🦘 Ubuntu 25.10 พร้อมแล้ว! ผู้ใช้ Plucky Puffin สามารถอัปเกรดเป็น Questing Quokka ได้ทันที Canonical เปิดทางให้อัปเกรดจาก Ubuntu 25.04 สู่เวอร์ชันล่าสุด 25.10 อย่างเป็นทางการแล้ว โดยมีขั้นตอนง่าย ๆ ผ่าน Software Updater หรือ Terminal พร้อมคำเตือนสำคัญก่อนเริ่มกระบวนการ หลังจาก Ubuntu 25.10 (ชื่อรหัส Questing Quokka) เปิดตัวเมื่อวันที่ 9 ตุลาคม 2025 ผู้ใช้ Ubuntu 25.04 (Plucky Puffin) ก็เฝ้ารอช่องทางอัปเกรดอย่างเป็นทางการ และในที่สุด Canonical ก็เปิดให้ใช้งานแล้วเมื่อวันที่ 29 ตุลาคม 2025 ก่อนหน้านี้ผู้ใช้สามารถบังคับอัปเกรดด้วยคำสั่ง update-manager -d แต่ไม่แนะนำ เพราะอาจทำให้ระบบเสียหายได้ หากคุณรออย่างอดทน ตอนนี้สามารถอัปเกรดได้อย่างปลอดภัยผ่าน Software Updater หรือใช้คำสั่ง update-manager -c ใน Terminal ขั้นตอนการอัปเกรด: 1️⃣ รวจสอบให้แน่ใจว่า Ubuntu 25.04 ของคุณอัปเดตล่าสุดแล้ว 2️⃣ สำรองข้อมูลสำคัญก่อนเริ่ม 3️⃣ เปิด Software Updater แล้วคลิก “Upgrade” เมื่อมีแจ้งเตือน 4️⃣ ระบบจะตรวจสอบแพ็กเกจและแจ้งเตือนหากมี third-party ที่อาจขัดขวางการอัปเกรด 5️⃣ ระบบจะแสดงรายการแพ็กเกจที่จะติดตั้ง ลบ หรืออัปเดต พร้อมขนาดไฟล์ 6️⃣ ระหว่างอัปเกรด lock screen จะถูกปิดชั่วคราว 7️⃣ เมื่อเสร็จสิ้น จะมีการลบแพ็กเกจที่ล้าสมัย และแจ้งให้ restart เครื่อง สิ่งที่ควรระวัง: 💠 แพ็กเกจจาก third-party อาจขัดขวางการอัปเกรด 💠 repository ภายนอกจะถูกปิดการใช้งานชั่วคราว 💠 ควรลบแพ็กเกจที่ล้าสมัยหลังอัปเกรดเพื่อความปลอดภัย https://9to5linux.com/ubuntu-25-04-users-can-now-upgrade-to-ubuntu-25-10-heres-how

🔓 WSO2 Auth Bypass: เมื่อ regex กลายเป็นจุดอ่อนของระบบ WSO2 เจอช่องโหว่ร้ายแรง: แฮกเกอร์สามารถข้ามการยืนยันตัวตนและเข้าถึงสิทธิ์ผู้ดูแลระบบได้ทันที นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ 3 รายการใน WSO2 API Manager และ Identity Server ที่เปิดทางให้ผู้โจมตีเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน พร้อมความเสี่ยงในการขโมยข้อมูลและรันโค้ดจากระยะไกล นักวิจัย Crnkovic ได้เปิดเผยช่องโหว่ร้ายแรง 3 รายการ ได้แก่ CVE-2025-9152, CVE-2025-10611, และ CVE-2025-9804 โดยแต่ละรายการมีคะแนน CVSS สูงถึง 9.8 ซึ่งถือว่าอยู่ในระดับ “วิกฤต” และสามารถใช้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน จุดอ่อนหลักมาจากการใช้ regex ในการกำหนดสิทธิ์เข้าถึง ที่แยกออกจากตรรกะของแอปพลิเคชัน ทำให้เกิดช่องโหว่หลายรูปแบบ เช่น: 🪲 การใช้เครื่องหมาย / เพื่อหลบเลี่ยง regex 🪲 การใช้ HTTP method แบบตัวพิมพ์เล็ก เช่น “Post” แทน “POST” 🪲 การใช้ path ที่ถูก normalize โดย Java เพื่อหลบเลี่ยงการตรวจสอบ ตัวอย่างการโจมตี: 🪲 เข้าถึง endpoint /keymanager-operations/dcr/register/<client_id> เพื่อขโมย OAuth client secrets 🪲 ใช้ HTTP method “Post” เพื่อหลบเลี่ยงการตรวจสอบสิทธิ์ 🪲 ใช้ URL encoding เพื่อเข้าถึง endpoint ที่ควรต้องมีการยืนยันตัวตน เช่น /scim2/Users ช่องโหว่ CVE-2025-9804 ยังเปิดทางให้ผู้ใช้ระดับต่ำสามารถสร้างบัญชีและยกระดับสิทธิ์เป็นผู้ดูแลระบบได้ทันที หากระบบเปิดให้สมัครสมาชิกด้วยตนเอง WSO2 ได้ออกแพตช์แก้ไขแล้ว แต่ Crnkovic เตือนว่า “การใช้ regex ในการควบคุมสิทธิ์เป็นแนวทางที่มีความเสี่ยงสูง” และควรหลีกเลี่ยงในระบบที่ต้องการความปลอดภัยระดับสูง https://securityonline.info/researcher-details-critical-authentication-bypasses-in-wso2-api-manager-and-identity-server/

🔐 Chrome 154: ปิดประตู HTTP เปิดทางสู่เว็บปลอดภัย Google ประกาศว่าในอีกหนึ่งปีข้างหน้า Chrome เวอร์ชัน 154 จะเปิดใช้งานฟีเจอร์ “Always Use Secure Connections” เป็นค่าเริ่มต้น ซึ่งหมายความว่า หากผู้ใช้พยายามเข้าถึงเว็บไซต์ที่ไม่ใช้ HTTPS เบราว์เซอร์จะขออนุญาตก่อนเข้าถึง และแสดงคำเตือนทันที แม้ว่า 95% ของทราฟฟิกเว็บทั่วโลกจะใช้ HTTPS แล้ว แต่ Google ชี้ว่า “เพียงหนึ่งการเข้าถึงแบบไม่เข้ารหัส ก็อาจเปิดช่องให้แฮกเกอร์ดักจับหรือเปลี่ยนแปลงข้อมูลได้” โดยเฉพาะการ redirect หรือการโหลด resource ที่ฝังอยู่ในหน้าเว็บ ฟีเจอร์นี้เคยเปิดให้ใช้งานแบบ opt-in ตั้งแต่ปี 2022 แต่ตอนนี้ Google เชื่อว่า ecosystem พร้อมสำหรับการบังคับใช้แบบเต็มรูปแบบ โดยจะเริ่มจากผู้ใช้ที่เปิด Enhanced Safe Browsing ใน Chrome 147 (เมษายน 2026) ก่อนจะขยายไปยังผู้ใช้ทั่วไปใน Chrome 154 (ตุลาคม 2026) เพื่อไม่ให้เกิดความรำคาญจากคำเตือนซ้ำ ๆ Chrome จะใช้ระบบ “smart warning logic” ที่จะแสดงคำเตือนเฉพาะการเข้าถึงเว็บไซต์ HTTP ครั้งแรกหรือแบบไม่บ่อยเท่านั้น ยกเว้นเฉพาะเว็บไซต์ที่อยู่ใน private network เช่น 192.168.0.1 หรือหน้า router setup ซึ่งจะไม่แสดงคำเตือน เพราะไม่ใช่โดเมนสาธารณะ ✅ Chrome 154 จะเปิดใช้งาน “Always Use Secure Connections” เป็นค่าเริ่มต้น ➡️ เริ่มใช้งานจริงในเดือนตุลาคม 2026 ➡️ Chrome จะเตือนผู้ใช้ก่อนเข้าถึงเว็บไซต์ที่ไม่ใช้ HTTPS ➡️ ฟีเจอร์นี้เคยเป็น opt-in ตั้งแต่ปี 2022 ➡️ เริ่มจากผู้ใช้ Enhanced Safe Browsing ใน Chrome 147 (เมษายน 2026) ➡️ ใช้ smart warning logic เพื่อลดคำเตือนซ้ำ ➡️ เว็บไซต์ใน private network จะไม่ถูกเตือน https://securityonline.info/major-shift-chrome-154-will-default-to-always-use-secure-connections-warning-users-before-insecure-http-sites/

🔥 “DGX Spark ของ Nvidia เจอแรงกดดัน – John Carmack ชี้ประสิทธิภาพไม่ถึงเป้า ร้อนจัด แถมรีบูตเอง!” Nvidia กำลังเผชิญแรงวิจารณ์หนัก หลังเปิดตัว DGX Spark ชุดพัฒนา AI ขนาดเล็กมูลค่า $4,000 ที่ใช้ชิป Grace Blackwell GB10 โดยอดีต CTO ของ Oculus VR อย่าง John Carmack ออกมาเปิดเผยว่าอุปกรณ์นี้ไม่สามารถดึงพลังงานได้ถึงระดับที่โฆษณาไว้ และมีปัญหารีบูตตัวเองเมื่อใช้งานหนัก แม้จะโฆษณาว่า DGX Spark รองรับการประมวลผล FP4 แบบ sparse ได้ถึง 1 petaflop และรองรับการใช้พลังงานสูงสุด 240W แต่ Carmack พบว่าเครื่องของเขาดึงไฟได้เพียง 100W และให้ประสิทธิภาพต่ำกว่าที่ควรจะเป็นมาก นอกจากนี้ยังมีรายงานจากผู้ใช้หลายรายในฟอรัมของ Nvidia ว่าเครื่องมีปัญหารีบูตและความร้อนสูง การทดสอบจากเว็บไซต์ ServeTheHome ก็ยืนยันว่า DGX Spark ไม่สามารถดึงไฟได้ถึง 240W แม้จะใช้ CPU และ GPU พร้อมกัน โดยดึงได้เพียง 200W เท่านั้น AMD และ Framework ไม่รอช้า รีบเสนอทางเลือกใหม่ให้ Carmack ทดลองใช้ Strix Halo ซึ่งเป็นแพลตฟอร์มที่อาจตอบโจทย์ด้านประสิทธิภาพและความเสถียรได้ดีกว่า ✅ ข้อมูลสำคัญจากข่าว ➡️ DGX Spark ราคา $4,000 ใช้ชิป Grace Blackwell GB10 ➡️ โฆษณาว่ารองรับ 1 PF FP4 (sparse) และใช้ไฟได้สูงสุด 240W ➡️ John Carmack พบว่าเครื่องดึงไฟได้แค่ 100W และรีบูตตัวเอง ➡️ ServeTheHome ยืนยันว่าเครื่องดึงไฟได้ไม่ถึง 240W แม้ใช้งานเต็มที่ ➡️ AMD และ Framework เสนอ Strix Halo ให้ Carmack ทดลองแทน ✅ จุดเด่นของ DGX Spark (ตามสเปก) ➡️ 128GB LPDDR5X RAM แบบ unified memory ➡️ 273GB/s memory bandwidth ➡️ ใช้โครงสร้าง Grace CPU 20 คอร์ Arm + Blackwell GPU ➡️ ออกแบบให้รันโมเดลขนาด 20B พารามิเตอร์ในเครื่องเดียว https://www.tomshardware.com/tech-industry/semiconductors/users-question-dgx-spark-performance

