใสท่ามกลางแรงกดดันจากหน่วยงานยุโรป พร้อมสัญญาว่าจะอัปเดตโค้ดเป็นประจำ ต่างจากครั้งก่อนที่ปล่อยแล้วปล่อยทิ้ง สะท้อนความพยายามกู้ศรัทธาผู้ใช้และนักพัฒนาในช่วงที่แพลตฟอร์มถูกจับตาอย่างหนัก 🔗 https://securityonline.info/the-glass-box-musk-pledges-full-x-algorithm-ad-transparency-in-7-days 🕵️‍♂️ ข้อมูล Instagram 17.5 ล้านบัญชีหลุดสู่ดาร์กเว็บ เกิดเหตุข้อมูลผู้ใช้ Instagram จำนวนกว่า 17.5 ล้านบัญชีถูกนำไปขายบนดาร์กเว็บ ครอบคลุมอีเมล เบอร์โทร และข้อมูลระบุตัวตน ทำให้ผู้ใช้จำนวนมากเริ่มได้รับอีเมลรีเซ็ตรหัสผ่านปลอม ผู้เชี่ยวชาญเตือนให้เปิด 2FA และตรวจสอบแอปที่เชื่อมต่อ ขณะที่ Meta ระบุว่าเป็นเพียงช่องโหว่การร้องขอรีเซ็ตรหัสผ่าน ไม่ใช่การเจาะระบบโดยตรง 🔗 https://securityonline.info/the-solonik-leak-17-5-million-instagram-profiles-exposed-on-dark-web 🛡️ ช่องโหว่ OWASP CRS เปิดทางโจมตี WAF (เล่าเรื่องแทนเพราะถูกกรองเนื้อหา) มีรายงานว่าระบบกรองภัยคุกคามของเว็บ (WAF) ที่ใช้กฎ OWASP CRS พบช่องโหว่สำคัญที่ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับได้ ส่งผลให้เว็บไซต์จำนวนมากเสี่ยงต่อการถูกโจมตีแบบ XSS และการเจาะระบบรูปแบบอื่น แม้รายละเอียดเชิงเทคนิคถูกจำกัดไว้สำหรับผู้สนับสนุน แต่ประเด็นนี้สะท้อนว่าระบบป้องกันเว็บยังต้องเฝ้าระวังและอัปเดตอย่างต่อเนื่อง 🔗 https://securityonline.info/wafs-wide-open-critical-owasp-crs-flaw-bypasses-filters

📌🔐🟣 รวมข่าวจากเวบ SecurityOnline 🟣🔐📌 #รวมข่าวIT #20260110 #securityonline ⚛️ Meta เดินหน้าปฏิวัติพลังงานสำหรับยุค AI Meta ทำข้อตกลงด้านนิวเคลียร์รวมสูงสุด 6.6 GW เพื่อป้อนพลังงานให้ศูนย์ข้อมูลและซูเปอร์คอมพิวเตอร์ “Prometheus” ในโอไฮโอ โดยร่วมมือกับ TerraPower เพื่อสร้างเตาปฏิกรณ์โซเดียม “Natrium” ที่จะเริ่มจ่ายไฟปี 2032 และขยายได้ถึง 2.1 GW รวมถึงจับมือกับ Oklo ซึ่งมี Sam Altman ถือหุ้น เพื่อผลิตไฟฟ้า 1.2 GW ภายในปี 2030 ควบคู่กับสัญญาซื้อไฟ 20 ปีจาก Vistra อีกกว่า 2.1 GW พร้อมแผนขยายกำลังผลิตเพิ่มเติม ทั้งหมดนี้สะท้อนการเปลี่ยนทิศของบริษัทยักษ์ใหญ่สู่พลังงานนิวเคลียร์ที่ให้ไฟฟ้าคงที่ 24 ชั่วโมง ซึ่งเป็นหัวใจสำคัญของการแข่งขันด้าน AI ที่ต้องการพลังงานมหาศาลและเสถียรเพื่อรักษาความได้เปรียบเชิงยุทธศาสตร์ในอนาคต 🔗 https://securityonline.info/the-atomic-engine-meta-secures-6-6-gw-of-nuclear-power-to-fuel-its-ai-future/ 🛒 Copilot Checkout: ก้าวใหม่ของช้อปปิ้งไร้แรงเสียดทาน ไมโครซอฟท์เปิดตัว “Copilot Checkout” ที่งาน NRF 2026 ซึ่งเป็นระบบช้อปปิ้งแบบใหม่ที่ให้ผู้ใช้ซื้อสินค้าได้ทันทีภายในหน้าต่าง Copilot โดยไม่ต้องเปิดเว็บร้านค้า ทำงานร่วมกับ PayPal, Shopify, Stripe และ Etsy พร้อมแบรนด์ดังหลายรายเข้าร่วม แม้จะถูกตั้งคำถามเรื่องความรับผิดชอบหาก AI เข้าใจผิด แต่ฟีเจอร์นี้สะท้อนทิศทางใหม่ของคอนเวอร์เซชันนัลคอมเมิร์ซที่กำลังเติบโตอย่างรวดเร็ว 🔗 https://securityonline.info/the-frictionless-frontier-microsoft-launches-copilot-checkout-at-nrf-2026 ✉️ Gemini อัปเกรด Gmail: เขียนอีเมลอัจฉริยะและกล่องจดหมายแบบรู้ใจ Google เปิดตัวฟีเจอร์ Gemini ใหม่สำหรับผู้ใช้ Gmail ทั่วไป ทั้งระบบเขียนอีเมลอัตโนมัติ การจัดลำดับความสำคัญของอีเมลด้วย “AI Inbox” และการสรุปเธรดอีเมล โดยฟีเจอร์ขั้นสูงอย่าง AI Overviews จะสงวนไว้สำหรับผู้ใช้แบบ Pro/Ultra การอัปเดตนี้ช่วยลดภาระงานอีเมลและทำให้การค้นหาข้อมูลในกล่องจดหมายเป็นธรรมชาติมากขึ้น 🔗 https://securityonline.info/the-gemini-overhaul-google-unlocks-free-ai-writing-and-ai-inbox-for-gmail 🐧 Linus Torvalds โต้กระแส “AI Slop” ไม่ต้องทำคู่มือเป็นแถลงการณ์ Linus Torvalds ออกมาแสดงจุดยืนชัดเจนว่าการถกเถียงเรื่องโค้ดที่สร้างด้วย AI ไม่ควรทำให้เอกสารพัฒนา Linux กลายเป็นแถลงการณ์ทางการเมือง เขาย้ำว่าปัญหาโค้ดคุณภาพต่ำต้องแก้ด้วยการรีวิวอย่างเข้มงวด ไม่ใช่การออกกฎห้ามใช้ AI พร้อมชี้ว่าผู้ส่งโค้ดคุณภาพแย่จะไม่บอกอยู่แล้วว่าใช้ AI หรือไม่ 🔗 https://securityonline.info/no-manifesto-needed-linus-torvalds-blasts-ai-slop-fearmongering 🪟 Windows 11 เปิดทางลบ Copilot ได้จริงสำหรับองค์กร ไมโครซอฟท์เพิ่ม Group Policy ใหม่ใน Windows 11 Build 26200.7535 ให้ผู้ดูแลระบบสามารถถอนการติดตั้ง Microsoft Copilot ได้ หากตรงตามเงื่อนไข เช่น แอปต้องถูกติดตั้งมาก่อนและไม่ถูกเปิดใช้งานเกิน 28 วัน แม้จะลบได้ แต่ผู้ใช้ยังสามารถติดตั้งกลับเองได้ ทำให้เป็นมาตรการที่เน้นองค์กรเป็นหลัก 🔗 https://securityonline.info/the-exit-strategy-microsoft-finally-grants-admins-a-way-to-uninstall-copilot 🌐 อิหร่านทดสอบ “Whitelist” อินเทอร์เน็ตเฉพาะมหาวิทยาลัยท่ามกลางการตัดเน็ตทั่วประเทศ ท่ามกลางการตัดการเชื่อมต่ออินเทอร์เน็ตทั่วอิหร่านกว่า 24 ชั่วโมง มีสัญญาณว่ารัฐอาจกำลังทดสอบการเปิดอินเทอร์เน็ตเฉพาะบางสถาบัน เช่น มหาวิทยาลัยในเตหะราน ซึ่งมีทราฟฟิกกลับมาเพียงชั่วคราวก่อนถูกตัดอีกครั้ง นักวิเคราะห์มองว่าอาจเป็นการทดลองระบบ whitelist เพื่อจำกัดการเข้าถึงอินเทอร์เน็ตเฉพาะกลุ่มสำคัญในอนาคต 🔗 https://securityonline.info/iran-tests-academic-whitelists-amid-nationwide-2026-blackout

📌🔐🔵 รวมข่าวจากเวบ SecurityOnline 🔵🔐📌 #รวมข่าวIT #20260109 #securityonline 🛡️ Microsoft Defender บล็อกสคริปต์ MAS อย่างไม่ตั้งใจ ข่าวนี้เล่าถึงเหตุการณ์ที่ Microsoft Defender ตรวจจับและบล็อกสคริปต์ MAS ซึ่งเป็นเครื่องมือที่ผู้ใช้จำนวนมากใช้ในการจัดการระบบ Windows แต่กลับถูกมองว่าเป็นภัยคุกคามในระหว่างการต่อสู้กับมัลแวร์ ทำให้เกิดผลกระทบต่อผู้ใช้งานทั่วไปที่ไม่ได้มีเจตนาไม่ดี และสร้างคำถามถึงความแม่นยำของระบบป้องกันภัยไซเบอร์ของ Microsoft ว่าควรแยกแยะเครื่องมือที่ถูกใช้จริงในชุมชนอย่างไร 🔗 https://securityonline.info/collateral-damage-microsoft-defender-blocks-official-mas-script-in-malware-war 🧑‍⚕️ AI แพทย์? OpenAI เปิดตัว ChatGPT Health เรื่องนี้พูดถึงการเปิดตัว ChatGPT Health ของ OpenAI ซึ่งออกแบบมาเพื่อเชื่อมต่อกับข้อมูลเวชระเบียนของผู้ใช้ ช่วยให้ผู้คนเข้าถึงข้อมูลสุขภาพของตนเองได้ง่ายขึ้นและรับคำอธิบายที่เข้าใจง่ายจาก AI แม้จะมีศักยภาพสูง แต่ก็มีคำถามด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูลที่ต้องจับตามองอย่างใกล้ชิด 🔗 https://securityonline.info/the-ai-physician-openai-launches-chatgpt-health-to-sync-your-medical-records 💳 Apple Card เตรียมย้ายจาก Goldman Sachs ไป JPMorgan ข่าวนี้กล่าวถึงการเปลี่ยนแปลงครั้งใหญ่ของ Apple Card ที่เตรียมยุติความร่วมมือกับ Goldman Sachs และย้ายไปสู่ JPMorgan Chase ซึ่งเป็นการเคลื่อนไหวที่สะท้อนถึงกลยุทธ์ใหม่ของ Apple ในการสร้างความมั่นคงและขยายบริการทางการเงินของตนเอง โดยมีมูลค่าการย้ายระบบสูงถึง 20 พันล้านดอลลาร์ 🔗 https://securityonline.info/the-20b-handover-apple-card-dumps-goldman-sachs-for-jpmorgan-chase 🚨 ช่องโหว่ร้ายแรงใน Trend Micro ถูกเผยแพร่ Exploit สู่สาธารณะ เรื่องนี้เกี่ยวกับช่องโหว่ระดับวิกฤตในผลิตภัณฑ์ของ Trend Micro ที่มีการปล่อยโค้ดโจมตี (public exploit) ออกสู่สาธารณะ ทำให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เข้าถึงระบบในระดับสูงได้ทันที ส่งผลให้ผู้ดูแลระบบทั่วโลกต้องเร่งอัปเดตแพตช์เพื่อป้องกันการถูกโจมตี 🔗 https://securityonline.info/public-exploit-released-critical-trend-micro-flaw-grants-system-access 🐛 มัลแวร์ GuLoader ระบาดผ่านรายงานประสิทธิภาพปลอม มีรายงานว่ามีการแพร่กระจายของมัลแวร์ที่อาศัยไฟล์รายงานประสิทธิภาพปลอมเป็นตัวล่อให้เหยื่อเปิดไฟล์ ก่อนจะดาวน์โหลดเพย์โหลดอันตรายเข้าสู่ระบบ ทำให้ผู้ใช้ทั่วไปและองค์กรเสี่ยงต่อการถูกเจาะระบบมากขึ้น โดยผู้ไม่หวังดีใช้เทคนิคทางสังคมหลอกล่อให้เชื่อว่าเป็นไฟล์งานจริง ส่งผลให้หลายระบบถูกแทรกซึมโดยไม่รู้ตัว 🔗 https://securityonline.info/guloader-malware-rides-wave-of-fake-performance-reports ☕ ช่องโหว่ Undertow กระทบระบบ Java เสี่ยงถูกเจาะจากพื้นฐาน มีการเปิดเผยช่องโหว่ระดับรากฐานใน Undertow ซึ่งเป็นส่วนประกอบสำคัญของระบบ Java หลายตัว ทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้เข้าควบคุมหรือรันคำสั่งไม่พึงประสงค์ได้ หากผู้ดูแลระบบไม่อัปเดตแพตช์อย่างทันท่วงที อาจเกิดความเสียหายต่อบริการที่พึ่งพา Java จำนวนมาก 🔗 https://securityonline.info/the-9-6-crack-in-javas-foundation-critical-undertow-flaw-cve-2025-12543 🎭 NodeCordRAT มัลแวร์แฝงในแพ็กเกจ npm ลอบขโมยคริปโตผ่าน Discord มีการค้นพบโทรจันที่ซ่อนตัวอยู่ในแพ็กเกจ npm ปลอม โดยออกแบบมาเพื่อดักข้อมูลและขโมยสินทรัพย์ดิจิทัลผ่านช่องทาง Discord ทำให้ผู้พัฒนาที่ติดตั้งแพ็กเกจจากแหล่งไม่น่าเชื่อถือเสี่ยงต่อการถูกขโมยข้อมูลสำคัญและกระเป๋าคริปโตโดยไม่รู้ตัว 🔗 https://securityonline.info/nodecordrat-the-trojan-hiding-in-npm-to-steal-crypto-via-discord 🔥 ช่องโหว่ Foomuuri เปิดช่องให้ผู้ใช้ท้องถิ่นยกระดับสิทธิ์ควบคุมระบบ มีการพบช่องโหว่ในระบบไฟร์วอลล์ Foomuuri ที่อาจเปิดโอกาสให้ผู้ใช้ท้องถิ่นสามารถยกระดับสิทธิ์จนเข้าควบคุมระบบได้เต็มรูปแบบ หากองค์กรยังใช้เวอร์ชันที่มีช่องโหว่โดยไม่อัปเดต อาจเสี่ยงต่อการถูกโจมตีจากภายในหรือผู้ใช้ที่ไม่หวังดีในเครือข่าย 🔗 https://securityonline.info/wide-open-firewall-critical-foomuuri-flaws-let-local-users-take-control 🌐 Google Gemini แซง ChatGPT ขึ้นเกิน 20% ส่วนแบ่งตลาด กระแส AI กำลังเปลี่ยนทิศอย่างเห็นได้ชัดเมื่อ Google Gemini พุ่งแรงจนส่วนแบ่งตลาดทะลุ 20% ขณะที่ ChatGPT เริ่มชะลอตัวลง สะท้อนให้เห็นถึงการแข่งขันที่ดุเดือดของวงการ AI ซึ่งกำลังเร่งพัฒนาอย่างไม่หยุดยั้ง ทั้งด้านความสามารถ ความเร็ว และการผสานเข้ากับบริการต่าง ๆ ทำให้ผู้ใช้งานทั่วโลกเริ่มหันมามองตัวเลือกใหม่ ๆ มากขึ้น 🔗 https://securityonline.info/the-gemini-surge-google-eclipses-20-market-share-as-chatgpts-grip-slips 🛡️ LockBit 5.0 ยังคงครองความน่ากลัวในโลก Ransomware แม้หลายประเทศจะร่วมมือกันปราบปราม แต่ LockBit 5.0 ยังคงเป็นหนึ่งในกลุ่ม ransomware ที่ทรงอิทธิพลที่สุดในโลก โดยยังคงโจมตีองค์กรและโครงสร้างพื้นฐานสำคัญอย่างต่อเนื่อง การพัฒนาเวอร์ชันใหม่ที่ซับซ้อนขึ้นทำให้การรับมือยิ่งท้าทาย และเป็นสัญญาณเตือนว่าภัยไซเบอร์กำลังยกระดับความรุนแรงขึ้นเรื่อย ๆ 🔗 https://securityonline.info/lockbit-5-0-sustains-global-ransomware-dominance 🤖 Dell ปรับกลยุทธ์ใหม่ หลังผู้บริโภคไม่อินกับคำว่า “AI-first” Dell เริ่มทบทวนกลยุทธ์ด้าน AI หลังพบว่าผู้บริโภคจำนวนมากไม่ได้รู้สึกตื่นเต้นกับคำว่า “AI-first” อย่างที่อุตสาหกรรมคาดหวัง การเปลี่ยนทิศครั้งนี้สะท้อนว่าตลาดกำลังต้องการสิ่งที่จับต้องได้จริงมากกว่าคำโฆษณา ทำให้บริษัทต้องหาวิธีนำเสนอ AI ที่มีคุณค่าและตอบโจทย์การใช้งานจริงมากขึ้น 🔗 https://securityonline.info/the-great-ai-rethink-dell-ditches-ai-first-hype-as-consumers-stay-indifferent 🔵 Bluetooth Broken: ช่องโหว่ใน Apache NimBLE เปิดทางสวมรอยและดักฟัง รายงานนี้กล่าวถึงช่องโหว่ร้ายแรงใน Apache NimBLE ซึ่งเป็นสแตก Bluetooth Low Energy (BLE) ที่ถูกใช้ในอุปกรณ์ IoT จำนวนมาก ตั้งแต่สมาร์ทล็อก อุปกรณ์สวมใส่ ไปจนถึงเซนเซอร์อุตสาหกรรม ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถสวมรอยอุปกรณ์ (spoofing) หรือดักฟังข้อมูลที่ส่งผ่าน Bluetooth ได้ โดยอาศัยจุดอ่อนในขั้นตอนการจับคู่และตรวจสอบตัวตนของอุปกรณ์ ทำให้ข้อมูลที่ควรปลอดภัย เช่น คำสั่งควบคุมหรือข้อมูลเซนเซอร์ อาจถูกดัดแปลงหรือขโมยได้ ผู้เชี่ยวชาญแนะนำให้ผู้ผลิตเร่งอัปเดตเฟิร์มแวร์และตรวจสอบการใช้งาน NimBLE เวอร์ชันที่ได้รับผลกระทบเพื่อป้องกันความเสี่ยงในระบบ IoT ​​​​​​​🔗 https://securityonline.info/bluetooth-broken-apache-nimble-flaws-enable-spoofing-eavesdropping/