🧼🧠 Google แนะนำแนวทาง “Functional Core, Imperative Shell” เพื่อเขียนโค้ดให้สะอาด ทดสอบง่าย และปรับขยายได้ บทความจาก Google Testing Blog เสนอแนวคิดการแยกโค้ดออกเป็นสองส่วน: Functional Core ที่เป็นฟังก์ชันบริสุทธิ์ (pure functions) และ Imperative Shell ที่จัดการ side effects เช่น I/O, database, หรือ network — เพื่อให้โค้ดมีความสามารถในการทดสอบและดูแลรักษาได้ดีขึ้น. ✅ แนวคิดหลักจากบทความ ✅ Functional Core คือส่วนที่ไม่มี side effects ➡️ ประกอบด้วยฟังก์ชันที่รับข้อมูลเข้าและคืนผลลัพธ์โดยไม่เปลี่ยนแปลงสถานะภายนอก ➡️ สามารถทดสอบได้ง่ายและนำกลับมาใช้ซ้ำได้ ✅ Imperative Shell คือส่วนที่จัดการกับโลกภายนอก ➡️ เช่น การส่งอีเมล, อ่านข้อมูลจาก database, หรือเขียนไฟล์ ➡️ ใช้ผลลัพธ์จาก Functional Core เพื่อดำเนินการจริง ✅ ตัวอย่างจากบทความ: การส่งอีเมลแจ้งเตือนผู้ใช้หมดอายุ ➡️ โค้ดเดิมผสม logic กับ side effects ทำให้ทดสอบยาก ➡️ โค้ดใหม่แยก logic ออกมาเป็นฟังก์ชัน getExpiredUsers() และ generateExpiryEmails() ➡️ Shell ใช้ฟังก์ชันเหล่านี้เพื่อส่งอีเมลจริงผ่าน email.bulkSend(...) ✅ ข้อดีของแนวทางนี้ ➡️ ทดสอบง่าย: ไม่ต้อง mock database หรือ network ➡️ ปรับขยายง่าย: เพิ่มฟีเจอร์ใหม่โดยเขียนฟังก์ชันใหม่ใน core ➡️ ดูแลรักษาง่าย 🛠️ ตัวอย่างโค้ดเปรียบเทียบ 🔖 ก่อน (ผสม logic กับ side effects): function sendUserExpiryEmail() { for (const user of db.getUsers()) { if (user.subscriptionEndDate > Date.now()) continue; if (user.isFreeTrial) continue; email.send(user.email, "Your account has expired " + user.name + "."); } } 🔖 หลัง (แยก core และ shell): function getExpiredUsers(users, cutoff) { return users.filter(user => user.subscriptionEndDate <= cutoff && !user.isFreeTrial); } function generateExpiryEmails(users) { return users.map(user => [user.email, "Your account has expired " + user.name + "."]); } email.bulkSend(generateExpiryEmails(getExpiredUsers(db.getUsers(), Date.now()))); การใช้แนวทาง Functional Core, Imperative Shell ช่วยให้โค้ดมีโครงสร้างที่ชัดเจนและยืดหยุ่น — เหมาะสำหรับทีมที่ต้องการลดความซับซ้อนและเพิ่มคุณภาพในการทดสอบและดูแลระบบในระยะยาว ✅ สาระเพิ่มเติมจากแนวทาง functional programming ➡️ แนวคิดนี้คล้ายกับ “Hexagonal Architecture” หรือ “Clean Architecture” ที่แยก domain logic ออกจาก infrastructure ➡️ ภาษา functional เช่น Haskell, F#, หรือ Elm ใช้แนวทางนี้เป็นหลัก ➡️ ใน JavaScript/TypeScript ก็สามารถนำไปใช้ได้ โดยใช้ pure functions ร่วมกับ async shell ➡️ ช่วยลดการใช้ mock ใน unit test เพราะ core ไม่ต้องพึ่ง database หรือ network https://testing.googleblog.com/2025/10/simplify-your-code-functional-core.html

📰 “NetBSD ขอแรงชุมชน – ระดมทุนโค้งสุดท้ายก่อนสิ้นปีเพื่อพัฒนาระบบปฏิบัติการโอเพ่นซอร์สให้ทันสมัย” ในช่วงปลายปี 2025 Jay Patel สมาชิกชุมชน NetBSD ได้ส่งข้อความถึงผู้ใช้งานทั่วโลกผ่าน mailing list เพื่อขอแรงสนับสนุนครั้งสุดท้ายในการระดมทุนให้กับ The NetBSD Foundation ซึ่งขณะนี้ยังขาดอีกกว่า 39,000 ดอลลาร์จากเป้าหมาย 50,000 ดอลลาร์ประจำปี NetBSD เป็นระบบปฏิบัติการโอเพ่นซอร์สที่มีจุดเด่นด้านความเสถียร ความปลอดภัย และความสามารถในการทำงานบนฮาร์ดแวร์หลากหลาย ตั้งแต่เครื่องรุ่นใหม่ไปจนถึงอุปกรณ์เก่า ๆ ที่ถูกนำกลับมาใช้งานอีกครั้ง เช่น เป็นไฟร์วอลล์ เซิร์ฟเวอร์ หรือเครื่องเล่นเกมย้อนยุค การระดมทุนครั้งนี้จะนำไปใช้กับโครงการสำคัญ เช่น: 🎗️ การรองรับสถาปัตยกรรม RISC-V ที่กำลังมาแรงในวงการฮาร์ดแวร์โอเพ่นซอร์ส 🎗️ การปรับปรุงระบบ Wi-Fi ครั้งใหญ่ เพื่อให้ NetBSD ใช้งานได้สะดวกขึ้นบนแล็ปท็อปและอุปกรณ์ฝังตัว Jay เน้นว่า NetBSD ไม่ใช่แค่ระบบปฏิบัติการ แต่เป็นพลังแห่งความยั่งยืนในยุคที่อุปกรณ์อิเล็กทรอนิกส์ถูกทิ้งอย่างรวดเร็ว การที่ NetBSD สามารถทำงานบนเครื่องเก่าได้ดี ช่วยลดขยะอิเล็กทรอนิกส์และส่งเสริมการใช้ทรัพยากรอย่างมีประสิทธิภาพ ✅ การระดมทุนของ The NetBSD Foundation ➡️ เป้าหมายปี 2025 คือ 50,000 ดอลลาร์ ➡️ ขณะนี้ระดมทุนได้แล้ว 10,738 ดอลลาร์ ➡️ ยังขาดอีก 39,262 ดอลลาร์ก่อนสิ้นปี ✅ โครงการที่ต้องการการสนับสนุน ➡️ รองรับสถาปัตยกรรม RISC-V ➡️ ปรับปรุงระบบ Wi-Fi ให้ทันสมัยและใช้งานได้ดีขึ้น ✅ จุดเด่นของ NetBSD ➡️ ทำงานได้บนฮาร์ดแวร์หลากหลาย ทั้งใหม่และเก่า ➡️ ลดขยะอิเล็กทรอนิกส์โดยนำอุปกรณ์เก่ากลับมาใช้งาน ➡️ ใช้เป็นไฟร์วอลล์ เซิร์ฟเวอร์ หรือเครื่องเล่นเกมย้อนยุค ✅ การมีส่วนร่วมของชุมชน ➡️ ผู้ใช้สามารถบริจาคผ่านเว็บไซต์ของ NetBSD ➡️ แชร์ข้อความผ่านโซเชียลมีเดียด้วยแฮชแท็ก #WhyIRunNetBSD ‼️ คำเตือนสำหรับผู้สนใจสนับสนุน ⛔ หากไม่ถึงเป้าหมาย อาจกระทบต่อการพัฒนาโครงการสำคัญในปีหน้า ⛔ การไม่ปรับปรุงระบบ Wi-Fi อาจทำให้ NetBSD ใช้งานบนแล็ปท็อปได้ยากขึ้น ⛔ การไม่รองรับ RISC-V อาจทำให้ NetBSD ตกขบวนเทคโนโลยีโอเพ่นซอร์สใหม่ https://mail-index.netbsd.org/netbsd-users/2025/10/26/msg033327.html

🪦 “แฮกเกอร์แกล้งบอกคุณตายแล้ว: กลโกงใหม่หลอกผู้ใช้ LastPass ให้เปิดเผยรหัสผ่าน” ล่าสุดมีกลโกงแปลก ๆ ที่กำลังระบาดในหมู่ผู้ใช้ LastPass ซึ่งเป็นบริการจัดการรหัสผ่านยอดนิยม—แฮกเกอร์ส่งอีเมลปลอมมาบอกว่า “คุณเสียชีวิตแล้ว” เพื่อหลอกให้เหยื่อคลิกลิงก์และกรอกรหัสผ่านหลัก! ฟังดูเหมือนเรื่องตลก แต่จริง ๆ แล้วมันเป็นกลยุทธ์ทางจิตวิทยาที่แยบยลมาก เพราะถ้าเราได้รับอีเมลที่บอกว่ามีคนส่งใบมรณบัตรเพื่อขอเข้าถึงบัญชีของเรา เราก็อาจตกใจและรีบตอบกลับทันทีโดยไม่คิดให้รอบคอบ อีเมลปลอมพวกนี้มีหัวข้อว่า “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” และมีเนื้อหาที่ดูเหมือนมาจากฝ่ายสนับสนุนของ LastPass พร้อมลิงก์ให้ “ยกเลิกคำขอ” ซึ่งจริง ๆ แล้วเป็นเว็บไซต์ของแฮกเกอร์ที่ใช้ขโมยรหัสผ่านหลักของเรา บางกรณีแฮกเกอร์ยังโทรมาหาเหยื่อโดยตรงเพื่อเร่งให้เข้าไปกรอกข้อมูลในเว็บปลอมอีกด้วย—เรียกว่าใช้ทั้ง phishing และ social engineering แบบเต็มรูปแบบ กลุ่มที่อยู่เบื้องหลังแคมเปญนี้ชื่อว่า CryptoChameleon ซึ่งเคยโจมตีแพลตฟอร์มคริปโตมาก่อน และตอนนี้หันมาเล่นงานผู้ใช้ LastPass โดยเฉพาะ ✅ กลโกงใหม่ที่ใช้ข้อความ “คุณเสียชีวิตแล้ว” ➡️ อีเมลปลอมอ้างว่ามีการส่งใบมรณบัตรเพื่อขอเข้าถึงบัญชี LastPass ➡️ มีหัวข้ออีเมลว่า “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” ➡️ มีลิงก์ให้ “ยกเลิกคำขอ” ซึ่งนำไปสู่เว็บไซต์ปลอมเพื่อขโมยรหัสผ่านหลัก ✅ การใช้เทคนิค social engineering เพื่อหลอกเหยื่อ ➡️ เนื้อหาอีเมลดูเหมือนมาจากฝ่ายสนับสนุนจริง มีข้อมูลปลอมเช่นหมายเลขเคสและชื่อเจ้าหน้าที่ ➡️ บางกรณีมีการโทรศัพท์หาผู้ใช้เพื่อเร่งให้เข้าเว็บปลอม ➡️ ใช้จิตวิทยาเพื่อให้เหยื่อตอบสนองทันทีโดยไม่ตรวจสอบ ✅ คำเตือนจาก LastPass และผู้เชี่ยวชาญด้านความปลอดภัย ➡️ LastPass ยืนยันว่าไม่เคยขอรหัสผ่านหลักจากผู้ใช้ ➡️ เตือนให้ผู้ใช้ตรวจสอบอีเมลที่น่าสงสัยและไม่คลิกลิงก์โดยไม่แน่ใจ ➡️ แนะนำให้ใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) เพื่อป้องกันการเข้าถึงบัญชี ✅ กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง: CryptoChameleon ➡️ เคยโจมตีแพลตฟอร์มคริปโตและใช้ LastPass เป็นส่วนหนึ่งของ phishing kit ➡️ ใช้โฮสต์ที่มีชื่อเสียงด้านการหลบเลี่ยงการตรวจสอบเพื่อสร้างเว็บปลอม ➡️ มีพฤติกรรมซ้ำแบบเดิม เช่น การโทรหาเหยื่อและใช้ข้อมูลปลอม ‼️ คำเตือนสำหรับผู้ใช้ LastPass และบริการจัดการรหัสผ่านอื่น ๆ ⛔ อย่ากรอกรหัสผ่านหลักในเว็บไซต์ที่ไม่ใช่ของ LastPass โดยตรง ⛔ หากได้รับอีเมลที่ดูน่าสงสัย ให้ตรวจสอบ URL และอย่าคลิกลิงก์ทันที ⛔ ควรเปิดใช้ MFA และตั้งค่าความปลอดภัยเพิ่มเติมในบัญชี ⛔ หากสงสัยว่าโดน phishing ให้รายงานไปที่ abuse@lastpass.com พร้อมแนบอีเมลหรือภาพหน้าจอ https://www.csoonline.com/article/4079001/scammers-try-to-trick-lastpass-users-into-giving-up-credentials-by-telling-them-theyre-dead-2.html

🧠 Claude AI เปิดตัวฟีเจอร์ Memory สำหรับผู้ใช้ Pro – เชื่อมต่อกับ ChatGPT และ Gemini ได้อย่างลื่นไหล Anthropic ผู้พัฒนา Claude AI ได้เปิดตัวฟีเจอร์ใหม่ชื่อว่า “Memory” สำหรับผู้ใช้แบบ Pro และ Max โดยมีเป้าหมายเพื่อทำให้ Claude ฉลาดขึ้นและเข้าใจผู้ใช้มากขึ้นในระยะยาว ฟีเจอร์นี้ช่วยให้ Claude สามารถจดจำบริบทจากการสนทนาเก่าๆ และปรับตัวให้เข้ากับรูปแบบการทำงานของผู้ใช้ได้อย่างแม่นยำ ผู้ใช้สามารถควบคุม Memory ได้อย่างละเอียด เช่น เปิด/ปิดการจดจำ ลบความจำเฉพาะจุด หรือใช้โหมด Incognito เพื่อเริ่มต้นใหม่แบบไม่มีบริบทเก่า นอกจากนี้ยังสามารถนำเข้าความจำจาก AI ตัวอื่น เช่น ChatGPT และ Gemini ได้ด้วย ทำให้การเปลี่ยนมาใช้ Claude เป็นไปอย่างราบรื่น Claude ยังสามารถสร้าง “พื้นที่ความจำเฉพาะ” สำหรับแต่ละโปรเจกต์ เช่น แยกงานเขียนออกจากงานวางแผนผลิตภัณฑ์ เพื่อให้การสนทนาไม่ปะปนกัน และมีความต่อเนื่องในแต่ละบริบท ฟีเจอร์นี้เป็นส่วนหนึ่งของเป้าหมายใหญ่ของ Anthropic ที่ต้องการให้ Claude เป็น “คู่คิดระยะยาว” ที่สามารถเข้าใจบริบทการทำงานของผู้ใช้และปรับตัวได้อย่างต่อเนื่อง ✅ การเปิดตัวฟีเจอร์ Memory ใน Claude AI ➡️ รองรับผู้ใช้แบบ Pro ($20/เดือน) และ Max ($100/เดือน) ➡️ Claude สามารถจดจำบริบทจากการสนทนาเก่าๆ ได้ ➡️ ปรับตัวให้เข้ากับรูปแบบการทำงานของผู้ใช้ ➡️ ผู้ใช้สามารถควบคุมความจำได้อย่างละเอียด ✅ ความสามารถในการเชื่อมต่อกับ AI อื่น ➡️ สามารถนำเข้าความจำจาก ChatGPT และ Gemini ได้ ➡️ ช่วยให้การเปลี่ยนมาใช้ Claude เป็นไปอย่างราบรื่น ➡️ รองรับการส่งออกความจำไปยังแพลตฟอร์มอื่น ✅ การจัดการความจำแบบแยกโปรเจกต์ ➡️ Claude สามารถสร้างพื้นที่ความจำเฉพาะสำหรับแต่ละโปรเจกต์ ➡️ ช่วยให้การสนทนาไม่ปะปนกัน และมีความต่อเนื่อง ➡️ เหมาะสำหรับผู้ใช้ที่ทำงานหลายด้าน เช่น เขียนบทความและวางแผนผลิตภัณฑ์ ✅ เป้าหมายของ Anthropic ➡️ ต้องการให้ Claude เป็นคู่คิดระยะยาวที่เข้าใจผู้ใช้ ➡️ สร้างระบบ AI ที่มีความต่อเนื่องและปรับตัวได้ ➡️ เพิ่มความโปร่งใสในการจัดการข้อมูลความจำ ‼️ ข้อควรระวังและข้อจำกัด ⛔ ฟีเจอร์ Memory ยังจำกัดเฉพาะผู้ใช้แบบเสียเงิน ⛔ การนำเข้าความจำจาก AI อื่นอาจมีข้อจำกัดด้านความเข้ากันได้ ⛔ ผู้ใช้ต้องเข้าใจวิธีจัดการความจำเพื่อใช้งานได้เต็มประสิทธิภาพ ⛔ หากไม่จัดการพื้นที่ความจำอย่างเหมาะสม อาจเกิดความสับสนในบริบท https://www.techradar.com/ai-platforms-assistants/claude-ai-is-catching-up-fast-with-memory-for-pro-users-and-it-plays-nicely-with-chatgpt-and-gemini

🖱️ "HyperSpace Trackpad Pro: แทร็คแพดสุดล้ำสำหรับผู้ใช้ Windows ที่อยากได้สัมผัสแบบ Apple" Hyper เปิดตัว HyperSpace Trackpad Pro อุปกรณ์เสริมใหม่ที่ออกแบบมาเพื่อเป็นทางเลือกแทน Apple Magic Trackpad สำหรับผู้ใช้ Windows โดยเฉพาะ ด้วยราคาประมาณ $150 และฟีเจอร์ระดับพรีเมียมที่รวมทั้ง haptic feedback, pressure sensitivity และการรองรับ multi-touch gesture แบบเต็มรูปแบบ ตัวแทร็คแพดผลิตจาก CNC-aluminum พร้อมพื้นผิวกระจกขัดเรียบ มีขนาด 166.9 x 103.4 x 13 มม. และน้ำหนัก 300 กรัม ใช้ Bluetooth 5.2 เชื่อมต่อกับอุปกรณ์ และมีแบตเตอรี่ 1,000mAh ที่ใช้งานได้ถึง 30 วันต่อการชาร์จหนึ่งครั้ง จุดเด่นคือระบบ piezo haptic รุ่นที่ 3 ที่ให้ความรู้สึกคลิกทั่วทั้งพื้นผิว พร้อมการปรับความไวของแรงกด และการตั้งค่า deep-click zones ผ่านซอฟต์แวร์ Hydra Connect ซึ่งรองรับโปรไฟล์เฉพาะสำหรับแอปยอดนิยม เช่น Adobe Photoshop, Premiere Pro, Illustrator, Microsoft Office, Teams และ Figma ✅ คุณสมบัติหลักของ HyperSpace Trackpad Pro ➡️ รองรับ multi-touch gesture บน Windows อย่างเต็มรูปแบบ ➡️ มี haptic feedback และ pressure sensitivity ➡️ ใช้ Bluetooth 5.2 เชื่อมต่อ ➡️ แบตเตอรี่ 1,000mAh ใช้งานได้ ~30 วัน ➡️ ผลิตจาก CNC-aluminum และพื้นผิวกระจกขัดเรียบ ✅ ระบบสัมผัสและการตั้งค่า ➡️ ใช้ piezo haptic รุ่นที่ 3 ให้คลิกทั่วพื้นผิว ➡️ ปรับความไวของแรงกดได้ตามต้องการ ➡️ มี force sensing matrix สำหรับการตั้งค่า deep-click zones ➡️ ใช้ซอฟต์แวร์ Hydra Connect ตั้งค่าโปรไฟล์เฉพาะแอป ✅ การใช้งานร่วมกับระบบอื่น ➡️ รองรับ macOS สำหรับการคลิกและนำทางพื้นฐาน ➡️ มีโปรไฟล์สำเร็จรูปสำหรับแอปยอดนิยม ➡️ สามารถตั้งค่า corner shortcuts และ gesture เฉพาะแอป ✅ การเปิดตัวและราคา ➡️ เปิดให้ pre-order ผ่าน Kickstarter แล้ว ➡️ ราคาเริ่มต้นที่ $109 สำหรับ Super Early Bird ➡️ Creator Pack ราคา $180 มาพร้อม SSD enclosure ➡️ เริ่มจัดส่งในไตรมาสแรกของปี 2026 https://www.tomshardware.com/peripherals/the-usd150-external-hyperspace-trackpad-pro-is-an-apple-magic-trackpad-alternative-for-windows-users-with-haptic-feedback-and-pressure-sensitivity-crowdfunded-peripheral-ships-in-q1-2026