📌🔐🟠 รวมข่าวจากเวบ SecurityOnline 🟠🔐📌 #รวมข่าวIT #20260108 #securityonline 🛡️ GitLab ออกแพตช์อุดช่องโหว่ร้ายแรงหลายรายการ GitLab ปล่อยอัปเดตความปลอดภัยครั้งใหญ่เพื่อแก้ไขช่องโหว่ระดับสูงหลายรายการ ทั้งช่องโหว่ XSS ที่สามารถฝังสคริปต์อันตรายใน Markdown, ช่องโหว่ Web IDE ที่ทำให้ผู้โจมตีรันโค้ดในเบราว์เซอร์เหยื่อได้เพียงแค่ล่อให้เปิดเว็บเพจที่สร้างขึ้นพิเศษ และช่องโหว่ใน Duo Workflows ที่เปิดทางให้เข้าถึงการตั้งค่า AI โดยไม่ได้รับอนุญาต รวมถึงปัญหาระดับกลางอื่น ๆ เช่น การแก้ไขการตั้งค่า AI ผ่าน GraphQL, การโจมตี DoS ระหว่างนำเข้าโปรเจกต์ และการลบ runner ของโปรเจกต์อื่นได้โดยไม่ตั้งใจ ทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตเป็นเวอร์ชันล่าสุดทันทีเพื่อปิดความเสี่ยงทั้งหมดนี้ 🔗 https://securityonline.info/gitlab-patch-high-severity-xss-ai-flaws-expose-user-data 💉 CrazyHunter แรนซัมแวร์สุดโหดไล่ล่าองค์กรสาธารณสุข CrazyHunter แรนซัมแวร์สายพันธุ์ใหม่ที่พัฒนามาจาก Prince ransomware กำลังสร้างความเสียหายหนักในภาคสาธารณสุข โดยเฉพาะในไต้หวัน ด้วยเทคนิคเจาะระบบผ่านรหัสผ่านอ่อนแอ ใช้ SharpGPOAbuse กระจายตัวทั่วเครือข่าย และใช้ไดรเวอร์ BYOVD เพื่อปิดการทำงานของโปรแกรมป้องกันไวรัส ก่อนเข้ารหัสไฟล์แบบเร็วด้วยวิธี partial encryption พร้อมข่มขู่เหยื่อผ่านช่องทาง Telegram และเว็บไซต์รั่วไหลข้อมูล กลุ่มผู้โจมตีประกาศชัดว่าต้องการความ “โลภแบบ REvil” ทำให้หน่วยงานสาธารณสุขต้องเร่งเสริมมาตรการป้องกันอย่างเร่งด่วน 🔗 https://securityonline.info/crazyhunter-the-ruthless-ransomware-stalking-healthcare 🔋 พบช่องโหว่ Auth Bypass ร้ายแรงใน TLP เครื่องมือจัดการพลังงานบน Linux นักวิจัยจาก SUSE พบช่องโหว่ร้ายแรงใน TLP เวอร์ชัน 1.9.0 ซึ่งมี daemon ใหม่ที่รันด้วยสิทธิ์ root แต่เกิดข้อผิดพลาดในกลไกตรวจสอบสิทธิ์ของ Polkit ทำให้ผู้ใช้ทั่วไปสามารถสั่งงาน daemon ได้โดยไม่ต้องยืนยันตัวตน นอกจากนี้ยังพบปัญหา DoS จากการสร้าง profile hold ได้ไม่จำกัดจำนวน และการจัดการ cookie ที่ไม่ปลอดภัย ทีมพัฒนาได้ออกแพตช์ในเวอร์ชัน 1.9.1 เพื่อแก้ไขทั้งหมดแล้ว ผู้ใช้ Linux ควรอัปเดตทันทีเพื่อป้องกันความเสี่ยง 🔗 https://securityonline.info/cve-2025-67859-critical-auth-bypass-discovered-in-popular-linux-battery-utility 🤖 GoBruteforcer กลับมาอีกครั้ง พร้อมบอทเน็ต 50,000 เซิร์ฟเวอร์จากโค้ดตัวอย่างที่ AI สร้าง GoBruteforcer เวอร์ชันใหม่กำลังแพร่ระบาดอย่างหนัก โดยอาศัยช่องโหว่จาก “โค้ดตัวอย่างที่ AI สร้างให้ผู้ใช้” ซึ่งมักมีค่า default อ่อนแอ ทำให้ผู้โจมตีสามารถ brute-force บริการยอดนิยมอย่าง MySQL, FTP และ phpMyAdmin ได้ง่ายขึ้น นักวิจัยพบว่ามีเซิร์ฟเวอร์กว่า 50,000 เครื่องเสี่ยงถูกโจมตี และกลุ่มผู้โจมตียังมุ่งเป้าไปที่ฐานข้อมูลของโปรเจกต์คริปโตเพื่อขโมยสินทรัพย์ดิจิทัล ตัวมัลแวร์ถูกพัฒนาให้ซ่อนตัวเก่งขึ้น ใช้ชื่อ process ปลอม และหลีกเลี่ยง IP ของ DoD และคลาวด์ใหญ่ ๆ เพื่อไม่ให้ถูกตรวจจับ 🔗 https://securityonline.info/gobruteforcer-returns-how-ai-code-snippets-fueled-a-50000-server-botnet 🌐 ความจริงเบื้องหลังเหตุ BGP Leak ของเวเนซุเอลา: ความผิดพลาดหรือปฏิบัติการลับ? เหตุการณ์ BGP leak ของผู้ให้บริการรัฐ CANTV ในเวเนซุเอลาเกิดขึ้นก่อนปฏิบัติการทางทหารของสหรัฐฯ จนทำให้หลายฝ่ายสงสัยว่าเป็นการดักข้อมูลโดยเจตนา แต่การวิเคราะห์ข้อมูลย้อนหลังของ Cloudflare ชี้ว่าเหตุการณ์นี้น่าจะเป็นเพียง “ความผิดพลาดทางเทคนิค” จากการตั้งค่าที่ผิดพลาด เช่น การ prepend เส้นทางซ้ำหลายครั้งและการรั่วไหลของเส้นทางที่เกิดขึ้นบ่อยตั้งแต่ปลายปี 2025 ซึ่งไม่สอดคล้องกับรูปแบบการโจมตีจริง อีกทั้ง CANTV เป็นผู้ให้บริการ upstream อยู่แล้วจึงไม่จำเป็นต้องทำ BGP hijack เพื่อเข้าถึงข้อมูล เหตุการณ์นี้สะท้อนปัญหาโครงสร้างพื้นฐานอินเทอร์เน็ตที่ยังเปราะบาง และเน้นย้ำความสำคัญของมาตรฐานใหม่อย่าง ASPA และการบังคับใช้ OTC เพื่อป้องกันการรั่วไหลของเส้นทางในอนาคต 🔗 https://securityonline.info/spy-games-or-glitch-the-truth-behind-venezuelas-bgp-leak/ 🇨🇳 ไต้หวันเผชิญการโจมตีไซเบอร์กว่า 2.6 ล้านครั้งต่อวันจากจีน รายงานล่าสุดของสำนักความมั่นคงแห่งชาติไต้หวันเผยว่าจีนเพิ่มระดับปฏิบัติการไซเบอร์อย่างเป็นระบบ โดยพุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญเฉลี่ยวันละกว่า 2.63 ล้านครั้งในปี 2025 โดยเฉพาะภาคพลังงานที่ถูกโจมตีเพิ่มขึ้นถึง 1,000% พร้อมความเชื่อมโยงกับการซ้อมรบของกองทัพจีนและเหตุการณ์ทางการเมืองสำคัญ ขณะที่กลุ่มแฮ็กเกอร์ระดับรัฐหลายกลุ่มถูกระบุว่าอยู่เบื้องหลังการโจมตีที่ซับซ้อนและประสานกันอย่างเป็นระบบ 🔗 https://securityonline.info/taiwan-faces-2-6-million-cyberattacks-daily-from-china 📡 ช่องโหว่ร้ายแรงในอุปกรณ์ไร้สาย H3C เปิดทางแฮ็กเกอร์ยึดสิทธิ์ Root พบการตั้งค่าที่ผิดพลาดในอุปกรณ์ควบคุมเครือข่ายไร้สายของ H3C ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ผ่าน FTP แบบไม่ต้องยืนยันตัวตน และไฟล์เหล่านั้นถูกกำหนดสิทธิ์เป็น root โดยอัตโนมัติ ส่งผลให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ได้เต็มรูปแบบ ช่องโหว่นี้ถูกจัดระดับความรุนแรงสูงสุด CVSS 9.8 และแนะนำให้ผู้ดูแลระบบตรวจสอบเฟิร์มแวร์และรอแพตช์แก้ไขจากผู้ผลิต 🔗 https://securityonline.info/cve-2025-60262-critical-misconfiguration-in-h3c-wireless-gear-hands-control-to-hackers 📱 “Ghost Tap” มัลแวร์ Android รุ่นใหม่ เปลี่ยนมือถือเป็นเครื่องรูดเงินเงียบ ๆ รายงานจาก Group-IB เปิดเผยตลาดมืดที่กำลังเติบโตของมัลแวร์ NFC บน Android ซึ่งช่วยให้แฮ็กเกอร์ทำธุรกรรม tap-to-pay จากระยะไกลได้ โดยใช้แอปสองตัวทำงานร่วมกันเพื่อจำลองบัตรของเหยื่อผ่านอินเทอร์เน็ต ทำให้สามารถรูดเงินได้แม้บัตรจะอยู่กับเจ้าของ ขบวนการนี้มีทั้งผู้พัฒนาเครื่องมือ ผู้ขาย POS ผิดกฎหมาย และเครือข่ายอาชญากรที่ทำงานข้ามประเทศ พร้อมพบความเสียหายแล้วหลายแสนดอลลาร์ 🔗 https://securityonline.info/ghost-tap-rising-new-wave-of-android-malware-turns-phones-into-digital-pickpockets 🛜 ช่องโหว่ Trendnet CVE-2025-15471 เปิดทางยึดอุปกรณ์ด้วยคำสั่งเดียว นักวิจัยพบช่องโหว่ร้ายแรงในอุปกรณ์ขยายสัญญาณ Wi-Fi ของ Trendnet ที่เปิดให้ผู้โจมตีส่งคำสั่งผ่าน HTTP เพียงครั้งเดียวก็สามารถรันโค้ดในระดับ root ได้ทันที เนื่องจากระบบ backend รับคำสั่ง shell โดยตรงโดยไม่ตรวจสอบสิทธิ์ ทำให้ผู้โจมตีสามารถเปิด backdoor ดักข้อมูล หรือใช้เป็นฐานโจมตีภายในเครือข่ายได้อย่างง่ายดาย ผู้ใช้ถูกแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตจนกว่าจะมีแพตช์ออกมา 🔗 https://securityonline.info/one-request-to-rule-them-all-critical-trendnet-flaw-cve-2025-15471-allows-total-takeover 🛡️ ช่องโหว่ร้ายแรง n8n เปิดทางแฮ็กยึดเซิร์ฟเวอร์กว่า 100,000 เครื่อง รายงานใหม่เผยช่องโหว่ระดับวิกฤต CVE‑2026‑21858 ในแพลตฟอร์มอัตโนมัติ n8n ที่เปิดโอกาสให้ผู้โจมตีเข้าควบคุมเซิร์ฟเวอร์ได้แบบไม่ต้องยืนยันตัวตน โดยอาศัยจุดอ่อนของการประมวลผล Content-Type ทำให้สามารถอ่านไฟล์ภายในระบบและขยายผลสู่การยึดสิทธิ์แอดมินเต็มรูปแบบ ซึ่งเสี่ยงต่อข้อมูลสำคัญอย่าง API keys, ฐานข้อมูลลูกค้า และ workflow ขององค์กรจำนวนมากทั่วโลก ผู้ดูแลระบบถูกเตือนให้อัปเดตเป็นเวอร์ชัน 1.121.0 ทันทีเพื่อปิดช่องโหว่ 🔗 https://securityonline.info/public-exploit-released-critical-n8n-flaw-cve-2026-21858-exposes-100k-servers 🚨 CISA เตือนด่วน: ช่องโหว่ HPE OneView ระดับ 10/10 และบั๊ก PowerPoint ปี 2009 ฟื้นคืนชีพ CISA เพิ่มสองช่องโหว่ใหม่เข้าสู่ KEV Catalog ได้แก่ CVE‑2025‑37164 ใน HPE OneView ที่เปิดให้ผู้โจมตีรันโค้ดระยะไกลได้โดยไม่ต้องล็อกอิน และช่องโหว่เก่าปี 2009 ใน PowerPoint ที่กลับมาถูกใช้โจมตีอีกครั้ง หน่วยงานรัฐสหรัฐถูกกำหนดเส้นตายให้แก้ไขภายใน 28 ม.ค. 2026 เพื่อป้องกันการถูกยึดระบบ โดย HPE ได้ออกแพตช์เร่งด่วนแล้วแต่ต้องติดตั้งซ้ำหลังอัปเกรดบางเวอร์ชัน 🔗 https://securityonline.info/cisa-kev-alert-hpes-maximum-cvss-score-flaw-and-a-zombie-powerpoint-bug 🤖 Lenovo เปิดตัว “Qira” และโรงงานคลาวด์ AI ยักษ์ใหญ่ใน CES 2026 Lenovo ประกาศยุทธศาสตร์ Hybrid AI พร้อมเปิดตัว “Qira” ผู้ช่วย AI ส่วนบุคคลที่ทำงานข้ามอุปกรณ์ และจับมือ NVIDIA เปิดตัว AI Cloud Gigafactory ที่สามารถติดตั้งศูนย์ประมวลผลระดับกิกะวัตต์ได้ภายในไม่กี่สัปดาห์ พร้อมโชว์นวัตกรรมล้ำสมัย เช่น ThinkPad Rollable XD, AI Glasses และระบบ AI สำหรับ F1 และ FIFA ที่ช่วยวิเคราะห์ข้อมูลแบบเรียลไทม์ แสดงให้เห็นการเปลี่ยนผ่านจากผู้ผลิตฮาร์ดแวร์สู่ผู้ให้บริการโซลูชัน AI เต็มรูปแบบ 🔗 https://securityonline.info/agentic-evolution-lenovo-unveils-qira-and-ai-cloud-gigafactories-at-ces-2026 🧠 Arm ประกาศยุค “Physical AI” และแพลตฟอร์ม AI‑Defined ที่ CES 2026 Arm ชูวิสัยทัศน์ใหม่ที่ AI จะฝังอยู่ในทุกอุปกรณ์ ตั้งแต่รถยนต์อัตโนมัติ หุ่นยนต์ ไปจนถึงอุปกรณ์สวมใส่ โดยเน้นพลังของ Physical AI และ Edge AI ที่ทำงานแบบเรียลไทม์และประหยัดพลังงาน พร้อมเผยว่าชิป Arm ถูกใช้ในระบบขับขี่อัตโนมัติของ Rivian, Tesla AI5 และแพลตฟอร์ม NVIDIA Thor รวมถึงการเติบโตของ Windows on Arm ที่รองรับอุปกรณ์กว่า 100 รุ่นในปีนี้ สะท้อนบทบาทของ Arm ในการเป็นแกนกลางของยุค AI ทุกหนแห่ง 🔗 https://securityonline.info/the-ubiquitous-brain-arm-unveils-the-era-of-physical-ai-and-ai-defined-platforms 🖱️ Logitech แก้ปัญหาใหญ่: ใบรับรองหมดอายุทำให้เมาส์บน Mac ใช้งานไม่ได้ ผู้ใช้ macOS จำนวนมากพบว่า Logi Options+ และ G HUB หยุดทำงานเพราะใบรับรองนักพัฒนา Apple หมดอายุ ทำให้ระบบบล็อกกระบวนการเบื้องหลังทั้งหมด ส่งผลให้การตั้งค่าปุ่มและโปรไฟล์ใช้งานไม่ได้ Logitech ได้ออกอัปเดตพร้อมใบรับรองใหม่แล้ว โดยผู้ใช้ต้องติดตั้งทับ (ห้ามลบโปรแกรมเดิม) เพื่อกู้คืนการตั้งค่าทั้งหมด ส่วนผู้ใช้ Windows ไม่ได้รับผลกระทบ 🔗 https://securityonline.info/the-logitech-fix-how-to-restore-your-broken-mac-mouse-settings-jan-2026 📮 Gmail ยุติระบบ Unified Inbox และปิดฟีเจอร์ Gmailify ในปี 2026 กูเกิลประกาศยุติการดึงอีเมลจากบัญชีภายนอกผ่าน POP3 และยกเลิกฟีเจอร์ Gmailify ทำให้ผู้ใช้ที่เคยรวมหลายบัญชีไว้ในกล่องจดหมายเดียวต้องปรับตัว โดยอาจต้องตั้งระบบ Forward อีเมลจากผู้ให้บริการอื่นแทน แม้ยังสามารถเพิ่มบัญชีภายนอกผ่าน IMAP ได้ แต่จะไม่รวมอยู่ใน Inbox หลักอีกต่อไป การเปลี่ยนแปลงนี้คาดว่าเกี่ยวข้องกับประเด็นความปลอดภัยและการลดภาระระบบเดิมของกูเกิล 🔗 https://securityonline.info/the-end-of-the-unified-inbox-gmail-kills-pop3-fetching-and-gmailify-in-2026 🤖 Android ปิดประตูความโปร่งใส: Google หยุดปล่อยโค้ด AOSP รายไตรมาสในปี 2026 Google เตรียมเปลี่ยนรอบการปล่อยซอร์สโค้ด AOSP จากทุกไตรมาสเป็นปีละสองครั้ง ทำให้โค้ดจาก Q1 และ Q3 จะไม่ถูกเปิดเผยจนกว่าจะรวมเข้ารุ่น Q2 และ Q4 ส่งผลให้ชุมชน Custom ROM เช่น LineageOS ต้องรอแพตช์ใหม่ล่าช้า 3 เดือน แม้ผู้ใช้ทั่วไปอาจไม่รู้สึกถึงผลกระทบ แต่ความโปร่งใสของระบบ Android จะลดลงอย่างชัดเจน ขณะที่แพตช์ความปลอดภัยรายเดือนยังคงปล่อยตามปกติ ​​​​​​​🔗 https://securityonline.info/android-behind-closed-doors-google-ends-quarterly-aosp-code-drops-in-2026

📰 🚨 ช่องโหว่ร้ายแรง CVE‑2026‑21858 ใน n8n — มี Public Exploit แล้ว และเสี่ยงกระทบกว่า 100,000 เซิร์ฟเวอร์ มีรายงานว่าช่องโหว่ระดับ Critical ภายใต้รหัส CVE‑2026‑21858 ถูกเปิดเผยต่อสาธารณะพร้อม Public Exploit ที่ใช้งานได้จริง ทำให้เซิร์ฟเวอร์ n8n มากกว่า 100,000 เครื่องทั่วโลก ตกอยู่ในความเสี่ยงทันที ช่องโหว่นี้เกี่ยวข้องกับการยืนยันตัวตนและการจัดการสิทธิ์ที่ผิดพลาด ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถเข้าควบคุม Workflow, Credentials และ Environment Variables ได้โดยไม่ต้องมีสิทธิ์ n8n เป็นระบบ Automation/Workflow ที่นิยมใช้ในองค์กรเพื่อเชื่อมต่อบริการต่าง ๆ เช่น API, Database, Cloud Services และระบบภายในองค์กร ทำให้ช่องโหว่นี้มีผลกระทบรุนแรงเป็นพิเศษ เพราะข้อมูล Credential ที่เก็บใน n8n มักเป็น กุญแจสำคัญของระบบทั้งหมด เช่น Token ของ GitHub, AWS, Google Cloud, หรือ Database Credentials เมื่อ Public Exploit ถูกปล่อยออกมา ผู้โจมตีสามารถสแกนหาเซิร์ฟเวอร์ n8n ที่เปิดพอร์ตสาธารณะ และใช้ช่องโหว่นี้เพื่อเข้ายึดระบบได้ทันที โดยเฉพาะเซิร์ฟเวอร์ที่เปิด UI ต่ออินเทอร์เน็ตโดยตรงโดยไม่มี Reverse Proxy หรือการป้องกันเพิ่มเติม ทำให้การโจมตีสามารถเกิดขึ้นแบบอัตโนมัติ (Mass Exploitation) ได้ง่ายมาก ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์ล่าสุด ปิดการเข้าถึงจากอินเทอร์เน็ตทันที และตรวจสอบ Credential ทั้งหมดในระบบ n8n ว่าถูกแก้ไขหรือรั่วไหลหรือไม่ เพราะหากผู้โจมตีเข้าถึงได้เพียงครั้งเดียว ก็สามารถใช้ Credential เหล่านั้นโจมตีระบบอื่นต่อได้แบบลูกโซ่ 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ CVE‑2026‑21858 เป็นระดับ Critical ➡️ มี Public Exploit พร้อมใช้งานแล้ว ✅ กระทบเซิร์ฟเวอร์ n8n มากกว่า 100,000 เครื่อง ➡️ ส่วนใหญ่เปิดพอร์ตสาธารณะโดยไม่มีการป้องกัน ✅ ช่องโหว่เกี่ยวข้องกับการยืนยันตัวตนและสิทธิ์ ➡️ ผู้โจมตีสามารถเข้าถึง Workflow และ Credentials ได้ คำเตือน / ความเสี่ยง ‼️ Credential ที่รั่วไหลอาจนำไปสู่การโจมตีระบบอื่นแบบลูกโซ่ ⛔ เช่น AWS, GitHub, Database, Cloud Services ‼️ เซิร์ฟเวอร์ที่เปิด UI ต่ออินเทอร์เน็ตมีความเสี่ยงสูงมาก ⛔ อาจถูกสแกนและโจมตีแบบอัตโนมัติทันที ‼️ การไม่อัปเดตแพตช์อาจทำให้ระบบถูกยึดแบบถาวร ⛔ ผู้โจมตีสามารถสร้าง Workflow แอบแฝงเพื่อคงสิทธิ์ไว้ https://securityonline.info/public-exploit-released-critical-n8n-flaw-cve-2026-21858-exposes-100k-servers/

📰 🛑 VM Isolation ไม่ได้ปลอดภัยเสมอไป — นักวิจัยเผยช่องโหว่ “ESXi Maestro” ที่เจาะข้าม VM ได้ งานวิจัยล่าสุดเปิดเผยช่องโหว่ระดับลึกในระบบ Virtualization ของ VMware ESXi ที่ถูกตั้งชื่อว่า “ESXi Maestro” ซึ่งสามารถทำลายหลักการสำคัญของ Virtualization คือ VM Isolation หรือการแยกแต่ละ VM ไม่ให้กระทบกัน ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถ หลุดออกจาก VM (VM Escape) และเข้าถึง Hypervisor หรือ VM อื่น ๆ ได้ ซึ่งเป็นหนึ่งในรูปแบบการโจมตีที่อันตรายที่สุดในโลก Cloud และ Data Center ช่องโหว่ลักษณะนี้มักเกิดจากการจัดการหน่วยความจำ (Memory Handling) ที่ผิดพลาดใน Hypervisor เช่น การตรวจสอบ boundary ไม่ครบ หรือการแชร์ทรัพยากรบางส่วนระหว่าง VM โดยไม่ได้ตั้งใจ เมื่อผู้โจมตีสามารถรันโค้ดภายใน VM ที่ถูกควบคุมได้ ก็สามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์จนเข้าถึงระบบ ESXi ทั้งหมดได้ ผลกระทบของ “ESXi Maestro” รุนแรงเป็นพิเศษสำหรับองค์กรที่ใช้ ESXi ในการรัน VM จำนวนมาก เช่น Cloud Provider, Hosting, ระบบ ERP, ระบบกล้องวงจรปิด หรือแม้แต่โครงสร้างพื้นฐานของบริษัทขนาดใหญ่ เพราะการเจาะเพียง VM เดียวอาจทำให้ผู้โจมตีเข้าถึงข้อมูลของทุก VM ในเครื่องเดียวกันได้ทันที นักวิจัยแนะนำให้ผู้ดูแลระบบเร่งตรวจสอบเวอร์ชัน ESXi ที่ใช้งานอยู่ และติดตั้งแพตช์ล่าสุดทันที พร้อมทั้งเปิดใช้ฟีเจอร์ Security Hardening เช่น VMX Restriction, Strict IOMMU, และปิดบริการที่ไม่จำเป็น เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นจากช่องโหว่ระดับ Hypervisor เช่นนี้ 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ “ESXi Maestro” ทำลายหลักการ VM Isolation ➡️ ผู้โจมตีสามารถทำ VM Escape และเข้าถึง Hypervisor ได้ ✅ เกิดจากการจัดการหน่วยความจำหรือทรัพยากรที่แชร์ผิดพลาด ➡️ ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ ✅ ส่งผลกระทบต่อองค์กรที่ใช้ ESXi อย่างกว้างขวาง ➡️ โดยเฉพาะ Cloud Provider และ Data Center คำเตือน / ความเสี่ยง ‼️ การเจาะ VM เดียวอาจทำให้ข้อมูลทุก VM ถูกเข้าถึง ⛔ เสี่ยงต่อการรั่วไหลของข้อมูลระดับองค์กร ‼️ ระบบ ESXi ที่ไม่ได้อัปเดตแพตช์มีความเสี่ยงสูง ⛔ ผู้โจมตีสามารถสแกนหาเวอร์ชันเก่าและโจมตีได้ทันที ‼️ ช่องโหว่ระดับ Hypervisor มักตรวจจับได้ยาก ⛔ อาจถูกใช้โจมตีแบบเงียบ (Silent Attack) โดยไม่ทิ้งร่องรอย https://securityonline.info/vm-isolation-is-not-absolute-researchers-unmask-sophisticated-esxi-maestro-exploit/

📰 ⚠️ พบช่องโหว่ร้ายแรง CVE‑2025‑67859 — Auth Bypass ในยูทิลิตี้แบตเตอรี่บน Linux เสี่ยงถูกยึดระบบ มีรายงานการค้นพบช่องโหว่ระดับ Critical ภายใต้รหัส CVE‑2025‑67859 ซึ่งเกิดขึ้นในยูทิลิตี้จัดการแบตเตอรี่ยอดนิยมบน Linux ที่ถูกใช้งานอย่างแพร่หลาย โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถ ข้ามขั้นตอนยืนยันตัวตน (Authentication Bypass) และเข้าถึงฟังก์ชันระดับสูงของระบบได้โดยไม่ต้องมีสิทธิ์ที่ถูกต้อง นับเป็นความเสี่ยงที่อาจนำไปสู่การควบคุมเครื่องจากระยะไกลได้ ช่องโหว่ประเภทนี้มักเกิดจากการตรวจสอบสิทธิ์ที่ไม่สมบูรณ์ เช่น การตรวจ token ไม่ครบ การตรวจสิทธิ์ฝั่ง client แทน server หรือการใช้ API ที่ไม่มีการป้องกันเพียงพอ เมื่อรวมกับการที่ยูทิลิตี้แบตเตอรี่ทำงานใกล้เคียงกับระดับ system service ยิ่งทำให้ผลกระทบรุนแรงขึ้น เพราะผู้โจมตีอาจเข้าถึงข้อมูลพลังงาน ระบบไฟล์ หรือแม้แต่รันคำสั่ง privileged ได้ ผู้เชี่ยวชาญเตือนว่าช่องโหว่ลักษณะนี้อาจถูกนำไปใช้ร่วมกับช่องโหว่อื่นเพื่อทำ Privilege Escalation หรือ Remote Code Execution (RCE) โดยเฉพาะในระบบที่เปิดบริการให้ remote management หรือมีผู้ใช้หลายคนร่วมกันใช้งาน เช่น เซิร์ฟเวอร์ Linux, เครื่องพัฒนาโปรแกรม หรืออุปกรณ์ IoT ที่ใช้ Linux เป็นฐาน ขณะนี้ผู้พัฒนาได้เริ่มออกแพตช์แก้ไขในบางดิสโทรแล้ว และแนะนำให้ผู้ใช้ตรวจสอบอัปเดตความปลอดภัยทันที รวมถึงปิดการเข้าถึงยูทิลิตี้ผ่าน network interface ชั่วคราวหากไม่จำเป็น เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นในช่วงที่ยังไม่ได้อัปเดตระบบ 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ CVE‑2025‑67859 เป็นระดับ Critical ➡️ ส่งผลให้ผู้โจมตีสามารถข้ามการยืนยันตัวตนได้ ✅ เกิดในยูทิลิตี้จัดการแบตเตอรี่บน Linux ที่ใช้งานแพร่หลาย ➡️ อาจถูกใช้เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต ✅ ผู้พัฒนาเริ่มปล่อยแพตช์แก้ไขแล้ว ➡️ ผู้ใช้ควรอัปเดตแพ็กเกจทันทีเพื่อปิดช่องโหว่ คำเตือน / ความเสี่ยง ‼️ เสี่ยงถูกยึดเครื่องหรือรันคำสั่ง privileged ⛔ อาจนำไปสู่การโจมตีแบบ RCE หรือ Privilege Escalation ‼️ ระบบที่เปิด remote access มีความเสี่ยงสูง ⛔ ผู้โจมตีสามารถสแกนหาเครื่องที่ยังไม่ได้แพตช์ได้ง่าย ‼️ การละเลยอัปเดตอาจทำให้ระบบถูกโจมตีแบบ Silent ⛔ ผู้ใช้ไม่รู้ตัวจนกว่าจะเกิดความเสียหายแล้ว https://securityonline.info/cve-2025-67859-critical-auth-bypass-discovered-in-popular-linux-battery-utility/