🛡️ "BitLocker ล็อกข้อมูล 3TB โดยไม่แจ้งเตือน: เมื่อระบบป้องกันกลายเป็นกับดักข้อมูล" BitLocker ระบบเข้ารหัสดิสก์ของ Microsoft ที่เปิดใช้งานอัตโนมัติใน Windows 11 กำลังตกเป็นประเด็นร้อน หลังมีผู้ใช้รายหนึ่งใน Reddit รายงานว่า Backup Drive ขนาด 3TB ถูกล็อกโดยไม่รู้ตัวหลังจากติดตั้ง Windows ใหม่ ส่งผลให้ข้อมูลทั้งหมดไม่สามารถเข้าถึงได้ และไม่มีวิธีถอดรหัสกลับมาได้เลย ผู้ใช้รายนี้มีดิสก์ทั้งหมด 6 ลูก โดย 2 ลูกเป็น Backup Drive ที่ไม่ได้ตั้งค่า BitLocker ด้วยตัวเอง แต่หลังจากติดตั้ง Windows ใหม่และเข้าสู่ระบบด้วยบัญชี Microsoft ระบบกลับเปิดใช้งาน BitLocker โดยอัตโนมัติ และขอ Recovery Key ที่ผู้ใช้ไม่เคยได้รับหรือบันทึกไว้ แม้จะพยายามใช้ซอฟต์แวร์กู้ข้อมูลหลายตัว แต่ก็ไม่สามารถเจาะระบบเข้ารหัสของ BitLocker ได้ เพราะระบบนี้ออกแบบมาเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตอย่างแน่นหนา ✅ การทำงานของ BitLocker ใน Windows 11 ➡️ เปิดใช้งานอัตโนมัติเมื่อเข้าสู่ระบบด้วยบัญชี Microsoft ➡️ เข้ารหัสดิสก์โดยไม่แจ้งเตือนผู้ใช้ ➡️ Recovery Key จะถูกเก็บไว้ในบัญชี Microsoft หากระบบบันทึกไว้ ✅ เหตุการณ์ที่เกิดขึ้น ➡️ ผู้ใช้ติดตั้ง Windows ใหม่และพบว่า Backup Drive ถูกเข้ารหัส ➡️ ไม่สามารถเข้าถึงข้อมูล 3TB ได้ ➡️ Recovery Key สำหรับ Backup Drive ไม่ปรากฏในบัญชี Microsoft ‼️ คำเตือนสำหรับผู้ใช้ Windows 11 ⛔ BitLocker อาจเปิดใช้งานโดยอัตโนมัติแม้ผู้ใช้ไม่ตั้งใจ ⛔ หากไม่มี Recovery Key จะไม่สามารถกู้ข้อมูลได้ ⛔ การติดตั้ง Windows ใหม่อาจทำให้ดิสก์อื่นถูกเข้ารหัสโดยไม่รู้ตัว ✅ ข้อเสนอแนะเพื่อป้องกัน ➡️ ตรวจสอบสถานะ BitLocker ก่อนติดตั้งหรือรีเซ็ต Windows ➡️ บันทึก Recovery Key ไว้ในที่ปลอดภัยเสมอ ➡️ ปิด BitLocker สำหรับดิสก์ที่ไม่ต้องการเข้ารหัส ➡️ สำรองข้อมูลไว้ในอุปกรณ์ที่ไม่เชื่อมต่อกับระบบโดยตรง 📎 สาระเพิ่มเติมจากภายนอก: ✅ ความแตกต่างระหว่าง BitLocker แบบ Software และ Hardware ➡️ แบบ Software ใช้ CPU ในการเข้ารหัส ทำให้ลดประสิทธิภาพการอ่าน/เขียน ➡️ แบบ Hardware (OPAL) มีประสิทธิภาพสูงกว่าและไม่เปิดใช้งานอัตโนมัติ ✅ วิธีตรวจสอบสถานะ BitLocker ➡️ ใช้คำสั่ง manage-bde -status ใน Command Prompt ➡️ ตรวจสอบใน Control Panel > System and Security > BitLocker Drive Encryption https://www.tomshardware.com/software/windows/bitlocker-reportedly-auto-locks-users-backup-drives-causing-loss-of-3tb-of-valuable-data-windows-automatic-disk-encryption-can-permanently-lock-your-drives

https://www.wantedly.com/users/197531983/post_articles/998067/preview?token=3476f9b8fb5e8a7e2fd2ccf8f750ef99

💿 “ญี่ปุ่นแห่ซื้อไดรฟ์ Blu-ray หลัง Windows 10 ยุติการสนับสนุน — ความต้องการสื่อกายภาพกลับมาอีกครั้ง” หลังจาก Microsoft ประกาศยุติการสนับสนุน Windows 10 อย่างเป็นทางการ ผู้ใช้ในญี่ปุ่นจำนวนมากเริ่มอัปเกรดไปใช้ Windows 11 ซึ่งนำไปสู่ปรากฏการณ์ที่ไม่คาดคิด: ความต้องการไดรฟ์ Blu-ray และ DVD-R พุ่งสูงจนสินค้าขาดตลาด โดยเฉพาะในย่าน Akihabara ที่เป็นศูนย์กลางเทคโนโลยีของโตเกียว ผู้ใช้จำนวนมากต้องการให้เครื่องใหม่ยังสามารถอ่านและเขียนสื่อกายภาพได้ ไม่ว่าจะเป็นภาพยนตร์, เพลง, หรือข้อมูลสำคัญที่เก็บไว้ในแผ่นดิสก์ ซึ่งทำให้ไดรฟ์ภายใน (internal drives) กลับมาเป็นที่ต้องการ แม้ว่าเคส PC รุ่นใหม่จะไม่มีช่องใส่ไดรฟ์แล้วก็ตาม ร้านค้าเช่น Dospara และ TSUKUMO eX. รายงานว่าลูกค้าหลายคนต้องการติดตั้งไดรฟ์ในเครื่อง Windows 11 เพื่อให้ใช้งานได้เหมือนกับตอนใช้ Windows 10 โดยเฉพาะผู้ที่ให้ความสำคัญกับความเร็วในการเขียนข้อมูล ซึ่งไดรฟ์ภายในยังเหนือกว่ารุ่นภายนอก แม้ในฝั่งตะวันตกจะลดการใช้สื่อกายภาพไปมากแล้ว แต่ในญี่ปุ่น ความนิยมยังคงอยู่ โดยเฉพาะในกลุ่มผู้ใช้ที่ต้องการควบคุมข้อมูลของตนเอง และไม่พึ่งพาระบบคลาวด์หรือการสตรีม ✅ Microsoft ยุติการสนับสนุน Windows 10 อย่างเป็นทางการ ➡️ ผู้ใช้จำนวนมากในญี่ปุ่นอัปเกรดไปใช้ Windows 11 ✅ ความต้องการไดรฟ์ Blu-ray และ DVD-R พุ่งสูงในญี่ปุ่น ➡️ โดยเฉพาะในย่าน Akihabara ที่เป็นศูนย์กลางเทคโนโลยี ✅ ผู้ใช้ต้องการให้เครื่องใหม่ยังรองรับสื่อกายภาพ ➡️ เช่น ภาพยนตร์, เพลง, หรือข้อมูลที่เก็บไว้ในแผ่นดิสก์ ✅ ไดรฟ์ภายในยังเป็นที่ต้องการแม้เคส PC รุ่นใหม่ไม่มีช่องใส่ ➡️ เพราะให้ความเร็วในการเขียนข้อมูลที่ดีกว่า ✅ ร้านค้าเช่น Dospara และ TSUKUMO eX. ยืนยันความต้องการสูง ➡️ ลูกค้าต้องการใช้งานแบบเดียวกับตอนใช้ Windows 10 ✅ ญี่ปุ่นยังนิยมสื่อกายภาพมากกว่าตะวันตก ➡️ โดยเฉพาะในกลุ่มที่ไม่พึ่งพาคลาวด์หรือการสตรีม https://www.tomshardware.com/software/windows/optical-drive-demand-surges-amid-windows-10-retirement-japanese-users-switching-to-windows-11-are-buying-up-blu-ray-drives