📌🔐🟢 รวมข่าวจากเวบ SecurityOnline 🟢🔐📌 #รวมข่าวIT #20260107 #securityonline ⚡ NVIDIA เปิดตัว G‑SYNC Pulsar และ DLSS 4.5: ก้าวกระโดดสู่ภาพลื่นระดับ 1000Hz NVIDIA เผยโฉมเทคโนโลยี G‑SYNC Pulsar ที่ยกระดับความคมชัดของภาพเคลื่อนไหวให้เทียบเท่าจอ 1000Hz ผ่านเทคนิค Rolling Scan และระบบควบคุมแสงแบบอัจฉริยะ พร้อมเปิดตัว DLSS 4.5 ที่เพิ่มเฟรมเรตได้สูงสุด 6 เท่าและลดปัญหา ghosting อย่างเห็นผล รวมถึงโชว์การใช้งาน ACE AI Assistant ในเกมจริงครั้งแรก ทำให้การเล่นเกมยุคใหม่ทั้งลื่น คม และฉลาดขึ้นอย่างชัดเจน 🔗 https://securityonline.info/the-1000hz-illusion-nvidia-unveils-g-sync-pulsar-and-dlss-4-5-at-ces-2026 🚗🧠 Qualcomm เปิดตัว Agentic AI และแพลตฟอร์ม Dual‑Elite: สมองกลางของรถยนต์ยุคใหม่ Qualcomm ประกาศความร่วมมือเชิงลึกกับ Google พร้อมเปิดตัวสถาปัตยกรรม Agentic AI และคอนโทรลเลอร์แบบ Dual Snapdragon Elite ที่รวมสมองกลรถยนต์ทุกระบบไว้ในศูนย์กลางเดียว รองรับทั้งจอหลายชุด กล้องจำนวนมาก และระบบขับขี่อัตโนมัติระดับสูง โดยมี Leapmotor และ Toyota เป็นพันธมิตรรายแรก ๆ ที่นำเทคโนโลยีนี้ไปใช้ ซึ่งสะท้อนการเปลี่ยนผ่านสู่รถยนต์ที่คิด วิเคราะห์ และตอบสนองได้อย่างชาญฉลาดมากขึ้น 🔗 https://securityonline.info/the-central-brain-qualcomm-unveils-agentic-ai-and-dual-elite-platforms-at-ces-2026 🤖✨ Boston Dynamics จับมือ Google DeepMind สร้าง Atlas รุ่นใหม่ที่ทั้ง “คิดเป็นและเคลื่อนไหวเหนือมนุษย์” Boston Dynamics และ Google DeepMind ผนึกกำลังนำโมเดล Gemini Robotics มาเสริมสมองให้หุ่นยนต์ Atlas รุ่นใหม่ที่มีความแข็งแรงระดับยกของ 50 กก. พร้อมความสามารถด้านการรับรู้และเหตุผลขั้นสูง โดย Hyundai เตรียมนำไปทดสอบในสายการผลิตจริงภายในปีนี้ เป้าหมายคือหุ่นยนต์ที่ทั้งคล่องตัวและฉลาดพอสำหรับงานอุตสาหกรรมในอนาคตอันใกล้ 🔗 https://securityonline.info/brain-meets-brawn-boston-dynamics-and-google-deepmind-unite-for-the-new-atlas 🚘🌐 “รถยนต์ 10 ปี” ของ Qualcomm x Google: ยุคใหม่ของรถที่อัปเดตได้เหมือนสมาร์ตโฟน Qualcomm และ Google เดินหน้าสร้างมาตรฐานใหม่ของรถยนต์แบบ Software‑Defined Vehicle ผ่านการผสาน Snapdragon Digital Chassis เข้ากับ Android Automotive OS และระบบคลาวด์ของ Google ทำให้รถสามารถอัปเดตฟีเจอร์ได้ยาวนานถึง 10 ปี รองรับ AI ผู้ช่วยในรถแบบเรียลไทม์ และเปิดให้พัฒนาแอปบน vSoC ผ่านคลาวด์โดยไม่ต้องใช้ฮาร์ดแวร์จริง ถือเป็นก้าวสำคัญสู่รถยนต์ที่ฉลาดขึ้นเรื่อย ๆ ตามอายุการใช้งาน 🔗 https://securityonline.info/the-ten-year-car-qualcomm-and-google-unveil-the-future-of-ai-powered-mobility 📶🚀 MediaTek เปิดตัว Filogic 8000: ชิป Wi‑Fi 8 ที่เน้นความเสถียรมากกว่าความเร็ว MediaTek เปิดตัวแพลตฟอร์ม Wi‑Fi 8 Filogic 8000 ที่ออกแบบมาเพื่อรองรับสภาพแวดล้อมที่มีอุปกรณ์หนาแน่นและงาน AI‑intensive โดยเน้นความเสถียร ความหน่วงต่ำ และประสิทธิภาพการใช้งานจริงมากกว่าความเร็วสูงสุด ด้วยเทคโนโลยี Multi‑AP Coordination, Spectral Efficiency และ Long‑Range Enhancement ทำให้เหมาะกับบ้านอัจฉริยะ องค์กร และอุปกรณ์ยุคใหม่ที่ต้องการการเชื่อมต่อที่ไม่สะดุดแม้ในพื้นที่แออัด 🔗 https://securityonline.info/reliability-over-speed-mediatek-debuts-filogic-8000-to-power-the-wi-fi-8-revolution 🛡️ Google อุดช่องโหว่ WebView รุนแรงใน Chrome 143 Google ปล่อยอัปเดตความปลอดภัยครั้งสำคัญให้ Chrome เวอร์ชัน 143 เพื่อแก้ไขช่องโหว่ระดับรุนแรง CVE-2026-0628 ซึ่งเกิดจากการบังคับใช้นโยบายใน WebView ไม่เพียงพอ ทำให้ผู้โจมตีอาจหลุดออกจาก sandbox และเลี่ยงข้อจำกัดด้านความปลอดภัยได้ โดยช่องโหว่นี้ถูกรายงานตั้งแต่ปลายปี 2025 และ Google จำกัดการเปิดเผยรายละเอียดจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดตเพื่อป้องกันการย้อนรอยโจมตี 🔗 https://securityonline.info/google-patches-high-severity-webview-flaw-in-chrome-143 🐍🔓 ช่องโหว่ Forcepoint DLP เปิดทางรันโค้ดผ่าน Python ที่ถูกจำกัด พบช่องโหว่ CVE-2025-14026 ใน Forcepoint One DLP Client ที่ทำให้ผู้โจมตีสามารถกู้คืนความสามารถของ Python ที่ถูกจำกัดไว้ และโหลด ctypes กลับมาใช้งานเพื่อรันโค้ดอันตรายได้ ส่งผลให้สามารถปิดระบบป้องกันข้อมูลหรือดัดแปลงพฤติกรรมของไคลเอนต์ได้ โดย Forcepoint แก้ปัญหาด้วยการลบ Python runtime ออกจากเวอร์ชันใหม่ทั้งหมด 🔗 https://securityonline.info/cve-2025-14026-forcepoint-dlp-flaw-lets-attackers-unchain-restricted-python 🏨💀 แคมเปญ PHALT#BLYX หลอกโรงแรมด้วย BSOD ปลอมเพื่อติดตั้ง DCRat แคมเปญโจมตี PHALT#BLYX ใช้การหลอกลวงแบบ “click-fix” ผ่านอีเมลปลอมจาก Booking.com พาเหยื่อไปหน้า CAPTCHA ปลอมที่นำไปสู่ Blue Screen ปลอม ก่อนหลอกให้รัน PowerShell เพื่อติดตั้งมัลแวร์ DCRat และ AsyncRAT โดยใช้เครื่องมือ Windows จริงเพื่อหลบการตรวจจับ พร้อมพบร่องรอยเชื่อมโยงกลุ่มผู้โจมตีที่ใช้ภาษารัสเซีย 🔗 https://securityonline.info/the-clickfix-trap-phaltblyx-targets-hotels-with-fake-blue-screens-and-dcrat 🧰🕵️‍♂️ Utility ชื่อดังในจีนถูกแอบฝังปลั๊กอิน Mltab เพื่อดักข้อมูลเบราว์เซอร์ เครื่องมือ Office Assistant ที่นิยมในจีนถูกพบว่าถูกฝังโค้ดอันตรายตั้งแต่ปี 2024 โดยโหลดปลั๊กอิน Mltab ที่มีลายเซ็นดิจิทัลปลอมเพื่อดักข้อมูลผู้ใช้และเปลี่ยนเส้นทางทราฟฟิก รวมถึงแก้ไขหน้า New Tab และลิงก์ต่าง ๆ เพื่อสร้างรายได้จากการรีไดเรกต์ โดยมีผู้ติดเชื้อเกือบหนึ่งล้านเครื่อง และปลั๊กอินยังคงอยู่ใน Edge Add-on Store ในช่วงเวลาที่รายงาน 🔗 https://securityonline.info/popular-chinese-utility-hijacked-to-deploy-browser-malware 🔑⚠️ ช่องโหว่ Dify ทำ API Key หลุดแบบ plaintext ให้ผู้ใช้ทั่วไปเห็นได้ แพลตฟอร์มโอเพ่นซอร์ส Dify พบช่องโหว่ CVE-2025-67732 ที่ทำให้ API key ของผู้ให้บริการโมเดล เช่น OpenAI ถูกส่งกลับไปยัง frontend แบบไม่ปิดบัง ทำให้ผู้ใช้ที่ไม่ใช่แอดมินสามารถดึงคีย์ไปใช้สร้างค่าใช้จ่ายหรือเข้าถึงบริการโดยไม่ได้รับอนุญาต ทีมพัฒนาได้แก้ไขแล้วในเวอร์ชัน 1.11.0 และแนะนำให้อัปเดตทันที 🔗 https://securityonline.info/cve-2025-67732-dify-patch-fixes-high-severity-plaintext-api-key-exposure 🔐 wolfSSH พบช่องโหว่ตรรกะร้ายแรงทำรหัสผ่านลูกค้ารั่วแบบไม่เข้ารหัส รายงานเตือนภัยล่าสุดเผยว่า wolfSSH มีช่องโหว่ด้านตรรกะที่ทำให้รหัสผ่านของผู้ใช้ถูกส่งแบบข้อความล้วน ซึ่งอาจถูกดักจับได้ง่ายในสภาพแวดล้อมเครือข่ายที่ไม่ปลอดภัย โดยช่องโหว่นี้กระทบระบบที่ใช้ SCP/SSH และอุปกรณ์ embedded หลายประเภท ทำให้ผู้ดูแลระบบจำเป็นต้องตรวจสอบการใช้งานและอัปเดตการตั้งค่าความปลอดภัยทันทีเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีแบบดักฟังหรือสอดแนมข้อมูลสำคัญขององค์กร 🔗 https://securityonline.info/wolfssh-alert-critical-logic-flaw-exposes-client-passwords-in-clear-text 📧 Microsoft เตือนภัยการปลอมโดเมนภายในพุ่งสูง ใช้ช่องโหว่การตั้งค่าอีเมล Microsoft รายงานว่ามีการโจมตีฟิชชิงรูปแบบใหม่ที่ปลอมอีเมลให้เหมือนส่งมาจากภายในองค์กร โดยอาศัยการตั้งค่า MX และ DMARC ที่ผิดพลาดในระบบที่ไม่ได้ชี้ตรงไปยัง Office 365 ทำให้ผู้โจมตีสามารถส่งอีเมลปลอมที่ดูน่าเชื่อถือมาก พร้อมแนบไฟล์ปลอม เช่น ใบแจ้งหนี้หรือเอกสารภาษี เพื่อหลอกให้เหยื่อโอนเงินหรือกรอกข้อมูลสำคัญ ซึ่ง Microsoft แนะนำให้องค์กรตั้งค่า DMARC แบบ reject และ SPF แบบ hard fail เพื่อปิดช่องโหว่นี้ทันที 🔗 https://securityonline.info/microsoft-warns-of-surge-in-internal-domain-spoofing 📡 ช่องโหว่ RCE ร้ายแรงโจมตีเราเตอร์ D-Link รุ่นเก่า แก้ไขไม่ได้อีกต่อไป พบช่องโหว่ CVE-2026-0625 ที่เปิดให้ผู้โจมตีสามารถสั่งรันโค้ดจากระยะไกลบนเราเตอร์ D-Link รุ่นเก่าที่หมดอายุซัพพอร์ตแล้ว โดยเกิดจากการตรวจสอบข้อมูลใน dnscfg.cgi ที่ไม่รัดกุม ทำให้ผู้โจมตีสามารถส่งคำสั่งระบบได้โดยไม่ต้องล็อกอิน และมีรายงานว่าถูกใช้โจมตีจริงตั้งแต่ปลายปี 2025 ทำให้ผู้ใช้จำเป็นต้องเปลี่ยนอุปกรณ์ใหม่เท่านั้นเพราะไม่มีแพตช์แก้ไขใด ๆ อีกต่อไป 🔗 https://securityonline.info/cve-2026-0625-critical-actively-exploited-rce-hits-unpatchable-d-link-routers 📶 TOTOLINK EX200 เปิด Telnet root เองเมื่ออัปเดตเฟิร์มแวร์ผิดพลาด ช่องโหว่ CVE-2025-65606 ถูกพบใน TOTOLINK EX200 ซึ่งเมื่ออัปโหลดไฟล์เฟิร์มแวร์ที่ผิดรูปแบบ อุปกรณ์จะเข้าสู่โหมดผิดปกติและเปิดบริการ Telnet ด้วยสิทธิ์ root โดยไม่ต้องยืนยันตัวตน ทำให้ผู้โจมตีที่เข้าถึงหน้าเว็บจัดการได้สามารถยกระดับสิทธิ์เป็นผู้ควบคุมระบบเต็มรูปแบบ และเนื่องจากอุปกรณ์หมดอายุซัพพอร์ตแล้ว ผู้ใช้ควรเลิกใช้งานหรือแยกเครือข่ายอย่างเข้มงวดทันทีเพื่อหลีกเลี่ยงความเสี่ยงร้ายแรง 🔗 https://securityonline.info/cve-2025-65606-totolink-ex200-error-opens-root-telnet-door ⚠️ n8n พบช่องโหว่ CVSS 10.0 เปิดทางยึดระบบเต็มรูปแบบผ่านการเขียนไฟล์ แพลตฟอร์ม workflow automation อย่าง n8n ประกาศเตือนช่องโหว่ร้ายแรง CVE-2026-21877 ที่เปิดให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถเขียนไฟล์อันตรายลงระบบและสั่งรันโค้ดได้ ทำให้ผู้โจมตีสามารถยึดระบบทั้งเซิร์ฟเวอร์ได้ทันที โดยคาดว่าช่องโหว่มาจากฟีเจอร์ Git node ซึ่งแนะนำให้ปิดการใช้งานชั่วคราวหากยังไม่สามารถอัปเดตเป็นเวอร์ชัน 1.121.3 หรือใหม่กว่าได้ เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นในสภาพแวดล้อมที่มีผู้ใช้หลายคนร่วมกัน ​​​​​​​🔗 https://securityonline.info/cvss-10-0-alert-critical-n8n-flaw-cve-2026-21877-grants-total-control

🛡️ Veeam ออกแพตช์ด่วน! อุดช่องโหว่ RCE ร้ายแรงใน Backup & Replication เวอร์ชันล่าสุด Veeam ได้ปล่อยอัปเดตความปลอดภัยสำคัญเพื่อแก้ไขช่องโหว่ระดับ Critical ที่เปิดโอกาสให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) บนเซิร์ฟเวอร์ Backup & Replication ได้ ช่องโหว่นี้ถูกจัดอยู่ในระดับความรุนแรงสูงมาก เนื่องจากระบบสำรองข้อมูลเป็นหัวใจสำคัญขององค์กร และหากถูกเจาะสำเร็จ ผู้โจมตีสามารถเข้าควบคุมระบบสำรองทั้งหมดได้ทันที รวมถึงลบ สำเนา หรือเข้ารหัสข้อมูลสำคัญได้ ช่องโหว่นี้เกิดขึ้นในส่วนของ Veeam Backup Service ซึ่งเป็นบริการหลักที่ใช้จัดการการสื่อสารระหว่างคอมโพเนนต์ต่าง ๆ ของระบบ ผู้โจมตีที่สามารถเข้าถึงพอร์ตที่เปิดอยู่ของบริการนี้ได้ อาจส่งคำสั่งที่ crafted มาเป็นพิเศษเพื่อรันโค้ดบนเครื่องเป้าหมายในสิทธิ์ระดับสูง ทำให้ระบบสำรองข้อมูลทั้งหมดตกอยู่ในความเสี่ยงอย่างรุนแรง Veeam ได้ออกแพตช์แก้ไขในเวอร์ชันล่าสุดของ Backup & Replication และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันที โดยเฉพาะองค์กรที่เปิดพอร์ตบริการสู่เครือข่ายภายนอก หรือมีระบบที่ยังไม่ได้แยกเครือข่ายอย่างเหมาะสม นอกจากนี้ Veeam ยังเตือนว่าการป้องกันด้วย Firewall เพียงอย่างเดียวไม่เพียงพอ หากระบบยังไม่ได้อัปเดตแพตช์ล่าสุด ผลกระทบของช่องโหว่นี้ถือว่ารุนแรงมาก เพราะระบบสำรองข้อมูลเป็นเป้าหมายหลักของแรนซัมแวร์ในช่วงหลายปีที่ผ่านมา การปล่อยให้ช่องโหว่ RCE เปิดอยู่เท่ากับเปิดประตูให้ผู้โจมตีเข้าถึงข้อมูลสำรองทั้งหมด ซึ่งอาจทำให้องค์กรไม่สามารถกู้คืนระบบได้หลังถูกโจมตี 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ ➡️ เป็นช่องโหว่ Remote Code Execution (RCE) ➡️ เกิดในบริการหลักของ Veeam Backup Service ‼️ ความเสี่ยงที่เกิดขึ้น ⛔ ผู้โจมตีสามารถรันโค้ดบนเซิร์ฟเวอร์สำรองข้อมูลได้ ⛔ เสี่ยงต่อการลบหรือเข้ารหัสข้อมูลสำรองทั้งหมด ✅ การอัปเดตที่ปล่อยออกมา ➡️ Veeam ออกแพตช์ใน Backup & Replication เวอร์ชันล่าสุด ➡️ แนะนำให้อัปเดตทันทีโดยไม่ต้องรอ Maintenance Window ‼️ ความเสี่ยงหากไม่อัปเดต ⛔ ระบบสำรองข้อมูลอาจถูกยึดครองโดยผู้โจมตี ⛔ องค์กรอาจไม่สามารถกู้คืนข้อมูลหลังเหตุการณ์โจมตีได้ ✅ คำแนะนำด้านความปลอดภัย ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ จำกัดการเข้าถึงพอร์ตของ Veeam Backup Service เฉพาะภายในองค์กร ‼️ ความเสี่ยงหากละเลย ⛔ แรนซัมแวร์สามารถโจมตีระบบสำรองได้โดยตรง ⛔ อาจสูญเสียข้อมูลสำคัญแบบถาวร https://securityonline.info/veeam-patches-critical-rce-flaws-in-latest-backup-replication-release/

🛡️ Chrome 143 ออกแพตช์ด่วน! อุดช่องโหว่ WebView ระดับร้ายแรงที่เสี่ยงหลุด Sandbox Google ได้ปล่อยอัปเดตความปลอดภัยสำคัญสำหรับ Chrome เวอร์ชัน 143 เพื่อแก้ไขช่องโหว่ร้ายแรงที่เกี่ยวข้องกับ WebView tag ซึ่งอาจทำให้ผู้โจมตีสามารถหลบเลี่ยงนโยบายความปลอดภัยของเบราว์เซอร์ได้ ช่องโหว่นี้ถูกระบุเป็น CVE‑2026‑0628 และถูกจัดระดับ High Severity โดยมีผลกระทบต่อผู้ใช้ Windows, macOS และ Linux ทั่วโลก การอัปเดตนี้ถูกผลักเข้าสู่ Stable Channel แล้ว และผู้ใช้ควรอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการโจมตี WebView เป็นองค์ประกอบที่ทรงพลังใน Chrome Apps ที่ใช้ฝังเนื้อหาเว็บแบบแยกกระบวนการ แต่ด้วยการบังคับใช้นโยบายที่ไม่สมบูรณ์ อาจเปิดช่องให้เนื้อหาที่เป็นอันตรายหลุดออกจาก sandbox หรือเข้าถึงข้อมูลที่ไม่ควรเข้าถึงได้ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Gal Weizman เมื่อวันที่ 23 พฤศจิกายน 2025 และอยู่ระหว่างการประเมินรางวัลจาก Google’s Vulnerability Reward Program Google ระบุว่ารายละเอียดเชิงลึกของบั๊กจะถูกปิดไว้ชั่วคราวจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดตเสร็จ เพื่อป้องกันไม่ให้ผู้ไม่หวังดีย้อนรอยแพตช์และสร้าง exploit ขึ้นมาโจมตี ผู้ใช้สามารถตรวจสอบและอัปเดตได้ด้วยตนเองผ่านเมนู Help > About Google Chrome ซึ่งจะเริ่มดาวน์โหลดอัปเดตโดยอัตโนมัติ การอัปเดตครั้งนี้สะท้อนให้เห็นถึงความสำคัญของการจัดการช่องโหว่ในส่วนประกอบที่ดูเหมือนเล็กน้อยอย่าง WebView แต่มีผลกระทบต่อความปลอดภัยโดยรวมของเบราว์เซอร์อย่างมาก โดยเฉพาะในยุคที่เว็บแอปและ Chrome Apps ถูกใช้งานอย่างแพร่หลาย 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ ➡️ ช่องโหว่ถูกระบุเป็น CVE‑2026‑0628 ➡️ เป็นปัญหา Insufficient policy enforcement ใน WebView tag ‼️ ความเสี่ยงที่เกิดขึ้น ⛔ อาจทำให้เนื้อหาที่เป็นอันตรายหลุดออกจาก sandbox ⛔ เสี่ยงต่อการ bypass นโยบายความปลอดภัยของ Chrome ✅ การอัปเดตที่ปล่อยออกมา ➡️ Chrome เวอร์ชันที่ได้รับแพตช์: 143.0.7499.192/.193 บน Windows/macOS และ 143.0.7499.192 บน Linux ➡️ อัปเดตอยู่ใน Stable Channel และทยอยปล่อยให้ผู้ใช้ทั่วโลก ‼️ ความเสี่ยงหากไม่อัปเดต ⛔ ผู้โจมตีอาจ reverse-engineer แพตช์เพื่อสร้าง exploit ⛔ ผู้ใช้ที่ยังไม่อัปเดตเสี่ยงถูกโจมตีแบบ zero‑day ✅ ข้อมูลจากนักวิจัย ➡️ ช่องโหว่ถูกรายงานโดย Gal Weizman เมื่อ 23 พ.ย. 2025 ➡️ อยู่ระหว่างการประเมินรางวัลจาก Google VRP ‼️ ผลกระทบต่อผู้ใช้ ⛔ ผู้ใช้ Chrome Apps ที่ใช้ WebView เสี่ยงมากเป็นพิเศษ ⛔ อาจถูกใช้เป็นช่องทางโจมตีระบบอื่นต่อเนื่อง ✅ คำแนะนำ ➡️ อัปเดต Chrome ผ่าน Help > About Google Chrome ➡️ ตรวจสอบว่าเวอร์ชันเป็น 143.0.7499.192/.193 หรือใหม่กว่า ‼️ ความเสี่ยงหากละเลย ⛔ ระบบอาจถูกโจมตีผ่าน WebView โดยไม่รู้ตัว ⛔ อาจสูญเสียข้อมูลหรือถูกเข้าควบคุมผ่านช่องโหว่ https://securityonline.info/google-patches-high-severity-webview-flaw-in-chrome-143/

🛡️ Zero‑Day “Chronomaly” เขย่าโลก Linux — ช่องโหว่ใหม่เปิดทางสู่ Root Access ช่องโหว่ความปลอดภัยล่าสุดที่ถูกตั้งชื่อว่า Chronomaly กำลังสร้างความกังวลในวงการความปลอดภัยไซเบอร์ เนื่องจากเป็น Zero‑Day ที่ถูกใช้โจมตีจริงแล้วบน Linux Kernel สาย 5.10.x โดยเฉพาะในอุปกรณ์ Android หลายรุ่น ช่องโหว่นี้ถูกติดตามภายใต้รหัส CVE‑2025‑38352 ซึ่งเป็นช่องโหว่ระดับ High Severity (CVSS 7.4) และถูกจัดอยู่ในกลุ่ม Elevation of Privilege (EoP) ที่เปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์ขึ้นเป็น Root ได้ ต้นตอของปัญหาเกิดจาก race condition ใน POSIX CPU timers ซึ่งทำให้กระบวนการ cleanup ของ task ทำงานผิดพลาดจนเกิด memory corruption เมื่อถูกโจมตีสำเร็จ อาจนำไปสู่การล่มของระบบ (crash), การโจมตีแบบ DoS หรือการยึดสิทธิ์ Root แบบสมบูรณ์ นักวิจัย farazsth98 ได้เผยแพร่ exploit สาธารณะชื่อ “Chronomaly” ซึ่งสามารถทำงานได้บน Linux kernel v5.10.157 และคาดว่าจะใช้ได้กับทุกเวอร์ชันในสาย 5.10.x เพราะไม่ต้องพึ่งพา memory offset เฉพาะรุ่น Google ยืนยันว่าช่องโหว่นี้ถูกใช้โจมตีจริงในลักษณะ limited, targeted exploitation ซึ่งหมายความว่าเป็นการโจมตีแบบเจาะจงเป้าหมาย โดยกลุ่มผู้โจมตีระดับสูง (APT) อาจเป็นผู้ใช้ช่องโหว่นี้ก่อนที่แพตช์จะถูกเผยแพร่สู่สาธารณะ การอัปเดตความปลอดภัยประจำเดือนกันยายน 2025 ได้ออกแพตช์แก้ไขแล้ว และผู้ใช้อุปกรณ์ Android ที่ใช้ kernel สายนี้ควรอัปเดตทันทีเพื่อปิดช่องโหว่ ผลกระทบของ Chronomaly ไม่ได้จำกัดแค่ Android เท่านั้น แต่ยังสะท้อนถึงความเสี่ยงของระบบที่ใช้ Linux kernel รุ่นเก่าในองค์กรต่าง ๆ โดยเฉพาะอุปกรณ์ IoT, ระบบฝังตัว และเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดต การโจมตีแบบ local privilege escalation แม้จะต้องเข้าถึงเครื่องก่อน แต่ก็เป็นจุดเริ่มต้นของการยึดระบบทั้งหมดได้อย่างง่ายดายหากผู้โจมตีมี foothold อยู่แล้ว 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่และรายละเอียดทางเทคนิค ➡️ CVE‑2025‑38352 เป็นช่องโหว่ EoP ระดับ High Severity ➡️ เกิดจาก race condition ใน POSIX CPU timers ทำให้เกิด memory corruption ‼️ ความเสี่ยงที่เกิดขึ้น ⛔ ผู้โจมตีสามารถยกระดับสิทธิ์เป็น Root ได้ ⛔ อาจทำให้ระบบ crash หรือถูก DoS ✅ การโจมตีและ exploit ที่ถูกเผยแพร่ ➡️ exploit “Chronomaly” ใช้งานได้บน Linux kernel v5.10.157 ➡️ คาดว่าจะใช้ได้กับทุก kernel ในสาย 5.10.x ‼️ ความเสี่ยงจากการมี exploit สาธารณะ ⛔ เพิ่มโอกาสให้ผู้โจมตีทั่วไปนำไปใช้ ⛔ ระบบที่ยังไม่อัปเดตมีความเสี่ยงสูงขึ้นทันที ✅ การยืนยันจาก Google ➡️ ตรวจพบการโจมตีจริงแบบ targeted exploitation ➡️ แพตช์แก้ไขถูกปล่อยในอัปเดตความปลอดภัยเดือนกันยายน 2025 ‼️ ผลกระทบต่อผู้ใช้ ⛔ อุปกรณ์ Android ที่ยังไม่อัปเดตเสี่ยงถูกโจมตี ⛔ องค์กรที่ใช้ Linux kernel รุ่นเก่าอาจถูกเจาะระบบได้ง่ายขึ้น ✅ ข้อแนะนำด้านความปลอดภัย ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ ตรวจสอบระบบที่ใช้ kernel 5.10.x เป็นพิเศษ ‼️ ความเสี่ยงหากไม่อัปเดต ⛔ ผู้โจมตีสามารถยึดระบบได้จากการเข้าถึงเพียงเล็กน้อย ⛔ อาจถูกใช้เป็นฐานโจมตีระบบอื่นในเครือข่าย https://securityonline.info/zero-day-chronomaly-exploit-grants-root-access-to-vulnerable-linux-kernels/

⚙️ เลือกโฮสติ้งให้ถูก…อนาคตของงานประมวลผลหนักอยู่ที่ความปลอดภัยและความเสถียร การเลือกแพลตฟอร์มโฮสติ้งสำหรับงานประมวลผลประสิทธิภาพสูง (High‑Performance Applications) ไม่ใช่แค่เรื่อง “สเปกแรง” อีกต่อไป แต่เป็นการตัดสินใจเชิงกลยุทธ์ที่ส่งผลต่อความปลอดภัย ความเสถียร และต้นทุนระยะยาวขององค์กรหรือทีมพัฒนาโดยตรง เนื้อหาในหน้าเว็บชี้ให้เห็นว่าการใช้งาน GPU สำหรับงาน Machine Learning, Simulation, 3D Rendering หรือ Data Processing ทำให้โครงสร้างพื้นฐานกลายเป็นส่วนหนึ่งของตัวผลิตภัณฑ์เอง และการเลือกผิดเพียงครั้งเดียวอาจทำให้เกิดค่าใช้จ่ายแฝงจำนวนมากในอนาคต หนึ่งในประเด็นสำคัญคือ “ราคาถูกไม่ได้แปลว่าคุ้มค่า” เพราะผู้ให้บริการบางรายลดต้นทุนด้วยการใช้ฮาร์ดแวร์เก่า จำกัดการตั้งค่าระบบ หรือมีนโยบายบิลลิ่งที่ไม่ยืดหยุ่น ซึ่งอาจทำให้เกิดปัญหาเมื่อรันงานจริงเป็นเวลานานหรือมีโหลดพุ่งขึ้นแบบไม่คาดคิด การจ่ายแพงขึ้นเล็กน้อยอาจแลกมากับเสถียรภาพที่สูงกว่าและเวลาที่ทีมวิศวกรไม่ต้องเสียไปกับการแก้ปัญหาโครงสร้างพื้นฐาน ด้านความปลอดภัยก็เป็นอีกแกนหลักที่ไม่ควรมองข้าม โดยเฉพาะการแยกทรัพยากร GPU อย่างเหมาะสม การควบคุม Firewall และการเข้ารหัสข้อมูลทั้งขณะส่งผ่านและขณะจัดเก็บ ซึ่งเป็นมาตรฐานที่ควรมีในทุกแพลตฟอร์มที่รองรับงานข้อมูลสำคัญหรือโมเดลที่เป็นทรัพย์สินทางปัญญา นอกจากนี้ ความสามารถของทีมซัพพอร์ตและความชัดเจนของนโยบาย Uptime ก็เป็นตัวชี้วัดความน่าเชื่อถือของผู้ให้บริการได้อย่างดี สุดท้าย การทดสอบจริง (Benchmark + Trial) คือขั้นตอนที่ขาดไม่ได้ เพราะสเปกบนกระดาษไม่เคยบอกความจริงทั้งหมด การรันโมเดลจริง โหลดข้อมูลจริง และดูพฤติกรรมระบบในสถานการณ์จำลอง จะช่วยให้ทีมตัดสินใจได้อย่างมั่นใจมากขึ้นว่าระบบนั้นรองรับงานของตนได้จริงหรือไม่ 📌 สรุปประเด็นสำคัญ ✅ ความหมายของต้นทุนที่แท้จริง ➡️ ราคาถูกอาจซ่อนข้อจำกัด เช่น ฮาร์ดแวร์เก่า หรือการตั้งค่าที่ไม่ยืดหยุ่น ➡️ ค่าใช้จ่ายที่แท้จริงคือ “ประสิทธิภาพที่ใช้งานได้จริง” ไม่ใช่แค่ตัวเลขบนใบเสนอราคา ‼️ ความเสี่ยงจากการเลือกโฮสติ้งราคาต่ำ ⛔ อาจเกิด Downtime บ่อย ทำให้เสียเวลาการทำงาน ⛔ ทีมวิศวกรต้องเสียเวลาแก้ปัญหาแทนที่จะพัฒนาผลิตภัณฑ์ ✅ ความปลอดภัยของระบบเป็นหัวใจหลัก ➡️ ควรมีการแยก GPU อย่างเหมาะสมเพื่อป้องกัน Cross‑Tenant Access ➡️ ต้องรองรับ Firewall Rules, การจำกัดพอร์ต และการเข้ารหัสข้อมูล ‼️ ความเสี่ยงด้านข้อมูล ⛔ หากไม่มีการเข้ารหัส อาจเสี่ยงต่อการรั่วไหลของโมเดลหรือข้อมูลสำคัญ ⛔ การตั้งค่าความปลอดภัยที่ไม่ดีอาจเปิดช่องให้ถูกโจมตีทางเครือข่าย ✅ ความเสถียรและคุณภาพการซัพพอร์ต ➡️ ผู้ให้บริการที่ดีควรมีนโยบาย Uptime ชัดเจน ➡️ ทีมซัพพอร์ตที่ตอบเร็วช่วยลดผลกระทบจากเหตุขัดข้อง ‼️ ความเสี่ยงจากซัพพอร์ตที่ไม่พร้อม ⛔ ปัญหาเล็กอาจกลายเป็นวิกฤตหากไม่มีผู้ช่วยเหลือทันที ⛔ การขาดเอกสารหรือ Knowledge Base ทำให้แก้ปัญหาได้ช้าลง ✅ ความยืดหยุ่นของสถาปัตยกรรม ➡️ รองรับทั้ง Vertical Scaling และ Horizontal Scaling ➡️ ควรให้สิทธิ์ Root Access และรองรับ Custom Drivers ‼️ ความเสี่ยงจากระบบที่ขยายไม่ได้ ⛔ เมื่อโหลดเพิ่มขึ้น อาจต้องย้ายระบบใหม่ทั้งหมด ⛔ ทำให้เสียเวลาและต้นทุนสูงขึ้นในระยะยาว ✅ ความสำคัญของการทดสอบจริง ➡️ Benchmark ช่วยเปิดเผยปัญหาที่สเปกบนกระดาษไม่เคยบอก ➡️ การทดสอบด้วยโมเดลจริงช่วยประเมินเสถียรภาพภายใต้โหลดจริง ‼️ ความเสี่ยงหากไม่ทดสอบก่อนใช้งานจริง ⛔ อาจเจอปัญหาคอขวดหลัง Deploy ⛔ ทำให้ต้องแก้ไขระบบใหม่ทั้งชุดในภายหลัง https://securityonline.info/how-to-select-a-secure-hosting-platform-for-high-performance-applications/

📌🔐🩷 รวมข่าวจากเวบ SecurityOnline 🩷🔐📌 #รวมข่าวIT #20260106 #securityonline 🔐 Riot Games ล่มยาวเพราะใบรับรอง SSL หมดอายุ Riot Games เผชิญเหตุระบบล่มครั้งใหญ่เมื่อใบรับรอง SSL หมดอายุ ทำให้ผู้เล่น League of Legends ไม่สามารถเชื่อมต่อเซิร์ฟเวอร์ได้หลายชั่วโมง โดยปัญหานี้เคยเกิดขึ้นมาแล้วเมื่อ 10 ปีก่อนและยังไม่ถูกแก้ไขอย่างยั่งยืน แม้ทีมงานจะเร่งออกใบรับรองใหม่และกู้ระบบกลับมาได้ แต่ผู้เล่นบางส่วนยังพบข้อความผิดพลาดและต้องอัปเดตไคลเอนต์หรือรีสตาร์ตเครื่องเพื่อใช้งานได้ตามปกติ 🔗 https://securityonline.info/riot-games-login-outage-traced-to-expired-ssl-certificate 💻 Microsoft เตรียมยุติ Windows 11 SE ทำให้โรงเรียนต้องหาทางเลือกใหม่ Microsoft ยืนยันว่าจะหยุดสนับสนุน Windows 11 SE ในปี 2026 ส่งผลให้โรงเรียนที่ใช้งานระบบนี้ต้องเผชิญความเสี่ยงด้านความปลอดภัยหากไม่อัปเกรดหรือเปลี่ยนอุปกรณ์ใหม่ เนื่องจากฮาร์ดแวร์ที่มาพร้อม Windows 11 SE ส่วนใหญ่มีสเปกต่ำ ไม่รองรับ Windows 11 รุ่นเต็ม ทำให้หลายสถาบันอาจต้องย้ายไปใช้ Chromebook หรือ iPad แทน 🔗 https://securityonline.info/the-chromebook-killer-fails-microsoft-to-kill-windows-11-se-in-2026 🛡️ พบช่องโหว่ใหม่ใน macOS (CVE-2025-43530) ทำให้ระบบอัตโนมัติรันคำสั่งได้โดยไม่ต้องขอสิทธิ์ นักวิจัยพบช่องโหว่ร้ายแรงในระบบ TCC ของ macOS ที่ทำให้ผู้โจมตีสามารถใช้ช่องโหว่ใน ScreenReader.framework เพื่อรัน AppleScript และควบคุมเครื่องได้โดยไม่ต้องผ่านหน้าต่างขออนุญาต โดยอาศัยการหลอกระบบให้เชื่อว่าเป็นโปรเซสที่เชื่อถือได้ Apple ได้ออกแพตช์แก้ไขแล้วใน macOS Tahoe, Sonoma, Sequoia และ iOS/iPadOS เวอร์ชันล่าสุด ผู้ใช้ควรอัปเดตทันที 🔗 https://securityonline.info/new-tcc-bypass-cve-2025-43530-exposes-macos-to-unchecked-automation ⚠️ รายงานช่องโหว่ Stack Buffer Overflow ใน Net-SNMP snmptrapd (ต้องเป็นผู้สนับสนุนจึงอ่านเต็มได้) มีการเปิดเผยช่องโหว่ Stack Buffer Overflow ใน snmptrapd ของ Net-SNMP ซึ่งอาจนำไปสู่การรันโค้ดจากระยะไกล (RCE) ได้ แต่เนื้อหารายละเอียดเชิงลึกถูกจำกัดให้เฉพาะผู้สนับสนุนเท่านั้น อย่างไรก็ตาม ช่องโหว่นี้ถูกจัดเป็นความเสี่ยงสูงและควรจับตาการอัปเดตแพตช์จากผู้พัฒนา 🔗 https://securityonline.info/researcher-details-stack-buffer-overflow-flaw-in-net-snmp-snmptrapd-with-poc 🛡️ Attacking from Within: ช่องโหว่ ColdFusion เปิดทางแอดมินโจมตีผ่าน Remote Share Adobe ออกแพตช์อุดช่องโหว่ร้ายแรงใน ColdFusion หลังนักวิจัยพบว่าผู้ที่มีสิทธิ์เข้า CFAdmin สามารถใช้ฟีเจอร์ “Package & Deploy” ร่วมกับ UNC path เพื่อดึงไฟล์ CAR อันตรายจาก SMB ภายนอกและติดตั้ง web shell ลงเซิร์ฟเวอร์ได้ ทำให้การเข้าถึงแอดมินเพียงอย่างเดียวสามารถนำไปสู่การยึดระบบเต็มรูปแบบได้ จึงแนะนำให้อัปเดตแพตช์ล่าสุดและป้องกันการเข้าถึง CFAdmin อย่างเข้มงวด 🔗 https://securityonline.info/attacking-from-within-how-adobe-coldfusion-admins-can-weaponize-remote-shares 📂 CVE-2025-66518: ช่องโหว่ Apache Kyuubi เปิดทางอ่านไฟล์บนเซิร์ฟเวอร์ Apache Kyuubi แก้ไขช่องโหว่ระดับสูงที่ทำให้ผู้ใช้สามารถหลบการตรวจสอบ allow-list ของไดเรกทอรีได้ เนื่องจากระบบไม่ทำ path normalization อย่างถูกต้อง ส่งผลให้ผู้โจมตีเข้าถึงไฟล์ภายในเซิร์ฟเวอร์ที่ไม่ควรถูกอ่านได้ โดยเวอร์ชันที่ได้รับผลกระทบคือ 1.6.0 ถึง 1.10.2 และควรอัปเดตเป็น 1.10.3 ทันทีเพื่อปิดช่องโหว่นี้ 🔗 https://securityonline.info/cve-2025-66518-high-severity-flaw-in-apache-kyuubi-exposes-local-server-files 🗺️ Apache SIS อุดช่องโหว่ XXE ที่ทำให้ไฟล์ภายในรั่วไหลผ่าน XML Apache SIS พบช่องโหว่ XXE ที่เปิดโอกาสให้ผู้โจมตีสร้างไฟล์ XML พิเศษเพื่อหลอกให้ระบบอ่านและส่งคืนข้อมูลไฟล์ภายในเซิร์ฟเวอร์ เช่น config หรือ password file โดยกระทบหลายฟอร์แมต เช่น GeoTIFF, ISO 19115, GML และ GPX ซึ่งมีผลกับเวอร์ชัน 0.4 ถึง 1.5 และได้รับการแก้ไขแล้วในเวอร์ชัน 1.6 🔗 https://securityonline.info/apache-sis-patch-blocks-xml-attack-that-leaks-server-files 🧪 macOS Developers Under Attack: GlassWorm Wave 4 โจมตีผ่าน VS Code Extensions แคมเปญ GlassWorm ระลอกที่ 4 เปลี่ยนเป้าหมายจาก Windows มาสู่ macOS โดยซ่อน payload ที่เข้ารหัส AES-256-CBC ไว้ในส่วนขยาย VS Code และตั้งเวลาให้ทำงานหลังติดตั้ง 15 นาทีเพื่อหลบ sandbox พร้อมความสามารถใหม่ที่อันตรายกว่าเดิมคือการแทนที่แอปกระเป๋าเงินฮาร์ดแวร์อย่าง Ledger และ Trezor ด้วยเวอร์ชันปลอม ทำให้ผู้พัฒนาบน macOS โดยเฉพาะสาย crypto เสี่ยงถูกยึดระบบและทรัพย์สินดิจิทัล 🔗 https://securityonline.info/macos-developers-in-the-crosshairs-glassworms-wave-4-exploits-vs-code-to-trojanize-hardware-wallets ⚠️ Aiohttp ออกแพตช์อุดช่องโหว่ 7 รายการ รวมถึง DoS รุนแรงสูง Aiohttp ออกอัปเดตเวอร์ชัน 3.13.3 เพื่อแก้ไขช่องโหว่ 7 รายการที่เสี่ยงทำให้เซิร์ฟเวอร์ล่ม ตั้งแต่ DoS ระดับรุนแรงสูงที่ผู้โจมตีสามารถส่ง POST พิเศษเพื่อกินหน่วยความจำจนระบบค้าง (CVE-2025-69228) ไปจนถึงบั๊กที่ทำให้เกิดลูปไม่สิ้นสุดเมื่อ Python ถูกเปิดโหมด optimize (CVE-2025-69227) รวมถึงช่องโหว่อื่นอย่างการโจมตีด้วย chunked message ที่ทำให้ CPU ถูกใช้งานหนัก การส่ง cookie ผิดรูปแบบเพื่อถล่ม log การลักลอบส่ง request แบบ smuggling ผ่านอักขระ non‑ASCII และการเดาเส้นทางไฟล์ภายในเซิร์ฟเวอร์ผ่าน web.static() โดยช่องโหว่ทั้งหมดกระทบเวอร์ชัน 3.13.2 ลงไป และผู้พัฒนาถูกแนะนำให้อัปเดตเป็น 3.13.3 ทันทีเพื่อปิดความเสี่ยงเหล่านี้ ​​​​​​​🔗 https://securityonline.info/aiohttp-patches-seven-vulnerabilities-including-high-severity-dos-risks/