🎤 “AI ปลอมเสียงศิลปินดังในคลิปไว้อาลัย Charlie Kirk” — เมื่อ YouTube กลายเป็นเวทีของบทเพลงที่ไม่มีใครร้องจริง ผู้ใช้ YouTube หลายคนตกใจเมื่อพบคลิปไว้อาลัย Charlie Kirk นักเคลื่อนไหวฝ่ายขวาที่ถูกลอบสังหาร โดยมีเสียงร้องจากศิลปินดังอย่าง Adele, Ed Sheeran และ Justin Bieber — แต่ทั้งหมดเป็นเสียงที่สร้างจาก AI โดยไม่มีการร้องจริงหรือรับรู้จากเจ้าตัว คลิปเหล่านี้ใช้ภาพประกอบที่ดูสมจริง เช่น thumbnails ที่ศิลปินร้องไห้ พร้อมเนื้อเพลงที่แต่งขึ้นจาก prompt เช่น “The angels sing your name” หรือ “Your story’s written in the stars” ซึ่งสร้างความซาบซึ้งให้ผู้ชมจำนวนมาก แม้เสียงจะไม่เหมือนต้นฉบับก็ตาม AI music generators อย่าง Suno สามารถสร้างเพลงจากข้อความง่าย ๆ เช่น “ทำเพลงแจ๊สเกี่ยวกับรดน้ำต้นไม้” หรือ “เพลงแนว house เกี่ยวกับลาออกจากงาน” และเมื่อสื่อ AFP ทดสอบด้วย prompt ไว้อาลัยนักเคลื่อนไหว ก็ได้เพลงชื่อ “Star Gone Too Soon” และ “Echoes of a Flame” ภายในไม่กี่วินาที แม้ YouTube จะมีนโยบายให้ผู้สร้างเนื้อหาต้องเปิดเผยว่าใช้ AI แต่หลายคลิปกลับซ่อนข้อมูลไว้ในคำอธิบายที่ต้องคลิกขยายถึงจะเห็น นักวิจารณ์เช่น Alex Mahadevan จาก Poynter เตือนว่า “อินเทอร์เน็ตที่เคยเต็มไปด้วยคนสร้างสรรค์กำลังถูกแทนที่ด้วย AI slop ที่สร้างเพื่อเงิน” และ Lucas Hansen จาก CivAI เสริมว่า “การลอกเลียนเสียงและภาพควรได้รับการคุ้มครอง แม้จะเป็นคนที่เสียชีวิตแล้วก็ตาม” ✅ ข้อมูลในข่าว ➡️ คลิปไว้อาลัย Charlie Kirk ใช้เสียง AI ปลอมเป็นศิลปินดัง ➡️ มี thumbnails ปลอม เช่นภาพศิลปินร้องไห้ ➡️ เนื้อเพลงสร้างจาก prompt เช่น “Your story’s written in the stars” ➡️ AI music generators อย่าง Suno สร้างเพลงจากข้อความได้ภายในวินาที ➡️ YouTube มีนโยบายให้เปิดเผยการใช้ AI แต่หลายคลิปซ่อนข้อมูลไว้ ➡️ คลิปเหล่านี้มีผู้ชมหลายล้านและคอมเมนต์ขอบคุณศิลปินที่ไม่ได้ร้องจริง ➡️ Alex Mahadevan เตือนว่าอินเทอร์เน็ตกำลังถูกแทนที่ด้วย “AI slop” ➡️ Lucas Hansen เสนอให้คุ้มครองเสียงและภาพของบุคคล แม้จะเสียชีวิตแล้ว ➡️ The Velvet Sundown วง AI บน Spotify มีผู้ฟังเกิน 200,000 คน ➡️ Suno เสนอ prompt เช่น “เพลงแจ๊สเกี่ยวกับรดน้ำต้นไม้” https://www.thestar.com.my/tech/tech-news/2025/10/17/youtube-users-trip-over-fake-ai-tributes-to-charlie-kirk

🖥️ “GNOME 49.1 มาแล้ว!” — อัปเดตครั้งใหญ่เพื่อความเสถียร ความเข้าถึง และประสบการณ์ผู้ใช้ที่ดีขึ้น GNOME Project ได้ปล่อย GNOME 49.1 ซึ่งเป็นอัปเดตแรกของซีรีส์ GNOME 49 “Brescia” โดยเน้นการแก้ไขบั๊กและปรับปรุงประสบการณ์ใช้งานในหลายส่วนของเดสก์ท็อป รวมถึง Nautilus, Epiphany, GNOME Shell, Mutter, Orca และ GNOME Software การเปลี่ยนแปลงสำคัญ ได้แก่: ⭐ ปรับปรุง UI การจับภาพหน้าจอให้เข้าถึงง่ายขึ้น ⭐ รองรับการพิมพ์ภาษาฮินดีแบบ Bolnagri บนคีย์บอร์ดจอสัมผัส ⭐ ปรับปรุงไอคอนการเข้าถึงบนหน้าจอล็อกอิน ⭐ แก้ไขปัญหาการแจ้งเตือนอัปเดตใน GNOME Software ⭐ แก้ไขบั๊กที่ทำให้เกิด zombie process จาก gnome-session ⭐ แก้ไขปัญหาโฟกัสคีย์บอร์ดใน Activities Overview ⭐ แก้ไขปัญหา GTK popover submenu ที่ทำให้แอปค้าง ⭐ แก้ไขปัญหาหน้าต่าง maximized ล้นใต้ panel ⭐ แก้ไขการสลับ layout คีย์บอร์ดผ่าน xkb-options ใน Nautilus (Files): 🗃️ แก้ไขการ crash จาก callback ภายใน 🗃️ แก้ไขการ paste รูปภาพขนาดใหญ่ 🗃️ ปรับปรุง contrast ของรายการที่ถูก cut 🗃️ แก้ไขการโฟกัสในหน้าต่างเลือกแอปเริ่มต้น 🗃️ แก้ไข sidebar drag-and-drop และการทดสอบ archive ที่ใช้เวลานาน ใน Epiphany (GNOME Web): 🌐 ปรับปรุง address bar และ dropdown behavior 🌐 แก้ไขการแสดงผลตัวอักษร non-Latin 🌐 เพิ่ม OpenSearch ให้ DuckDuckGo, Bing และ Google 🌐 แก้ไข caret position หลัง Ctrl+K 🌐 แก้ไข favicon ที่มีพื้นหลังดำให้โปร่งใส ใน Orca (screen reader): 🔊 เพิ่มการควบคุม caret สำหรับทุก text object 🔊 เพิ่มคำสั่งใหม่ผ่าน D-Bus Remote Controller 🔊 ปรับปรุงการอ่าน voice name และการจัดเรียงใน Preferences 🔊 เพิ่ม OnlyShowIn=GNOME ให้ Orca autostart ได้ในเวอร์ชันเก่า GNOME Control Center ก็ได้รับการปรับปรุงหลาย panels เช่น Appearance, Date & Time, Mouse, Network, Users และ Wacom ส่วน GNOME Display Manager (GDM) ได้รับ hotfix สำหรับบั๊กที่ทำให้ GNOME Shell ค้าง และการตรวจสอบ Wayland ที่ผิดพลาด ✅ ข้อมูลในข่าว ➡️ GNOME 49.1 เป็นอัปเดตแรกของซีรีส์ GNOME 49 “Brescia” ➡️ ปรับปรุง accessibility, multi-touch, และการจัดการคีย์บอร์ด ➡️ แก้ไข zombie process จาก gnome-session ➡️ Nautilus ได้รับการแก้ไขหลายจุด เช่น paste รูปภาพ, contrast, drag-and-drop ➡️ Epiphany ปรับปรุง address bar, dropdown, และรองรับ OpenSearch ➡️ Orca เพิ่ม caret navigation และปรับปรุง voice name presentation ➡️ GNOME Software แก้ไขการแจ้งเตือนอัปเดต ➡️ GNOME Control Center ปรับปรุงหลาย panels ➡️ GDM ได้รับ hotfix สำหรับบั๊กที่ทำให้ GNOME Shell ค้าง https://9to5linux.com/gnome-49-1-desktop-released-with-various-improvements-and-bug-fixes

🖥️ “Commodore OS Vision 3.0 ท้าชน Windows 10” — ระบบปฏิบัติการ Linux สไตล์เรโทรที่ชูจุดขาย ‘สงบ ปลอดภัย ไร้รบกวน’ หลังจาก Microsoft ประกาศยุติการสนับสนุน Windows 10 อย่างเป็นทางการ กลุ่มผู้ใช้จำนวนมากเริ่มมองหาทางเลือกใหม่ และ Commodore — แบรนด์ไอทีในตำนานที่กลับมาอีกครั้ง — ได้เปิดตัวระบบปฏิบัติการ Linux-based ชื่อว่า “Commodore OS Vision 3.0” เพื่อดึงดูดผู้ใช้ที่ไม่พอใจ Windows 11 Commodore OS Vision 3.0 ถูกออกแบบให้เป็น “พื้นที่สงบ” สำหรับผู้ใช้ที่เบื่อกับระบบที่เต็มไปด้วยโฆษณา การติดตาม และฟีเจอร์ที่ไม่จำเป็น โดยชูจุดขายว่า “No nags. No noise. No tracking.” พร้อมอินเทอร์เฟซเรโทร-ฟิวเจอร์ริสติกที่ได้แรงบันดาลใจจากยุค Commodore 64 ระบบนี้มีขนาดไฟล์ติดตั้งถึง 35GB เพราะรวมเกมและเดโมกว่า 200 รายการ ทั้งจากยุค Commodore และเกม Linux สมัยใหม่ นอกจากนี้ยังมี Commodore OS BASIC V1 ที่สามารถเขียนโปรแกรม 3D และฟิสิกส์ได้ในตัว โดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่ม Commodore ยังเปิดตัว “Commodore OS Central” ซึ่งเป็นศูนย์รวมคู่มือ เกม และเครื่องมือสำหรับนักพัฒนา โดยมีแผนจะพัฒนาเป็นร้านเกมและแพลตฟอร์มชุมชนในอนาคต ผู้ใช้สามารถติดตั้งระบบนี้ผ่าน VM หรือเครื่องจริง โดยมีคู่มืออย่างละเอียดในฟอรัมของ Commodore ซึ่งกำลังได้รับความนิยมเพิ่มขึ้นเรื่อย ๆ ✅ ข้อมูลในข่าว ➡️ Microsoft ยุติการสนับสนุน Windows 10 ทำให้ผู้ใช้มองหาทางเลือกใหม่ ➡️ Commodore เปิดตัว OS Vision 3.0 บนพื้นฐาน Linux ➡️ ชูจุดขาย “No nags. No noise. No tracking.” ➡️ อินเทอร์เฟซเรโทร-ฟิวเจอร์ริสติก ได้แรงบันดาลใจจาก Commodore 64 ➡️ ขนาดไฟล์ติดตั้ง 35GB รวมเกมและเดโมกว่า 200 รายการ ➡️ มี Commodore OS BASIC V1 สำหรับเขียนโปรแกรม 3D และฟิสิกส์ ➡️ มีศูนย์รวมทรัพยากรชื่อ “Commodore OS Central” ➡️ รองรับการติดตั้งผ่าน VM หรือเครื่องจริง พร้อมคู่มือในฟอรัม https://www.tomshardware.com/software/operating-systems/commodore-needles-microsoft-over-end-of-windows-10-tries-to-lure-disgruntled-users-to-its-linux-based-os-vision-3-0-microsoft-may-be-leaving-you-behind-we-wont

🛡️ “Crimson Collective เจาะระบบ AWS ด้วย TruffleHog — ขโมยข้อมูล 570GB จาก Red Hat และเริ่มขยายเป้าหมายสู่คลาวด์ทั่วโลก” กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่ ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที ✅ ข้อมูลสำคัญจากข่าว ➡️ Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog ➡️ ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า ➡️ กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository ➡️ ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess ➡️ สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล ➡️ ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ ➡️ Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์ ➡️ AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege ➡️ หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ ✅ ข้อมูลเสริมจากภายนอก ➡️ TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository ➡️ IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS ➡️ AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS ➡️ CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร ➡️ การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances

📱 “iPhone 17 Pro Max เจอปัญหาเสียงรบกวนขณะชาร์จผ่าน USB-C — เสียงซ่าเบา ๆ แม้ปิดเสียง อาจเป็นบั๊กซอฟต์แวร์หรือฮาร์ดแวร์?” หลังจากเปิดตัว iPhone 17 Pro Max ได้ไม่นาน ผู้ใช้จำนวนหนึ่งเริ่มรายงานปัญหาเสียงรบกวนจากลำโพงขณะชาร์จผ่านสาย USB-C โดยเสียงที่ได้ยินคล้ายคลื่นวิทยุหรือเสียงซ่าจากวิทยุเก่า ซึ่งเกิดขึ้นแม้จะตั้งค่าเสียงไว้ที่ระดับศูนย์ และไม่มีการเล่นเสียงใด ๆ เสียงรบกวนนี้มักเกิดจากลำโพงด้านล่างซ้ายของเครื่อง โดยจะได้ยินชัดเจนเมื่อเอาหูแนบใกล้ลำโพงขณะชาร์จผ่านสาย และจะหายไปทันทีเมื่อถอดสายชาร์จหรือใช้การชาร์จแบบไร้สายผ่าน MagSafe ซึ่งมีแนวโน้มจะเกิดเสียงน้อยกว่า ผู้ใช้บางรายพบว่าเสียงจะดังขึ้นเมื่อแบตเตอรี่ใกล้เต็ม หรือเมื่อมีการเลื่อนหน้าจอขณะชาร์จ ซึ่งอาจเกี่ยวข้องกับการทำงานของระบบ UI และการจัดการพลังงานในระดับฮาร์ดแวร์ แม้จะมีการเปลี่ยนเครื่องใหม่ แต่หลายคนยังพบปัญหาเดิม ทำให้เกิดข้อสงสัยว่าอาจเป็นปัญหาในระดับการออกแบบหรือซอฟต์แวร์ของ iOS 26 โดย Genius Bar ของ Apple ยังไม่พบความผิดปกติในฮาร์ดแวร์ และแนะนำให้ส่งเสียงที่บันทึกไว้พร้อมภาพประกอบเพื่อให้ทีมวิศวกรตรวจสอบ Apple ยังไม่ออกแถลงการณ์อย่างเป็นทางการเกี่ยวกับปัญหานี้ และยังไม่มีการปล่อยอัปเดตซอฟต์แวร์เพื่อแก้ไข แม้บางคนจะลองใช้ iOS 26.1 beta แล้วพบว่าเสียงยังคงอยู่ ✅ ข้อมูลสำคัญจากข่าว ➡️ ผู้ใช้ iPhone 17 Pro Max รายงานเสียงซ่าจากลำโพงขณะชาร์จผ่านสาย USB-C ➡️ เสียงเกิดแม้ตั้งค่าเสียงเป็น 0 และไม่มีการเล่นเสียง ➡️ ลำโพงด้านล่างซ้ายเป็นจุดที่เสียงรบกวนเกิดบ่อยที่สุด ➡️ เสียงจะหายไปเมื่อถอดสายหรือใช้ MagSafe แทน ➡️ ปัญหาเกิดมากขึ้นเมื่อแบตเตอรี่ใกล้เต็มหรือมีการเลื่อนหน้าจอ ➡️ การเปลี่ยนเครื่องใหม่ไม่ช่วยแก้ปัญหา ➡️ Genius Bar ไม่พบความผิดปกติในฮาร์ดแวร์ ➡️ Apple ยังไม่ออกแถลงการณ์หรือปล่อยอัปเดตแก้ไข https://securityonline.info/iphone-17-pro-max-users-report-distorted-audio-and-static-noise-during-usb-c-charging/

📊 “Gemini พุ่งแรง 46% แต่ ChatGPT ยังครองใจผู้ใช้ — ศึก GenAI ที่วัดกันด้วยความภักดีมากกว่าปริมาณ” รายงานล่าสุดจาก Similarweb เผยว่า Google Gemini มีจำนวนผู้ใช้งานเพิ่มขึ้นอย่างรวดเร็ว โดยในเดือนกันยายน 2025 มีผู้เข้าชมถึง 1.1 พันล้านครั้ง เพิ่มขึ้น 46% จากเดือนสิงหาคม ถือเป็นการเติบโตที่น่าจับตามองในตลาด GenAI ที่แข่งขันกันดุเดือด อย่างไรก็ตาม แม้ Gemini จะขยับขึ้นมาเป็นอันดับสองในส่วนแบ่งตลาด (13.7%) แต่ ChatGPT ยังคงครองอันดับหนึ่งด้วยส่วนแบ่ง 73.8% และมีจำนวนผู้ใช้งานถึง 5.9 พันล้านครั้งในเดือนเดียว ทำให้ ChatGPT.com ติดอันดับเว็บไซต์ยอดนิยมอันดับ 5 ของโลก สิ่งที่ทำให้ ChatGPT ยังคงแข็งแกร่งคือ “ความภักดีของผู้ใช้” โดย 82.2% ของผู้ใช้ ChatGPT ไม่เคยเข้าใช้งาน GenAI ตัวอื่นเลย ขณะที่ Gemini มีอัตราความภักดีอยู่ที่ 49.1% และคู่แข่งอื่น ๆ อย่าง Grok, Perplexity และ Claude อยู่ที่ 35.6%, 33.1% และ 18% ตามลำดับ การเติบโตของ Gemini อาจได้รับแรงหนุนจากกระแสไม่พอใจในฟีเจอร์ “GPT-5 Instant” ของ ChatGPT ซึ่งจะเปลี่ยนโมเดลอัตโนมัติเมื่อพบว่าผู้ใช้มีอารมณ์หรือเนื้อหาที่อ่อนไหว โดยมีผู้ใช้บางรายแสดงความไม่พอใจว่า “ระบบ nanny mode” นี้รบกวนการใช้งานและทำให้ต้องแก้ข้อความเพื่อหลีกเลี่ยงการถูกเปลี่ยนโมเดล แม้จะมีเสียงวิจารณ์ แต่ OpenAI ยืนยันว่าฟีเจอร์นี้มีเป้าหมายเพื่อช่วยเหลือผู้ใช้ในภาวะวิกฤต และจะบอกผู้ใช้เสมอว่าโมเดลใดกำลังทำงานอยู่ Gemini ยังมีจุดแข็งในด้านฟีเจอร์บางอย่างที่ ChatGPT ยังไม่มี เช่น การสร้างภาพใน Google Sheets, การแก้สูตร, การเชื่อมต่อกับอุปกรณ์ Google Home และการใช้งานใน Chrome Desktop สำหรับผู้ใช้ Pro และ Ultra ✅ ข้อมูลสำคัญจากข่าว ➡️ Gemini มีผู้ใช้งานเพิ่มขึ้น 46% ในเดือนกันยายน 2025 รวมเป็น 1.1 พันล้านครั้ง ➡️ ส่วนแบ่งตลาดของ Gemini เพิ่มจาก 9.1% เป็น 13.7% ➡️ ChatGPT ยังคงครองอันดับหนึ่งด้วย 5.9 พันล้านครั้ง และส่วนแบ่ง 73.8% ➡️ ChatGPT.com เป็นเว็บไซต์อันดับ 5 ของโลกในเดือนกันยายน ➡️ ความภักดีของผู้ใช้ ChatGPT อยู่ที่ 82.2% สูงที่สุดในตลาด GenAI ➡️ Gemini มีความภักดีของผู้ใช้ที่ 49.1% ตามด้วย Grok, Perplexity และ Claude ➡️ ChatGPT เปิดตัว GPT-5 Instant เพื่อช่วยเหลือผู้ใช้ในภาวะอ่อนไหว ➡️ Gemini มีฟีเจอร์เฉพาะ เช่น การแก้สูตรใน Sheets และการเชื่อมต่อกับ Google Home ✅ ข้อมูลเสริมจากภายนอก ➡️ GPT-5 Instant เป็นโมเดลที่ถูกเรียกใช้เมื่อระบบตรวจพบเนื้อหาที่อ่อนไหว ➡️ Similarweb เป็นแพลตฟอร์มวิเคราะห์การเข้าชมเว็บไซต์ที่ใช้กันอย่างแพร่หลาย ➡️ Gemini 2.5 Flash เป็นเวอร์ชันล่าสุดที่เน้นความเร็วและการเชื่อมต่อกับผลิตภัณฑ์ Google ➡️ ChatGPT มีการใช้งานเฉลี่ย 2.5 พันล้าน prompt ต่อวัน ➡️ Claude และ Perplexity เน้นการใช้งานเฉพาะกลุ่ม เช่น นักพัฒนาและนักวิจัย https://www.techradar.com/ai-platforms-assistants/gemini/google-gemini-just-saw-a-46-percent-spike-in-traffic-but-chatgpt-still-has-the-most-loyal-users