🔥 ช่องโหว่ร้ายแรง CVE‑2025‑66518 ใน Apache Kyuubi เปิดให้เข้าถึงไฟล์บนเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต ช่องโหว่นี้เกิดจากการที่ Apache Kyuubi ไม่ทำ Path Normalization อย่างถูกต้อง ทำให้ผู้โจมตีสามารถใช้คำสั่งที่มีรูปแบบ ../ เพื่อเข้าถึงไฟล์ที่อยู่นอกเหนือจากไดเรกทอรีที่ถูกอนุญาตใน kyuubi.session.local.dir.allow.list ได้ แม้ผู้ดูแลระบบจะตั้งค่าจำกัดไว้แล้วก็ตาม ผลลัพธ์คือ ผู้ใช้ที่มีสิทธิ์เพียงเล็กน้อย (Low Privilege) แต่สามารถเชื่อมต่อผ่าน Kyuubi frontend protocols จะสามารถอ่านไฟล์ภายในเซิร์ฟเวอร์ที่ไม่ควรเข้าถึงได้ เช่น ไฟล์คอนฟิก ไฟล์ระบบ หรือข้อมูลสำคัญอื่น ๆ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ (Privilege Escalation) หรือการเตรียมโจมตีขั้นต่อไปได้ ช่องโหว่นี้ส่งผลกระทบต่อ Apache Kyuubi เวอร์ชัน 1.6.0 ถึง 1.10.2 และได้รับการแก้ไขแล้วในเวอร์ชัน 1.10.3 ขึ้นไป ผู้ดูแลระบบจึงควรอัปเดตทันทีเพื่อปิดช่องโหว่ดังกล่าว นอกจากนี้ Apache ยังระบุว่าเป็นช่องโหว่ประเภท Path Traversal (CWE‑27) ซึ่งเป็นรูปแบบการโจมตีที่พบได้บ่อยในระบบที่จัดการไฟล์ไม่รัดกุม ด้วยคะแนนความรุนแรง CVSS 8.8 (High Severity) ช่องโหว่นี้ถือเป็นความเสี่ยงสำคัญสำหรับองค์กรที่ใช้ Kyuubi ในงาน Big Data, Spark, หรือระบบวิเคราะห์ข้อมูลแบบ Multi‑tenant ซึ่งมักมีผู้ใช้หลายระดับสิทธิ์ร่วมกันในระบบเดียว ทำให้โอกาสถูกโจมตีจากผู้ใช้ภายในเพิ่มสูงขึ้นอย่างมาก 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ ➡️ ชนิดช่องโหว่: Path Traversal (CWE‑27) ➡️ ผู้โจมตีสามารถเข้าถึงไฟล์ที่อยู่นอก allow‑list ได้ ➡️ เกิดจากการไม่ normalize path อย่างถูกต้อง ✅ เวอร์ชันที่ได้รับผลกระทบ ➡️ Apache Kyuubi 1.6.0 – 1.10.2 ‼️ ความเสี่ยงที่ต้องระวัง ⛔ การเข้าถึงไฟล์สำคัญบนเซิร์ฟเวอร์ ⛔ ความเสี่ยงต่อ Privilege Escalation ⛔ อาจถูกใช้เป็นจุดเริ่มต้นของการโจมตีขั้นสูง ✅ วิธีป้องกัน ➡️ อัปเดตเป็น Kyuubi 1.10.3 หรือสูงกว่า ทันที ➡️ ตรวจสอบการตั้งค่า allow‑list และสิทธิ์ผู้ใช้ ➡️ เปิดระบบ Logging เพื่อตรวจจับการเข้าถึงไฟล์ผิดปกติ https://securityonline.info/cve-2025-66518-high-severity-flaw-in-apache-kyuubi-exposes-local-server-files/

🔐 MediaTek เปิดปี 2026 ด้วยการยกเครื่องความปลอดภัยครั้งใหญ่สำหรับชิปมือถือ MediaTek เปิดศักราชใหม่ด้วยการออก Security Bulletin เดือนมกราคม 2026 ซึ่งเป็นหนึ่งในการอัปเดตด้านความปลอดภัยครั้งใหญ่ที่สุดของบริษัท ครอบคลุมช่องโหว่จำนวนมากในชิปเซ็ตมือถือและ IoT หลายรุ่น โดยเฉพาะช่องโหว่ระดับร้ายแรงสูงในส่วนของ Modem Firmware ที่เกี่ยวข้องกับการสื่อสารเครือข่ายมือถือ ซึ่งเป็นหัวใจสำคัญของสมาร์ตโฟนยุคปัจจุบัน รายงานระบุว่าช่องโหว่หลายรายการสามารถทำให้เครื่อง ค้าง, รีบูต, สูญเสียสัญญาณ หรือแม้แต่เปิดช่องให้รันโค้ดอันตราย (Arbitrary Code Execution) ได้ หากถูกโจมตีจากสัญญาณเครือข่ายที่ประดิษฐ์ขึ้นโดยผู้ไม่หวังดี แม้ MediaTek จะยืนยันว่ายังไม่พบการโจมตีจริงในโลกภายนอก แต่ความร้ายแรงของช่องโหว่ทำให้ผู้ผลิตมือถือ Android ต้องรีบออกแพตช์ตามทันที หนึ่งในช่องโหว่ที่ถูกจับตามากที่สุดคือ CVE‑2025‑20794 (Stack Overflow) และ CVE‑2025‑20793 (Null Pointer Dereference) ซึ่งส่งผลต่อชิปเซ็ตจำนวนมาก รวมถึงตระกูล Dimensity ที่ใช้ในสมาร์ตโฟนระดับกลางถึงเรือธง นอกจากนี้ยังมีช่องโหว่ Out‑of‑Bounds Write (CVE‑2025‑20795) ในระบบ KeyInstall ซึ่งอาจทำให้หน่วยความจำสำคัญถูกเขียนทับได้ นอกเหนือจากช่องโหว่ระดับสูง ยังมีช่องโหว่ระดับกลางอีกหลายสิบรายการในส่วนของ Display, Graphics, Battery, Power และ Deep Processing Engine (DPE) ซึ่งอาจนำไปสู่ปัญหาอย่าง Use‑After‑Free, Double‑Free, Integer Overflow และการคอร์รัปชันของหน่วยความจำในหลายกรณี ทำให้การอัปเดตครั้งนี้มีความสำคัญอย่างยิ่งสำหรับผู้ผลิตอุปกรณ์ทุกรายที่ใช้ชิป MediaTek 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ระดับร้ายแรงที่ถูกแก้ไข ➡️ CVE‑2025‑20794 – Stack Overflow ในโมเด็ม ➡️ CVE‑2025‑20793 – Null Pointer Dereference ➡️ CVE‑2025‑20795 – Out‑of‑Bounds Write ใน KeyInstall ➡️ ส่งผลต่อชิปหลายรุ่น รวมถึง Dimensity รุ่นยอดนิยม ‼️ ความเสี่ยงที่ต้องระวัง ⛔ อาจทำให้เครื่องค้างหรือรีบูตเอง ⛔ เสี่ยงต่อการรันโค้ดอันตรายผ่านสัญญาณเครือข่าย ⛔ อุปกรณ์ IoT ที่ไม่ได้อัปเดตมีความเสี่ยงสูง ✅ การอัปเดตด้านความปลอดภัยเพิ่มเติม ➡️ แก้ไขช่องโหว่ระดับกลางจำนวนมากใน Display, Graphics, Battery และ DPE ➡️ ป้องกันปัญหา Use‑After‑Free, Double‑Free และ Integer Overflow ➡️ ครอบคลุมชิปเซ็ตหลายรุ่นตั้งแต่รุ่นเก่าไปจนถึงรุ่นใหม่ ‼️ คำแนะนำสำหรับผู้ใช้และผู้ผลิต ⛔ ผู้ผลิต Android ต้องรีบปล่อยแพตช์ตาม MediaTek ⛔ ผู้ใช้ควรอัปเดตระบบทันทีเมื่อมีแพตช์ OTA ⛔ อุปกรณ์ที่หยุดซัพพอร์ตอาจยังคงมีความเสี่ยง https://securityonline.info/mediatek-kicks-off-2026-with-major-security-overhaul-for-mobile-chipsets/

🧨 ช่องโหว่การโจมตีจากภายใน: ผู้ดูแล Adobe ColdFusion สามารถใช้ Remote Shares เป็นอาวุธได้ งานวิจัยด้านความปลอดภัยล่าสุดเปิดเผยว่า ผู้ดูแลระบบ (Admin) ของ Adobe ColdFusion สามารถใช้สิทธิ์ของตนเองโจมตีระบบจากภายในได้ โดยอาศัยการเชื่อมต่อ Remote File Shares ซึ่งเป็นฟีเจอร์ที่มีอยู่ใน ColdFusion อยู่แล้ว จุดอ่อนนี้ไม่ได้เป็น “ช่องโหว่” แบบผิดพลาดของซอฟต์แวร์ แต่เป็น “การออกแบบที่เสี่ยง” ซึ่งเปิดโอกาสให้ผู้ดูแลที่ไม่หวังดีสามารถใช้สิทธิ์ของตนเพื่อเข้าถึงไฟล์หรือรันโค้ดบนระบบอื่นได้อย่างง่ายดาย ปัญหาหลักเกิดจากความสามารถของ ColdFusion ที่อนุญาตให้ Admin เพิ่ม Remote Share แล้วนำไฟล์จากปลายทางนั้นมาใช้ในแอปพลิเคชัน เช่น การ include โค้ด, โหลดสคริปต์, หรือรันไฟล์ CFM จากเครื่องอื่น หากผู้ดูแลมีเจตนาร้าย พวกเขาสามารถชี้ไปยัง Share ที่ควบคุมเอง แล้วสั่งให้ ColdFusion รันโค้ดอันตรายได้ทันที โดยไม่ต้องเจาะระบบใด ๆ เพิ่มเติม เพราะสิทธิ์ Admin มีอยู่แล้ว ผลกระทบที่ตามมาคือ ผู้ดูแลสามารถใช้ ColdFusion เป็น “ตัวกลางโจมตี” ไปยังระบบอื่นในเครือข่าย เช่น การรัน Payload, การขโมยข้อมูล, การวาง WebShell หรือแม้แต่การเคลื่อนย้ายภายใน (Lateral Movement) ไปยังเซิร์ฟเวอร์อื่น ๆ ที่เชื่อมต่อกันอยู่ ทำให้ความเสียหายขยายวงกว้างได้อย่างรวดเร็ว ผู้เชี่ยวชาญเตือนว่าองค์กรจำนวนมากมัก “ไว้ใจ Admin มากเกินไป” และลืมว่าการออกแบบระบบที่ให้สิทธิ์สูงโดยไม่มีการตรวจสอบหรือจำกัดขอบเขต อาจทำให้เกิดการโจมตีจากภายในได้ง่ายกว่าการโจมตีจากภายนอกเสียอีก แนวทางป้องกันจึงไม่ใช่เพียงการแพตช์ แต่ต้องออกแบบกระบวนการควบคุมสิทธิ์และตรวจสอบการใช้งานของผู้ดูแลอย่างเข้มงวด 📌 สรุปประเด็นสำคัญ ✅ สิ่งที่เกิดขึ้น ➡️ ColdFusion อนุญาตให้ Admin เพิ่ม Remote File Shares ได้ ➡️ สามารถโหลดหรือรันโค้ดจาก Share ภายนอกได้โดยตรง ➡️ ฟีเจอร์นี้ถูกนำไปใช้เป็นช่องทางโจมตีจากภายในได้ ✅ ผลกระทบ ➡️ ผู้ดูแลสามารถรันโค้ดอันตรายผ่าน ColdFusion ได้ ➡️ อาจถูกใช้เพื่อ Lateral Movement ไปยังเซิร์ฟเวอร์อื่น ➡️ ColdFusion กลายเป็นตัวกลางแพร่กระจาย Payload ‼️ ความเสี่ยงที่ต้องระวัง ⛔ การโจมตีจาก “คนในองค์กร” มักตรวจจับได้ยาก ⛔ การให้สิทธิ์ Admin โดยไม่มีการตรวจสอบเป็นช่องโหว่เชิงนโยบาย ⛔ ระบบที่เชื่อมต่อกันหลายเครื่องยิ่งเสี่ยงถูกโจมตีแบบลูกโซ่ ✅ แนวทางป้องกัน ➡️ จำกัดสิทธิ์ Admin เฉพาะงานที่จำเป็น ➡️ เปิดใช้ Logging และตรวจสอบการเพิ่ม Remote Shares ➡️ แยกเครือข่าย (Network Segmentation) เพื่อลดผลกระทบ https://securityonline.info/attacking-from-within-how-adobe-coldfusion-admins-can-weaponize-remote-shares/

🛡️ ช่องโหว่ใหม่ CVE‑2025‑43530 ทำ macOS เสี่ยงถูกควบคุมเครื่องแบบไร้การอนุญาต ช่องโหว่ใหม่ที่ถูกเปิดเผยใน macOS ภายใต้รหัส CVE‑2025‑43530 ทำให้ระบบป้องกันความเป็นส่วนตัวของ Apple หรือ TCC (Transparency, Consent, and Control) ถูกเจาะทะลุอีกครั้ง โดยนักวิจัยด้านความปลอดภัย Mickey Jin พบว่ามีจุดอ่อนใน ScreenReader.framework ซึ่งเกี่ยวข้องกับฟีเจอร์ VoiceOver ทำให้ผู้โจมตีสามารถสั่งงานระบบได้โดยไม่ต้องผ่านหน้าต่างขออนุญาตใด ๆ แก่นของปัญหาอยู่ที่บริการ com.apple.scrod ซึ่งใช้ตรวจสอบความน่าเชื่อถือของโปรเซสที่ร้องขอสิทธิ์ แต่ระบบตรวจสอบนี้มีข้อบกพร่องสองจุด ได้แก่ การเชื่อใจไฟล์ที่มีลายเซ็น Apple มากเกินไป และช่องโหว่แบบ TOCTOU (Time-of-Check Time-of-Use) ที่เปิดโอกาสให้ผู้โจมตีสลับไฟล์ระหว่างการตรวจสอบได้ ทำให้สามารถแอบอ้างเป็นโปรเซสที่ถูกต้องได้ง่ายขึ้น เมื่อผู้โจมตีหลอกระบบสำเร็จ พวกเขาจะสามารถใช้ AppleScript เพื่อควบคุมเครื่องได้เสมือนเป็น “ผู้ใช้เงา” เช่น สั่ง Finder, เปิดไฟล์, เข้าถึงข้อมูลส่วนตัว หรือแม้แต่ดึงข้อมูลที่ปกติถูกป้องกันโดย TCC เช่น รูปภาพ รายชื่อผู้ติดต่อ หรือข้อมูลตำแหน่ง โดยที่ผู้ใช้ไม่รู้ตัวเลยแม้แต่น้อย Apple ได้ออกแพตช์แก้ไขแล้ว โดยระบุว่าได้ “ปรับปรุงการตรวจสอบ” เพื่อปิดช่องโหว่นี้ ผู้ใช้ macOS ทุกคนจึงควรอัปเดตทันทีเพื่อป้องกันการถูกโจมตีผ่านช่องโหว่ดังกล่าว ซึ่งมีโค้ดตัวอย่างถูกเผยแพร่สู่สาธารณะแล้ว ทำให้ความเสี่ยงเพิ่มสูงขึ้นอย่างมาก 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่และสาเหตุ ➡️ เกิดจากจุดอ่อนใน ScreenReader.framework และบริการ com.apple.scrod ➡️ ระบบเชื่อใจไฟล์ที่มีลายเซ็น Apple มากเกินไป ➡️ มีช่องโหว่แบบ TOCTOU ทำให้สลับไฟล์ระหว่างตรวจสอบได้ ✅ ผลกระทบ ➡️ ผู้โจมตีสามารถรัน AppleScript โดยไม่ต้องขออนุญาต ➡️ เข้าถึงข้อมูลส่วนตัว เช่น รูปภาพ รายชื่อ หรือข้อมูลตำแหน่ง ➡️ ควบคุมเครื่องได้เหมือนเป็นผู้ใช้จริง ‼️ ความเสี่ยงที่ต้องระวัง ⛔ โค้ดโจมตีถูกเผยแพร่แล้ว ทำให้ความเสี่ยงเพิ่มขึ้น ⛔ อาจถูกใช้ร่วมกับมัลแวร์เพื่อควบคุมเครื่องแบบเงียบ ๆ ⛔ ผู้ใช้ที่ไม่อัปเดต macOS เสี่ยงถูกเจาะระบบสูงมาก ✅ วิธีป้องกัน ➡️ อัปเดต macOS เป็นเวอร์ชันล่าสุดทันที ➡️ หลีกเลี่ยงการรันไฟล์หรือแอปที่ไม่รู้จัก ➡️ ตรวจสอบสิทธิ์ Accessibility และ Automation ใน System Settings https://securityonline.info/new-tcc-bypass-cve-2025-43530-exposes-macos-to-unchecked-automation/

📌🔐🟡 รวมข่าวจากเวบ SecurityOnline 🟡🔐📌 #รวมข่าวIT #20260105 #securityonline 🧠 Systems over Slop: วิสัยทัศน์ AI ปี 2026 ของ Satya Nadella จุดกระแส “Microslop” Nadella ประกาศแนวคิดใหม่ผลักดันอุตสาหกรรม AI จากการแข่งขัน “โมเดลใหญ่แค่ไหน” ไปสู่ยุค “ระบบที่ทำงานจริง” พร้อมชี้ว่า AI ควรเป็นโครงช่วยเสริมศักยภาพมนุษย์มากกว่าผลิตคอนเทนต์ไร้คุณภาพ แต่คำพูดเรื่อง “slop” กลับจุดกระแสวิจารณ์หนักบนโซเชียล โดยผู้ใช้จำนวนมากมองว่า Microsoft ควรแก้ปัญหา Copilot ที่ยังให้ข้อมูลผิดพลาดก่อนจะพูดเรื่องคุณภาพ AI ทำให้แฮชแท็ก “Microslop” ติดเทรนด์ ขณะที่ทิศทางใหม่ของ Microsoft มุ่งสร้าง AI แบบตัวแทน (agent) ที่ทำงานร่วมกับแอปต่าง ๆ เพื่อเพิ่มประโยชน์จริงในชีวิตประจำวัน 🔗 https://securityonline.info/systems-over-slop-nadellas-2026-ai-vision-sparks-microslop-revolt 🎮 PS5 สะเทือน: คีย์ BootROM หลุด ทำระบบความปลอดภัยพังแบบแก้ไม่ได้ แฮ็กเกอร์ไม่ทราบชื่อปล่อยคีย์ BootROM ของ PS5 ซึ่งเป็นหัวใจสำคัญของระบบความปลอดภัยระดับฮาร์ดแวร์ ทำให้ผู้เชี่ยวชาญสามารถเจาะลึกสถาปัตยกรรมเครื่องและอาจนำไปสู่การสร้างเฟิร์มแวร์ดัดแปลงหรือรันเกมแบบไม่จำกัดในอนาคต แม้ Sony จะออกคีย์ใหม่ในรุ่นผลิตถัดไปได้ แต่เครื่องที่ขายไปแล้วไม่สามารถแก้ไขได้ ทำให้การรั่วครั้งนี้ถือเป็นหนึ่งในเหตุการณ์ด้านความปลอดภัยที่ร้ายแรงที่สุดของคอนโซลยุคใหม่ 🔗 https://securityonline.info/the-unpatchable-leak-sonys-ps5-security-crumples-as-bootrom-keys-hit-the-web 💰 Bitfinex Hacker: Ilya Lichtenstein ได้รับอิสรภาพก่อนกำหนดจากกฎหมายยุค Trump Ilya Lichtenstein แฮ็กเกอร์ผู้อยู่เบื้องหลังการขโมย Bitcoin ครั้งใหญ่ของ Bitfinex ในปี 2016 ถูกปล่อยตัวก่อนกำหนดหลังรับโทษเพียงหนึ่งปีจากโทษจำคุกห้าปี อันเป็นผลจากกฎหมายปฏิรูปกระบวนการยุติธรรมที่ลงนามโดยประธานาธิบดี Trump โดยเขายอมรับผิดทั้งหมดเพื่อปกป้องภรรยา และหลังได้รับอิสรภาพประกาศว่าจะหันมาทำงานด้านความปลอดภัยไซเบอร์เพื่อชดเชยสังคม 🔗 https://securityonline.info/the-hacker-returns-bitfinex-mastermind-ilya-lichtenstein-freed-early-via-trump-law 📱 Telegram เปิดปี 2026 ด้วยฟีเจอร์สรุปโพสต์ด้วย AI ผ่านเครือข่าย Cocoon Telegram อัปเดตใหม่บน iOS เพิ่มฟีเจอร์สรุปเนื้อหายาวในช่องด้วย AI ที่ประมวลผลผ่านเครือข่าย Cocoon แบบกระจายศูนย์ เน้นความเป็นส่วนตัวด้วยการเข้ารหัสทุกคำขอก่อนส่ง พร้อมปรับปรุงเอฟเฟกต์ Liquid Glass ให้สวยงามและลื่นไหลยิ่งขึ้น แม้ Android และ Windows จะยังไม่ได้ฟีเจอร์นี้ แต่คาดว่าจะตามมาในอนาคต 🔗 https://securityonline.info/private-intelligence-telegrams-2026-update-brings-ai-summaries-via-the-cocoon-network ⚠️ CVE-2026-21440: ช่องโหว่ร้ายแรงใน AdonisJS เปิดทางเขียนไฟล์ทับและรันโค้ดบนเซิร์ฟเวอร์ พบช่องโหว่ระดับวิกฤตใน AdonisJS โดยเฉพาะแพ็กเกจ bodyparser ที่ยอมให้ผู้โจมตีอัปโหลดไฟล์พร้อมชื่อที่มี path traversal ทำให้สามารถเขียนไฟล์ไปยังตำแหน่งสำคัญของระบบ และอาจนำไปสู่การรันโค้ด (RCE) ได้ ผู้พัฒนาถูกแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดทันทีเพื่อปิดช่องโหว่ 🔗 https://securityonline.info/cve-2026-21440-new-adonisjs-9-2-critical-flaw-allows-arbitrary-file-writes-and-rce 🕵️‍♂️ Sliver C2 โผล่ในปฏิบัติการเจาะ FortiWeb เจาะลึกเหยื่อกว่า 30 รายใน 8 วัน รายงานเผยกลุ่มผู้โจมตีใช้ช่องโหว่ React2Shell เพื่อฝัง Sliver C2 ลงในอุปกรณ์ FortiWeb พร้อมใช้เทคนิคพรางตัว เช่น FRP และ microsocks ที่ถูกปลอมเป็นบริการพิมพ์ CUPS เพื่อซ่อนทราฟฟิก ทำให้สามารถเข้าถึงระบบองค์กรในบังกลาเทศและปากีสถานได้อย่างแนบเนียน โดยแคมเปญนี้ชี้ให้เห็นช่องโหว่ใหญ่ของอุปกรณ์ edge ที่ขาดระบบตรวจจับภัยคุกคามในตัว https://securityonline.info/sliver-in-the-stack-exposed-logs-reveal-targeted-fortiweb-exploitation-campaign 👻 VVS Stealer มัลแวร์ล่องหน ใช้ Pyarmor ซ่อนโค้ดก่อนขโมยบัญชี Discord มัลแวร์ VVS Stealer ที่ถูกขายใน Telegram ใช้ Pyarmor เพื่อเข้ารหัสโค้ด Python ทำให้สแกนไม่เจอ ก่อนจะฉีดโค้ดลงในแอป Discord เพื่อขโมยโทเคน เข้าถึงบัญชี ดูข้อมูลบัตร และดึงข้อมูลจากเบราว์เซอร์กว่า 10 ตัว พร้อมหลอกผู้ใช้ด้วยหน้าต่าง “Fatal Error” ปลอม ทั้งหมดนี้ในราคาขายเพียงหลักสิบยูโร ทำให้ผู้ไม่เชี่ยวชาญก็เข้าถึงเครื่องมือระดับสูงได้ 🔗 https://securityonline.info/the-invisible-predator-how-vvs-stealer-abuses-pyarmor-to-ghost-discord-accounts 📡 CVE-2025-66848: ช่องโหว่ร้ายแรงในเราเตอร์ JD Cloud เปิดทางยึดเครื่องแบบ root พบช่องโหว่ในเราเตอร์ JD Cloud หลายรุ่นที่ปล่อยข้อมูล MAC และ feedid ผ่าน API ทำให้ผู้โจมตีสร้างโทเคนแอดมินปลอมได้ ก่อนใช้ช่องโหว่ command injection ในบริการ DDNS เพื่อเปิด backdoor และยึดสิทธิ์ root แบบเต็มตัว ส่งผลให้ผู้ใช้ตามบ้านและธุรกิจเสี่ยงถูกดักข้อมูลหรือถูกใช้เป็นฐานโจมตีต่อ 🔗 https://securityonline.info/cve-2025-66848-critical-flaw-in-jd-cloud-routers-grants-hackers-root-access 🎭 Transparent Tribe ใช้ไฟล์ JLPT ปลอมล่อเหยื่ออินเดียในแคมเปญจารกรรมแบบ Fileless กลุ่ม APT36 ใช้ไฟล์ LNK ปลอมที่ปลอมตัวเป็น PDF เกี่ยวกับข้อสอบ JLPT เพื่อหลอกเหยื่อในอินเดีย โดยไฟล์จะเรียกใช้ mshta.exe เพื่อรันสคริปต์อันตรายแบบ fileless พร้อมตรวจสอบโปรแกรมแอนติไวรัสในเครื่องและปรับพฤติกรรมให้เหมาะสม ก่อนทำงานเป็น RAT เต็มรูปแบบที่สามารถดึงไฟล์ จับภาพหน้าจอ และขโมยข้อมูลสำคัญได้ 🔗 https://securityonline.info/transparent-tribe-weaponizes-jlpt-tests-in-new-cyber-espionage-campaign-against-india 💳 หลอกต่ออายุโดเมนปลอม: แคมเปญฟิชชิ่ง WordPress ขโมยบัตรเครดิตผ่าน Telegram อีเมลปลอมแจ้งเตือนต่ออายุโดเมนพาเหยื่อไปยังหน้า checkout ปลอมที่เลียนแบบ WordPress อย่างแนบเนียน เก็บข้อมูลบัตรเครดิตและ OTP 3-D Secure แล้วส่งไปยัง Telegram bot ของผู้โจมตี โดยระบบถูกออกแบบให้ “ยืนยันล้มเหลว” เสมอเพื่อหลอกให้เหยื่อกรอก OTP ซ้ำหลายครั้ง เพิ่มโอกาสขโมยธุรกรรมได้สำเร็จ 🔗 https://securityonline.info/new-wordpress-phishing-scam-steals-credit-cards-via-telegram 🧠 OpenAI เล็งซื้อ Pinterest มูลค่า 17 พันล้านดอลลาร์ OpenAI ถูกเผยว่ากำลังพิจารณาเข้าซื้อ Pinterest เพื่อเสริมพลังข้อมูลภาพจำนวนมหาศาล โครงสร้างโฆษณาที่พร้อมใช้งาน และเครือข่ายร้านค้าขนาดใหญ่ ซึ่งจะช่วยยกระดับโมเดลมัลติโหมดและต่อยอดรายได้เชิงพาณิชย์ให้แข็งแกร่งขึ้น โดย Pinterest ถือเป็น “สมุดภาพดิจิทัล” ที่เต็มไปด้วยข้อมูลภาพพร้อมคำอธิบายที่เหมาะอย่างยิ่งต่อการฝึก AI ขนาดใหญ่ และยังช่วยให้ OpenAI แข่งขันกับยักษ์ใหญ่อย่าง Google ได้มั่นคงยิ่งขึ้น 🔗 https://securityonline.info/the-scrapbook-strategy-why-openai-is-betting-17-billion-on-pinterest ⚡ ช่องโหว่ร้ายแรงในซอฟต์แวร์ Eaton UPS เสี่ยงถูกยึดระบบ Eaton ออกประกาศเตือนด่วนเกี่ยวกับช่องโหว่ความปลอดภัยระดับสูงในซอฟต์แวร์ UPS Companion ที่เปิดทางให้ผู้โจมตีสามารถรันโค้ดอันตรายบนเครื่องได้ผ่านปัญหา DLL Hijacking และ Unquoted Search Path โดยช่องโหว่นี้กระทบทุกเวอร์ชันก่อน 3.0 และแนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันความเสี่ยงต่อระบบไฟฟ้าและอุปกรณ์สำคัญที่เชื่อมต่ออยู่ 🔗 https://securityonline.info/eaton-ups-software-flaws-expose-systems-to-high-risk-code-execution 🕵️‍♂️ DarkSpectre ปฏิบัติการจารกรรมผ่านส่วนขยายเบราว์เซอร์กว่า 8.8 ล้านราย Koi Security เปิดโปงปฏิบัติการสอดแนมไซเบอร์ระดับรัฐชื่อ “DarkSpectre” ที่แฝงตัวในส่วนขยาย Chrome, Edge และ Firefox กว่า 300 ตัวมานานเกือบสิบปี โดยเริ่มจากการทำตัวเหมือนส่วนขยายปกติสะสมผู้ใช้ ก่อนอัปเดตเป็นมัลแวร์เพื่อขโมยข้อมูลประชุมองค์กรและข้อมูลสำคัญอื่น ๆ ซึ่งเชื่อมโยงกับหลายแคมเปญใหญ่ เช่น ShadyPanda และ GhostPoster ทำให้ผู้ใช้หลายล้านรายตกอยู่ในความเสี่ยงโดยไม่รู้ตัว 🔗 https://securityonline.info/the-sleeper-in-your-browser-how-darkspectre-turned-8-8-million-extensions-into-state-aligned-spies 🔓 ช่องโหว่ Zero‑Click ใน PrestaShop เสี่ยงถูกยึดบัญชีจากอีเมลเพียงฉบับเดียว มีการเปิดเผยช่องโหว่ร้ายแรงในระบบ Checkout ของ PrestaShop ที่ทำให้ผู้โจมตีสามารถเข้ายึดบัญชีผู้ใช้ได้เพียงแค่รู้ที่อยู่อีเมล โดยไม่ต้องมีการคลิกหรือโต้ตอบใด ๆ ซึ่งเป็นภัยคุกคามต่อร้านค้าออนไลน์และข้อมูลลูกค้าอย่างมาก พร้อมมีการเผยแพร่ PoC แล้ว ทำให้ความเสี่ยงเพิ่มสูงขึ้นอย่างรวดเร็ว 🔗 https://securityonline.info/zero-click-hijack-the-prestashop-checkout-flaw-that-turns-emails-into-full-account-access-poc-publishes 🌩️ เรื่องเล่าจากโลกไซเบอร์: วันที่ QNAP ต้องเผชิญเงามืด ลองนึกภาพบริษัทผู้ผลิตอุปกรณ์เก็บข้อมูลอย่าง QNAP ที่ปกติทำงานเงียบ ๆ อยู่เบื้องหลัง แต่วันหนึ่งกลับพบสัญญาณผิดปกติในระบบของลูกค้าทั่วโลก ไฟล์บางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต เส้นทางข้อมูลบางจุดถูกแก้ไขอย่างแยบยล และมีร่องรอยของการสแกนหาช่องโหว่แบบเป็นระบบ ทีมวิศวกรของ QNAP ต้องระดมกำลังทั้งคืนเพื่อไล่หาต้นตอ จนพบว่ามีช่องโหว่ที่เปิดให้ผู้ไม่หวังดีสามารถเจาะเข้ามาได้หากตั้งค่าระบบไม่รัดกุม พวกเขารีบออกแพตช์ แนะนำวิธีป้องกัน และแจ้งเตือนผู้ใช้ทั่วโลกให้รีบอัปเดต ก่อนที่ความเสียหายจะลุกลามไปมากกว่านี้ เหตุการณ์นี้กลายเป็นบทเรียนสำคัญว่าแม้แต่ระบบที่ดูปลอดภัย ก็ยังต้องเฝ้าระวังและอัปเดตอยู่เสมอ เพราะในโลกไซเบอร์ ไม่มีใครปลอดภัยร้อยเปอร์เซ็นต์ 🔗 https://securityonline.info/qnap-patches-high-severity-sql-injection-and-path-traversal-flaws/