🔓 “ช่องโหว่ร้ายแรงใน Nagios Log Server (CVE-2025-44823) — API Key หลุดแบบ plaintext เสี่ยงถูกยึดระบบทั้งองค์กร” นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ระดับวิกฤตใน Nagios Log Server ซึ่งเป็นระบบจัดการล็อกที่นิยมใช้ในองค์กรขนาดใหญ่ โดยช่องโหว่นี้มีรหัส CVE-2025-44823 และได้รับคะแนนความรุนแรง CVSS สูงถึง 9.9 เต็ม 10 ซึ่งถือว่า “Critical” เพราะเปิดโอกาสให้ผู้ใช้ที่มี API token แม้จะเป็นระดับต่ำ ก็สามารถดึงข้อมูลผู้ใช้ทั้งหมดรวมถึง API key ของผู้ดูแลระบบในรูปแบบ plaintext ได้ทันที ช่องโหว่นี้อยู่ใน endpoint /nagioslogserver/index.php/api/system/get_users ซึ่งเมื่อเรียกใช้งานด้วย token ที่ถูกต้อง ระบบจะตอบกลับเป็น JSON ที่มีข้อมูลผู้ใช้ทั้งหมด รวมถึงชื่อ อีเมล และ API key แบบไม่เข้ารหัส เช่น "apikey": "dcaa1693a79d651ebc29d45c879b3fbbc730d2de" ซึ่งสามารถนำไปใช้แอบอ้างเป็นผู้ดูแลระบบได้ทันที ผลกระทบคือผู้โจมตีสามารถเข้าควบคุมระบบ Nagios Log Server ได้เต็มรูปแบบ เช่น เปลี่ยนการตั้งค่า เข้าถึงข้อมูลล็อกที่ละเอียดอ่อน หรือแม้แต่ลบข้อมูลเพื่อปกปิดร่องรอยการโจมตีอื่น ๆ นอกจากนี้ยังมีช่องโหว่ CVE-2025-44824 ซึ่งอนุญาตให้ผู้ใช้ที่มีสิทธิ์แค่ read-only สามารถหยุดบริการ Elasticsearch ได้ผ่าน endpoint /api/system/stop?subsystem=elasticsearch โดยระบบจะตอบกลับว่า “error” ทั้งที่จริงแล้ว Elasticsearch ถูกหยุดไปแล้ว ทำให้ผู้ดูแลเข้าใจผิด และอาจถูกใช้โจมตีแบบ DoS เพื่อปิดระบบตรวจสอบแบบเรียลไทม์ Nagios ได้ออกแพตช์ในเวอร์ชัน 2024R1.3.2 ซึ่งแก้ไขทั้งสองช่องโหว่ โดยจำกัดการเข้าถึงข้อมูลผู้ใช้ และเพิ่มการตรวจสอบสิทธิ์ก่อนอนุญาตให้ควบคุมบริการ พร้อมปรับข้อความตอบกลับให้ตรงกับสถานะจริง ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-44823 เปิดเผย API key ของผู้ดูแลระบบในรูปแบบ plaintext ➡️ อยู่ใน endpoint /api/system/get_users ของ Nagios Log Server ➡️ ผู้ใช้ที่มี API token แม้จะเป็นระดับต่ำก็สามารถดึงข้อมูลได้ ➡️ JSON ที่ตอบกลับมีชื่อผู้ใช้ อีเมล และ API key แบบไม่เข้ารหัส ➡️ ช่องโหว่ CVE-2025-44824 อนุญาตให้หยุดบริการ Elasticsearch ด้วยสิทธิ์ read-only ➡️ ระบบตอบกลับว่า “error” ทั้งที่บริการถูกหยุดจริง ➡️ ส่งผลให้ระบบตรวจสอบแบบเรียลไทม์ถูกปิด และข้อมูลล็อกไม่ถูกบันทึก ➡️ Nagios ออกแพตช์ในเวอร์ชัน 2024R1.3.2 เพื่อแก้ไขช่องโหว่ทั้งสอง ➡️ แพตช์เพิ่มการตรวจสอบสิทธิ์และปรับข้อความตอบกลับให้ถูกต้อง ✅ ข้อมูลเสริมจากภายนอก ➡️ Nagios Log Server ใช้ในการตรวจสอบระบบและความปลอดภัยในองค์กรขนาดใหญ่ ➡️ API key แบบ plaintext สามารถใช้เข้าระบบโดยไม่ต้องผ่านการยืนยันตัวตน ➡️ Elasticsearch เป็นระบบจัดเก็บและค้นหาข้อมูลล็อกแบบเรียลไทม์ ➡️ การหยุด Elasticsearch อาจทำให้ทีมรักษาความปลอดภัย “ตาบอด” ➡️ ช่องโหว่แบบนี้สามารถใช้ร่วมกับการโจมตีอื่นเพื่อปกปิดร่องรอย https://securityonline.info/critical-nagios-flaw-cve-2025-44823-cvss-9-9-leaks-plaintext-admin-api-keys-poc-available/

For those users looking to download gb whatsapp apk latest version visit https://www.gbapk.com.pk

📱 “ระวัง! แอปปลอม Signal และ ToTok แฝงสปายแวร์โจมตีผู้ใช้ Android ใน UAE — ขโมยข้อมูลส่วนตัวแบบเงียบ ๆ” นักวิจัยจาก ESET ได้เปิดเผยแคมเปญสปายแวร์ใหม่ที่กำลังระบาดในสหรัฐอาหรับเอมิเรตส์ (UAE) โดยใช้เทคนิคหลอกลวงผ่านแอปปลอมของ Signal และ ToTok ซึ่งเป็นแอปส่งข้อความที่ผู้ใช้ไว้วางใจ โดยแอปปลอมเหล่านี้ไม่ได้อยู่ใน Google Play หรือ App Store แต่ถูกเผยแพร่ผ่านเว็บไซต์ปลอมที่เลียนแบบหน้าตาแอปจริงอย่างแนบเนียน แคมเปญนี้ประกอบด้วยมัลแวร์สองสายพันธุ์ ได้แก่ 🐛 ProSpy (Android/Spy.ProSpy): ปลอมเป็น Signal Encryption Plugin และ ToTok Pro 🐛 ToSpy (Android/Spy.ToSpy): ปลอมเป็นแอป ToTok โดยตรง เมื่อผู้ใช้ติดตั้ง APK จากเว็บไซต์ปลอม แอปจะขอสิทธิ์เข้าถึงข้อมูล เช่น รายชื่อผู้ติดต่อ ข้อความ ไฟล์ และข้อมูลสำรองการแชท โดยเฉพาะ ToSpy จะมุ่งเป้าไปที่ไฟล์ .ttkmbackup ซึ่งเป็นไฟล์สำรองของ ToTok โดยข้อมูลทั้งหมดจะถูกเข้ารหัสด้วย AES และส่งไปยังเซิร์ฟเวอร์ควบคุมที่ยังคงทำงานอยู่ในปี 2025 ProSpy ยังมีเทคนิคซ่อนตัวขั้นสูง เช่น เปลี่ยนไอคอนเป็น Google Play Services และเปิดหน้าข้อมูลของแอปจริงเมื่อแตะไอคอน ทำให้ผู้ใช้ไม่สงสัยว่าเป็นมัลแวร์ ESET พบว่าแคมเปญนี้เริ่มต้นตั้งแต่กลางปี 2022 และยังคงดำเนินอยู่ โดยมีการใช้เว็บไซต์ปลอมที่ลงท้ายด้วย .ae.net ซึ่งบ่งชี้ว่าเน้นโจมตีผู้ใช้ใน UAE โดยเฉพาะ เพื่อป้องกันตัวเอง ผู้ใช้ควรติดตั้งแอปจากแหล่งทางการเท่านั้น ปิดการติดตั้งจากแหล่งไม่รู้จัก และเปิดใช้งาน Google Play Protect ซึ่งจะบล็อกมัลแวร์ที่รู้จักโดยอัตโนมัติ ✅ ข้อมูลสำคัญจากข่าว ➡️ พบมัลแวร์สองสายพันธุ์คือ ProSpy และ ToSpy ที่ปลอมเป็นแอป Signal และ ToTok ➡️ แอปปลอมไม่ได้อยู่ใน Store ทางการ ต้องติดตั้ง APK จากเว็บไซต์ปลอม ➡️ ProSpy ปลอมเป็น Signal Encryption Plugin และ ToTok Pro ➡️ ToSpy ปลอมเป็นแอป ToTok โดยตรง และมุ่งเป้าไปที่ไฟล์สำรอง .ttkmbackup ➡️ แอปขอสิทธิ์เข้าถึงข้อมูลส่วนตัว เช่น รายชื่อ ข้อความ ไฟล์ และข้อมูลแชท ➡️ ข้อมูลถูกเข้ารหัสด้วย AES และส่งไปยังเซิร์ฟเวอร์ควบคุม ➡️ ProSpy ใช้เทคนิคซ่อนตัวโดยเปลี่ยนไอคอนเป็น Google Play Services ➡️ แคมเปญเริ่มตั้งแต่ปี 2022 และยังคงดำเนินอยู่ในปี 2025 ➡️ ESET แจ้ง Google แล้ว และ Play Protect บล็อกมัลแวร์โดยอัตโนมัติ ✅ ข้อมูลเสริมจากภายนอก ➡️ ToTok เคยถูกถอดออกจาก Google Play และ App Store ในปี 2019 จากข้อกล่าวหาเรื่องการสอดแนม ➡️ Signal เป็นแอปเข้ารหัสที่มีผู้ใช้มากกว่า 100 ล้านคนทั่วโลก ➡️ การโจมตีแบบนี้เรียกว่า “social engineering” โดยใช้ความไว้วางใจในแบรนด์เพื่อหลอกลวง ➡️ การติดตั้ง APK จากแหล่งภายนอกเป็นช่องทางหลักของมัลแวร์ Android ➡️ การใช้ไอคอนและชื่อแอปที่เหมือนของจริงช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับได้ https://hackread.com/spyware-fake-signal-totok-apps-uae-android-users/