💰🤖 The $41 Billion Golden Ticket: SoftBank ปิดดีลประวัติศาสตร์ เข้าถือหุ้น OpenAI ครั้งใหญ่ที่สุดในโลกเอกชน SoftBank Group ของญี่ปุ่นประกาศอย่างเป็นทางการว่าได้ชำระเงินลงทุนเพิ่มอีก 22.5 พันล้านดอลลาร์ใน OpenAI เมื่อวันที่ 26 ธันวาคมที่ผ่านมา ทำให้ยอดลงทุนรวม—ทั้งการลงทุนตรงและการร่วมลงทุน—พุ่งขึ้นเป็นประมาณ 41 พันล้านดอลลาร์ นับเป็นหนึ่งในดีลเอกชนที่ใหญ่ที่สุดในประวัติศาสตร์ และทำให้ SoftBank กลายเป็นผู้ถือหุ้นอันดับ 3 ของ OpenAI รองจาก Microsoft และ OpenAI Foundation ดีลนี้สะท้อนความมุ่งมั่นแบบ “ทุ่มสุดตัว” ของ Masayoshi Son ผู้ก่อตั้ง SoftBank ซึ่งเลือกขายสินทรัพย์สำคัญอย่างหุ้น NVIDIA มูลค่า 5.8 พันล้านดอลลาร์ และหุ้น T-Mobile US มูลค่า 4.8 พันล้านดอลลาร์ เพื่อระดมทุนเข้าสู่ OpenAI การตัดสินใจนี้แสดงให้เห็นการเปลี่ยนมุมมองจากการเป็นผู้รับผลประโยชน์จากการเติบโตของฮาร์ดแวร์ ไปสู่การเป็นผู้กำหนดทิศทางของ “สมอง” แห่งยุค AI โดยตรง หลังการปรับโครงสร้างองค์กรของ OpenAI ในเดือนตุลาคม ซึ่งทำให้บริษัทกลายเป็นองค์กรแสวงกำไรภายใต้การกำกับของ OpenAI Group PBC โครงสร้างผู้ถือหุ้นก็ชัดเจนขึ้น โดยมูลค่าบริษัทพุ่งแตะระดับ 500 พันล้านดอลลาร์ SoftBank ไม่ได้หยุดเพียงเท่านี้ แต่ยังเข้าซื้อกิจการ DigitalBridge มูลค่า 4 พันล้านดอลลาร์ เพื่อเสริมโครงสร้างพื้นฐานด้านดาต้าเซ็นเตอร์ และเตรียมร่วมเป็นส่วนหนึ่งของโครงการ “Stargate” ดาต้าเซ็นเตอร์ขนาดยักษ์ที่ OpenAI และ Oracle กำลังวางแผน ดีลนี้จึงไม่ใช่แค่การลงทุน แต่เป็นการเดิมพันครั้งใหญ่ของ SoftBank ในอนาคตของอารยธรรมมนุษย์ ผ่านการสร้างอาณาจักรแนวตั้งที่ครอบคลุมพลังงาน ดาต้าเซ็นเตอร์ และโมเดล AI ขนาดใหญ่ เมื่อ Microsoft, SoftBank และ OpenAI รวมตัวกันเป็น “AI Iron Triangle” โลก AI ในปี 2026 จะยิ่งดุเดือดขึ้นในการแข่งขันกับกลุ่มนำโดย Google และ Meta 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ SoftBank ลงทุนรวม 41 พันล้านดอลลาร์ ใน OpenAI ➡️ ถือหุ้นประมาณ 11% กลายเป็นผู้ถือหุ้นอันดับ 3 ➡️ ขายหุ้น NVIDIA และ T-Mobile เพื่อระดมทุน ➡️ มูลค่า OpenAI พุ่งแตะ 500 พันล้านดอลลาร์ ➡️ โครงสร้างผู้ถือหุ้นใหม่: Microsoft 27%, OpenAI Foundation 26%, SoftBank 11% ➡️ SoftBank ซื้อ DigitalBridge มูลค่า 4 พันล้านดอลลาร์ ➡️ เกี่ยวพันกับโครงการดาต้าเซ็นเตอร์ “Stargate” ของ OpenAI–Oracle ‼️ คำเตือนด้านความปลอดภัย / ความเสี่ยงเชิงกลยุทธ์ ⛔ การขายสินทรัพย์หลักเพื่อทุ่มลงทุนใน AI มีความเสี่ยงสูง ⛔ การรวมศูนย์อำนาจของผู้เล่นรายใหญ่ใน AI อาจสร้างความกังวลด้านการแข่งขัน ⛔ การพึ่งพาโครงสร้างพื้นฐานขนาดยักษ์อาจเพิ่มความเสี่ยงเชิงภูมิรัฐศาสตร์ ⛔ การแข่งขันระหว่าง “AI Iron Triangle” กับ Google–Meta อาจนำไปสู่การเร่งพัฒนาแบบกดดันตลาด https://securityonline.info/the-41-billion-golden-ticket-softbank-seals-historic-openai-stake/

🎧🔥 Anna’s Archive อ้างว่ามีสำเนา Spotify ขนาด 300TB จุดชนวนการสอบสวนเหตุข้อมูลเพลงรั่วครั้งใหญ่ เหตุการณ์นี้สร้างแรงสั่นสะเทือนครั้งใหญ่ในอุตสาหกรรมสตรีมมิง เมื่อ Anna’s Archive แพลตฟอร์ม “shadow library” ชื่อดังออกมาอ้างว่าได้ทำการ “มิเรอร์” คลังเพลงของ Spotify เกือบทั้งหมด และเตรียมปล่อยผ่านทอร์เรนต์รวมกว่า 300TB ขณะที่ Spotify ยืนยันว่ากำลังสอบสวนอย่างเร่งด่วนเพื่อประเมินขอบเขตของการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เหตุการณ์นี้อาจกลายเป็นหนึ่งในคดีข้อมูลเพลงรั่วไหลที่ใหญ่ที่สุดเท่าที่เคยมีมา ตามคำกล่าวของ Anna’s Archive โครงการนี้ถูกนำเสนอในฐานะ “การอนุรักษ์ดนตรี” โดยอ้างว่ารวบรวมเพลงยอดนิยมกว่า 86 ล้านแทร็ก ซึ่งคิดเป็น 99.6% ของยอดฟังทั้งหมดบน Spotify นอกจากนี้ยังปล่อยทอร์เรนต์แรกที่เป็นฐานข้อมูลเมทาดาทาขนาดใหญ่ ครอบคลุมกว่า 256 ล้านแทร็กและรหัส ISRC จำนวน 186 ล้านรายการ ซึ่งเป็นข้อมูลสำคัญที่ใช้ระบุผลงานเพลงในอุตสาหกรรม Spotify ระบุว่าผู้โจมตีอาจเริ่มจากการเก็บเมทาดาทาที่เปิดเผยสาธารณะ ก่อนใช้เทคนิคผิดกฎหมายเพื่อหลบเลี่ยง DRM และเข้าถึงไฟล์เสียงบางส่วน แม้บริษัทจะยังไม่ยืนยันขนาดความเสียหาย แต่ข้อมูลที่ Anna’s Archive เผยแพร่ทำให้เกิดความกังวลอย่างหนัก โดยเฉพาะการใช้คะแนน “popularity score” ของ Spotify เพื่อเลือกดาวน์โหลดเพลงคุณภาพสูงก่อน และการแปลงไฟล์เพลงที่ไม่ค่อยมีคนฟังให้มีขนาดเล็กลงเพื่อประหยัดพื้นที่ แม้กลุ่มผู้เผยแพร่จะอ้างว่าเป็นการ “อนุรักษ์วัฒนธรรมดนตรี” แต่การดึงข้อมูลจำนวนมหาศาลและเตรียมเผยแพร่ไฟล์เพลงที่มีลิขสิทธิ์อย่างเปิดเผย ถือเป็นการละเมิดกฎหมายลิขสิทธิ์อย่างชัดเจน และอาจนำไปสู่การดำเนินคดี การลบไฟล์ และมาตรการบังคับใช้ที่เข้มงวดขึ้น นอกจากนี้ คลังข้อมูลขนาดมหึมานี้อาจถูกนำไปใช้สร้างแพลตฟอร์มสตรีมมิงเถื่อน หรือใช้ฝึกโมเดล AI ซึ่งเป็นประเด็นถกเถียงที่เกิดขึ้นซ้ำแล้วซ้ำเล่าในโลกของ shadow libraries 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ Anna’s Archive อ้างว่ามีสำเนาคลังเพลง Spotify ขนาด 300TB ➡️ รวบรวมเพลงยอดนิยมกว่า 86 ล้านแทร็ก คิดเป็น 99.6% ของยอดฟังทั้งหมด ➡️ ปล่อยทอร์เรนต์เมทาดาทา 256 ล้านแทร็ก และ ISRC 186 ล้านรายการ ➡️ Spotify ยืนยันว่ากำลังสอบสวนเหตุเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ➡️ ผู้โจมตีใช้เมทาดาทาสาธารณะ + เทคนิคหลบ DRM เพื่อเข้าถึงไฟล์เสียง ➡️ เพลงยอดนิยมถูกเก็บในคุณภาพ OGG Vorbis ~160 kbps ➡️ เพลงความนิยมต่ำถูกแปลงเป็น OGG Opus ~75 kbps เพื่อลดขนาด ➡️ เพลงที่ popularity = 0 ส่วนใหญ่ถูกละเว้น ‼️ คำเตือนด้านความปลอดภัย ⛔ การดึงข้อมูลเพลงจำนวนมากเป็นการละเมิดลิขสิทธิ์อย่างชัดเจน ⛔ อาจถูกนำไปสร้างแพลตฟอร์มสตรีมมิงเถื่อนหรือใช้ฝึกโมเดล AI ⛔ เหตุการณ์นี้อาจกระตุ้นให้เกิดการบังคับใช้กฎหมายที่เข้มงวดขึ้น ⛔ การรั่วไหลของเมทาดาทาและไฟล์เสียงอาจส่งผลกระทบต่อศิลปินและค่ายเพลงในวงกว้าง https://securityonline.info/annas-archive-claims-300tb-spotify-mirror-forcing-an-investigation-into-a-massive-music-data-leak/

🧩⚠️ “Prefix Swap” Panic: มัลแวร์ปลอมตัวเป็น Jackson หลุดเข้า Maven Central แบบแนบเนียน ระบบนิเวศของ Java ซึ่งเคยถูกมองว่าแข็งแกร่งกว่า npm อย่างมาก ต้องเผชิญกับเหตุโจมตีซัพพลายเชนที่ซับซ้อนที่สุดครั้งหนึ่ง เมื่อมีการค้นพบแพ็กเกจปลอมบน Maven Central ที่ปลอมตัวเป็นไลบรารี Jackson JSON อันโด่งดัง รายงานจาก Aikido Security ระบุว่าแพ็กเกจอันตรายนี้ใช้เทคนิค “prefix swap” โดยสลับ namespace จาก com.fasterxml ของจริงเป็น org.fasterxml ที่ผู้โจมตีควบคุม ทำให้ดูเหมือนของจริงแทบแยกไม่ออก ความแนบเนียนไม่ได้หยุดแค่ชื่อแพ็กเกจ แม้แต่โครงสร้าง C2 ก็ถูกออกแบบให้คล้ายกัน โดยเปลี่ยนโดเมนจาก fasterxml.com เป็น fasterxml.org ซึ่งดูเผิน ๆ เหมือนเป็นโดเมนที่เกี่ยวข้อง แต่จริง ๆ แล้วเป็นของผู้โจมตีทั้งหมด มัลแวร์นี้ยังถูกออกแบบอย่างซับซ้อนกว่าที่พบใน ecosystem อื่น ๆ โดยมี payload หลายชั้น, การเข้ารหัสคอนฟิก, และการดาวน์โหลด executable เฉพาะแพลตฟอร์มจากเซิร์ฟเวอร์ควบคุม เหตุการณ์นี้ถือเป็นครั้งแรกที่พบมัลแวร์ระดับสูงใน Maven Central และเผยให้เห็นช่องโหว่สำคัญของระบบ namespace แบบ reverse-domain ที่ Java ใช้มานาน แม้จะช่วยลดการชนกันของชื่อแพ็กเกจ แต่กลับไม่มีระบบตรวจจับการสลับ TLD เช่น .com → .org ซึ่งเป็นเทคนิค typosquatting แบบใหม่ที่อันตรายอย่างยิ่ง แม้แพ็กเกจปลอมจะถูกลบออกภายใน 1.5 ชั่วโมง แต่เทคนิคนี้ยังคงเป็นภัยคุกคามที่สามารถลอกเลียนแบบได้ง่ายและมีโอกาสถูกนำไปใช้กับไลบรารีชื่อดังอื่น ๆ เช่น Google หรือ Apache รายงานสรุปด้วยคำเตือนเร่งด่วนว่า Maven Central จำเป็นต้องเพิ่มระบบ “prefix similarity detection” เพื่อป้องกันไม่ให้เกิดเหตุการณ์เลียนแบบในอนาคต เพราะตอนนี้คือช่วงเวลาที่ต้องลงมือก่อนที่เทคนิคนี้จะกลายเป็นมาตรฐานใหม่ของผู้โจมตีซัพพลายเชน 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ พบแพ็กเกจปลอม org.fasterxml.jackson.core/jackson-databind บน Maven Central ➡️ ใช้เทคนิค “prefix swap” สลับ com.fasterxml → org.fasterxml ➡️ C2 ปลอมใช้โดเมน fasterxml.org แทน fasterxml.com ➡️ มัลแวร์มี payload หลายชั้น พร้อมการเข้ารหัสและ obfuscation ➡️ ถือเป็นครั้งแรกที่พบมัลแวร์ระดับสูงใน Maven Central ➡️ แพ็กเกจถูกลบภายใน 1.5 ชั่วโมงหลังถูกรายงาน ➡️ เทคนิคนี้สามารถลอกเลียนแบบได้ง่ายและเสี่ยงต่อไลบรารีดังอื่น ๆ ➡️ มีข้อเสนอให้เพิ่มระบบตรวจจับความคล้ายของ prefix ‼️ คำเตือนด้านความปลอดภัย ⛔ การสลับ namespace และ TLD เป็นเทคนิคที่ตรวจจับยากมาก ⛔ นักพัฒนาอาจติดตั้งมัลแวร์โดยไม่รู้ตัวแม้จะตรวจสอบชื่อแพ็กเกจแล้ว ⛔ ระบบ reverse-domain ของ Java ยังไม่มีการป้องกัน typosquatting แบบนี้ ⛔ อาจเกิดการโจมตีเลียนแบบกับไลบรารีสำคัญอื่น ๆ ในอนาคตอันใกล้ https://securityonline.info/prefix-swap-panic-sophisticated-jackson-imposter-infiltrates-maven-central/

🧨💻 EmEditor ถูกเจาะ! มัลแวร์ปลอมชื่อ “WALSHAM” ปลอมตัวเป็นตัวติดตั้งจริงและดูดข้อมูลผู้ใช้ เหตุการณ์โจมตีซัพพลายเชนครั้งใหญ่เกิดขึ้นก่อนวันคริสต์มาสเพียงไม่กี่วัน เมื่อ EmEditor โปรแกรมแก้ไขข้อความยอดนิยมถูกแฮกเกอร์สลับตัวติดตั้งจริงกับไฟล์ MSI อันตรายเป็นเวลานานเกือบ 4 วัน รายงานจากทีม RedDrip ของ Qianxin เผยว่าผู้ใช้จำนวนมาก—ตั้งแต่นักพัฒนาไปจนถึงทีมไอที—ดาวน์โหลดโทรจันขโมยข้อมูลโดยไม่รู้ตัวผ่านปุ่ม “Download Now” บนเว็บไซต์ทางการที่ถูกเปลี่ยนเส้นทางอย่างแนบเนียน สิ่งที่ทำให้การโจมตีครั้งนี้อันตรายยิ่งขึ้นคือไฟล์ปลอมถูกเซ็นด้วยใบรับรองดิจิทัลของบริษัทลวงชื่อ “WALSHAM INVESTMENTS LIMITED” แทนที่จะเป็น “Emurasoft, Inc.” ตัวมัลแวร์ไม่ได้เป็นเพียงตัวดาวน์โหลดธรรมดา แต่เป็นเครื่องมือดูดข้อมูลขั้นสูงที่รันสคริปต์ PowerShell เพื่อเก็บข้อมูลระบบ สร้างกุญแจ RSA และเข้ารหัสข้อมูลที่ถูกขโมย ก่อนส่งกลับไปยังผู้โจมตี ขอบเขตของข้อมูลที่ถูกล้วงมีความรุนแรงอย่างมาก ตั้งแต่คอนฟิก VPN, คุกกี้และรหัสผ่านจากเบราว์เซอร์ยอดนิยม, ไปจนถึงข้อมูลแอปพลิเคชันอย่าง Discord, Slack, Zoom, WinSCP และ PuTTY รวมถึงไฟล์ใน Desktop, Documents และ Downloads นอกจากนี้ มัลแวร์ยังติดตั้งส่วนขยายเบราว์เซอร์ปลอมชื่อ “Google Drive Caching” ซึ่งเป็นเครื่องมือจารกรรมเต็มรูปแบบที่สามารถ keylogging, ถ่ายภาพหน้าจอ, ขโมยบัญชีโฆษณา Facebook และดักเปลี่ยนที่อยู่กระเป๋าคริปโตในคลิปบอร์ดได้ ที่น่าสนใจคือมัลแวร์มี “รายการประเทศที่ไม่ต้องการติดเชื้อ” โดยจะหยุดทำงานทันทีหากพบภาษาระบบที่เกี่ยวข้องกับรัสเซีย ยูเครน คาซัคสถาน หรืออิหร่าน ซึ่งเป็นรูปแบบที่พบได้ในกลุ่มภัยคุกคามระดับรัฐบางกลุ่ม เหตุการณ์นี้ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและหน่วยงานรัฐ โดยเฉพาะในจีนและประเทศที่ใช้ EmEditor อย่างแพร่หลาย ทีมความปลอดภัยถูกแนะนำให้ตรวจสอบใบรับรอง “WALSHAM INVESTMENTS LIMITED” และส่วนขยาย “Google Drive Caching” ทันที 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ EmEditor ถูกโจมตีซัพพลายเชนระหว่าง 19–22 ธันวาคม 2025 ➡️ ปุ่มดาวน์โหลดถูกเปลี่ยนเส้นทางไปยัง MSI อันตราย ➡️ ไฟล์ปลอมเซ็นด้วยชื่อ “WALSHAM INVESTMENTS LIMITED” ➡️ มัลแวร์ใช้ PowerShell เก็บข้อมูลและเข้ารหัสด้วย RSA ➡️ ขโมยข้อมูล VPN, เบราว์เซอร์, แอปพลิเคชัน และไฟล์สำคัญ ➡️ ติดตั้งส่วนขยายปลอม “Google Drive Caching” เพื่อคงอยู่ในระบบ ➡️ ส่วนขยายมีความสามารถ keylogging, screenshot, ขโมยบัญชี และดักกระเป๋าคริปโต ➡️ มัลแวร์หยุดทำงานหากพบภาษาระบบของรัสเซีย–อดีตโซเวียต–อิหร่าน ➡️ เหตุการณ์ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและรัฐบาล ‼️ คำเตือนด้านความปลอดภัย ⛔ ซัพพลายเชนซอฟต์แวร์เป็นจุดโจมตีที่ตรวจจับยากและสร้างความเสียหายวงกว้าง ⛔ ไฟล์ MSI ที่เซ็นด้วยใบรับรองปลอมสามารถหลอกผู้ใช้ได้ง่าย ⛔ ส่วนขยายเบราว์เซอร์ปลอมเป็นช่องทางคงอยู่ที่อันตรายมาก ⛔ ข้อมูลที่ถูกขโมยครอบคลุมทั้งระบบงานและข้อมูลส่วนบุคคล ⛔ องค์กรควรตรวจสอบใบรับรองและส่วนขยายต้องสงสัยทันที https://securityonline.info/emeditor-compromised-walsham-imposter-poisons-official-installer-with-spyware/