🛠️ “Microsoft Defender for Endpoint แจ้งเตือนผิดพลาดเรื่อง BIOS บนเครื่อง Dell — ผู้ดูแลระบบทั่วโลกปวดหัวกับการอัปเดตที่ไม่จำเป็น” ในช่วงต้นเดือนตุลาคม 2025 ผู้ดูแลระบบหลายองค์กรทั่วโลกเริ่มพบปัญหาแปลกจาก Microsoft Defender for Endpoint ซึ่งแจ้งเตือนว่า BIOS บนอุปกรณ์ Dell นั้นล้าสมัยและต้องอัปเดต ทั้งที่จริงแล้วเครื่องเหล่านั้นใช้เวอร์ชันล่าสุดอยู่แล้ว Microsoft ยืนยันว่าเป็น “บั๊กในตรรกะของโค้ด” ที่ใช้ตรวจสอบช่องโหว่บนอุปกรณ์ Dell โดยระบบดึงข้อมูล BIOS มาประเมินผิดพลาด ทำให้เกิดการแจ้งเตือนแบบ false positive ซึ่งสร้างความสับสนและภาระงานให้กับทีม IT ที่ต้องตรวจสอบทีละเครื่อง ปัญหานี้ถูกติดตามภายใต้รหัส DZ1163521 และแม้ว่า Microsoft จะพัฒนาแพตช์แก้ไขเรียบร้อยแล้ว แต่ยังไม่ได้ปล่อยออกมาในระบบจริง ทำให้ผู้ใช้ต้องรอการอัปเดตในรอบถัดไป โดยในระหว่างนี้ ผู้ดูแลระบบต้องตรวจสอบสถานะ BIOS ด้วยตนเองเพื่อแยกแยะว่าเป็นการแจ้งเตือนผิดหรือไม่ ความผิดพลาดนี้ไม่ได้เกิดจาก BIOS ของ Dell เอง แต่เป็นข้อผิดพลาดในการประมวลผลของ Defender ซึ่งส่งผลกระทบต่อองค์กรที่ใช้ระบบ Microsoft 365 และมีการใช้งาน Defender for Endpoint ในการตรวจสอบความปลอดภัยของอุปกรณ์ นักวิเคราะห์เตือนว่า false alert แบบนี้อาจนำไปสู่ “alert fatigue” หรือภาวะที่ผู้ดูแลระบบเริ่มละเลยการแจ้งเตือนจริง เพราะถูกกระตุ้นด้วยข้อมูลผิดพลาดบ่อยครั้ง ซึ่งเป็นความเสี่ยงต่อการปล่อยให้ภัยคุกคามจริงหลุดรอดไปได้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Microsoft Defender for Endpoint แจ้งเตือนผิดพลาดว่า BIOS บนอุปกรณ์ Dell ล้าสมัย ➡️ สาเหตุเกิดจากบั๊กในตรรกะของโค้ดที่ใช้ประเมินช่องโหว่ ➡️ ปัญหานี้ถูกติดตามภายใต้รหัส DZ1163521 ➡️ Microsoft พัฒนาแพตช์แก้ไขแล้ว แต่ยังไม่ได้ปล่อยใช้งานจริง ➡️ ผู้ดูแลระบบต้องตรวจสอบ BIOS ด้วยตนเองเพื่อแยกแยะ false alert ➡️ ปัญหานี้เกิดเฉพาะกับอุปกรณ์ Dell ที่ใช้ Defender for Endpoint ➡️ ไม่ใช่ช่องโหว่ใน BIOS ของ Dell แต่เป็นข้อผิดพลาดในระบบของ Microsoft ➡️ ส่งผลให้เกิดภาระงานและความสับสนในทีม IT ➡️ Microsoft Defender for Endpoint เป็นระบบ XDR ที่ใช้ในองค์กรขนาดใหญ่ทั่วโลก ✅ ข้อมูลเสริมจากภายนอก ➡️ BIOS คือระบบพื้นฐานที่ควบคุมการทำงานของฮาร์ดแวร์ก่อนเข้าสู่ระบบปฏิบัติการ ➡️ การอัปเดต BIOS มีความสำคัญต่อความปลอดภัยระดับล่างของระบบ ➡️ Alert fatigue เป็นภาวะที่ผู้ดูแลระบบเริ่มละเลยการแจ้งเตือนเพราะเจอ false alert บ่อย ➡️ Defender for Endpoint ใช้ในองค์กรภาครัฐ การเงิน และสาธารณสุขอย่างแพร่หลาย ➡️ การตรวจสอบ BIOS ควรทำผ่านช่องทางของ Dell โดยตรงเพื่อความแม่นยำ https://www.techradar.com/pro/security/microsoft-scrambles-to-fix-annoying-defender-issue-that-demands-users-update-their-devices

📧 “Gmail เปิดให้ส่งอีเมลแบบเข้ารหัสข้ามแพลตฟอร์ม — ปลอดภัยขึ้นโดยไม่ต้องแลกเปลี่ยนคีย์” Google ประกาศเปิดตัวฟีเจอร์ใหม่สำหรับ Gmail ที่ช่วยให้ผู้ใช้สามารถส่งอีเมลแบบเข้ารหัสปลายทางถึงปลายทาง (End-to-End Encryption หรือ E2EE) ไปยังผู้รับที่อยู่นอกระบบ Gmail ได้แล้ว เช่น Outlook หรือ Yahoo โดยไม่ต้องใช้วิธีแลกเปลี่ยนใบรับรองดิจิทัลแบบ S/MIME ที่ยุ่งยาก ฟีเจอร์นี้ใช้เทคนิค Client-side Encryption (CSE) ซึ่งหมายถึงการเข้ารหัสเนื้อหาอีเมลตั้งแต่ในเบราว์เซอร์ของผู้ส่ง ก่อนจะถูกส่งไปยังเซิร์ฟเวอร์ของ Google ทำให้แม้แต่ Google เองก็ไม่สามารถเข้าถึงเนื้อหาได้ โดยผู้ใช้สามารถควบคุมคีย์เข้ารหัสได้เองผ่านระบบจัดการคีย์ภายนอกหรือฮาร์ดแวร์สมาร์ตการ์ด สำหรับผู้รับที่ไม่ได้ใช้ Gmail จะได้รับลิงก์ให้เข้าใช้งานผ่านบัญชี Gmail แบบ guest เพื่อเปิดอ่านอีเมลที่ถูกเข้ารหัส ซึ่งช่วยลดความยุ่งยากในการติดตั้งซอฟต์แวร์หรือแลกเปลี่ยนคีย์แบบเดิม ฟีเจอร์นี้เปิดให้ใช้งานเฉพาะลูกค้า Google Workspace Enterprise Plus ที่มี Add-on “Assured Controls” เท่านั้น โดยเริ่มทยอยเปิดใช้งานตั้งแต่ต้นเดือนตุลาคม และคาดว่าจะครอบคลุมผู้ใช้ทั้งหมดภายในกลางเดือน Google ระบุว่าการเปลี่ยนแปลงนี้ช่วยลดภาระของทีม IT และผู้ใช้ทั่วไปในการตั้งค่าระบบเข้ารหัสแบบเดิม พร้อมเพิ่มความปลอดภัย ความเป็นส่วนตัว และอธิปไตยของข้อมูลให้กับองค์กร ✅ ข้อมูลสำคัญจากข่าว ➡️ Gmail รองรับการส่งอีเมลแบบเข้ารหัสปลายทางถึงปลายทาง (E2EE) ไปยังผู้รับนอกระบบ Gmail ➡️ ใช้ Client-side Encryption (CSE) ที่เข้ารหัสในเบราว์เซอร์ก่อนส่งข้อมูล ➡️ ผู้ใช้สามารถควบคุมคีย์เข้ารหัสได้เองผ่านระบบจัดการคีย์ภายนอกหรือสมาร์ตการ์ด ➡️ ผู้รับนอก Gmail จะเปิดอ่านอีเมลผ่านบัญชี guest Gmail โดยไม่ต้องติดตั้งซอฟต์แวร์ ➡️ ฟีเจอร์นี้เปิดให้เฉพาะลูกค้า Google Workspace Enterprise Plus ที่มี Assured Controls ➡️ เริ่มทยอยเปิดใช้งานตั้งแต่ต้นเดือนตุลาคม และคาดว่าจะครบภายในกลางเดือน ➡️ Google ระบุว่าฟีเจอร์นี้ช่วยลดความซับซ้อนของระบบเข้ารหัสแบบเดิม ➡️ ช่วยเพิ่มความปลอดภัย ความเป็นส่วนตัว และอธิปไตยของข้อมูลในองค์กร ✅ ข้อมูลเสริมจากภายนอก ➡️ S/MIME เป็นระบบเข้ารหัสที่ต้องแลกเปลี่ยนใบรับรองดิจิทัลระหว่างผู้ส่งและผู้รับ ➡️ Client-side Encryption ช่วยให้เซิร์ฟเวอร์ไม่สามารถเข้าถึงเนื้อหาอีเมลได้ ➡️ การใช้ guest Gmail account ช่วยให้ผู้รับนอกระบบสามารถเปิดอ่านอีเมลได้ง่ายขึ้น ➡️ Proton Mail ก็มีระบบ E2EE และลิงก์แบบรหัสผ่านสำหรับผู้รับภายนอก ➡️ การเข้ารหัสแบบ CSE ยังสามารถใช้กับ Google Calendar และ Drive ในบางเวอร์ชัน https://www.techradar.com/pro/security/gmail-users-can-now-send-encrypted-emails-even-outside-of-their-organization

🖱️ “Mic-E-Mouse: เมาส์เกมมิ่งกลายเป็นไมโครโฟนลับ — งานวิจัยใหม่เผย AI สามารถดักฟังเสียงผ่านเซนเซอร์เมาส์ได้จริง” ในยุคที่อุปกรณ์ทุกชิ้นอาจกลายเป็นช่องทางละเมิดความเป็นส่วนตัว ล่าสุดทีมนักวิจัยจากมหาวิทยาลัย UC Irvine ได้เปิดเผยเทคนิคใหม่ชื่อว่า “Mic-E-Mouse” ซึ่งสามารถใช้เซนเซอร์ของเมาส์ประสิทธิภาพสูงในการดักฟังเสียงของผู้ใช้ผ่านพื้นโต๊ะ โดยไม่ต้องใช้ไมโครโฟนเลยแม้แต่นิดเดียว หลักการทำงานของ Mic-E-Mouse คือการใช้เซนเซอร์ของเมาส์ที่มี DPI สูง (20,000 DPI ขึ้นไป) และ polling rate สูง ซึ่งสามารถตรวจจับการสั่นสะเทือนเล็ก ๆ จากเสียงพูดที่สะท้อนผ่านพื้นโต๊ะได้ จากนั้นข้อมูลดิบเหล่านี้จะถูกส่งผ่านกระบวนการประมวลผลสัญญาณและโมเดล AI เพื่อแปลงเป็นเสียงพูดที่ฟังรู้เรื่อง สิ่งที่น่าตกใจคือ การโจมตีนี้ไม่จำเป็นต้องใช้มัลแวร์ซับซ้อน เพียงแค่มีซอฟต์แวร์ที่สามารถอ่านข้อมูลจากเมาส์ได้ เช่น แอปสร้างสรรค์หรือเกมบางประเภท ก็สามารถเก็บข้อมูลเหล่านี้ได้แล้ว และเมื่อส่งออกไปประมวลผลนอกเครื่อง ก็สามารถสร้างคลื่นเสียงที่มีความแม่นยำในการรู้จำคำพูดได้ถึง 42–61% ทีมวิจัยใช้เทคนิค Wiener filtering และ neural spectrogram enhancement เพื่อเพิ่มความชัดเจนของเสียง โดยสามารถเพิ่มค่า SNR ได้ถึง +19 dB และแม้จะใช้เมาส์ระดับ consumer ที่มีราคาต่ำกว่า $50 ก็ยังสามารถดักฟังได้อย่างมีประสิทธิภาพ เทคนิคนี้คล้ายกับการดักฟังในยุคสงครามเย็น เช่นกรณี KGB ซ่อนไมโครโฟนไว้ในตรา Great Seal ที่มอบให้ทูตสหรัฐฯ แต่ต่างกันตรงที่ Mic-E-Mouse ใช้ AI และอุปกรณ์ทั่วไปที่ผู้ใช้ไม่เคยสงสัยเลยว่าอาจกลายเป็น “หู” ที่แอบฟังอยู่ตลอดเวลา ✅ ข้อมูลสำคัญจากข่าว ➡️ Mic-E-Mouse เป็นเทคนิคที่ใช้เซนเซอร์เมาส์ในการดักฟังเสียงพูดผ่านพื้นโต๊ะ ➡️ ใช้เมาส์ที่มี DPI สูง (20,000+) และ polling rate สูงในการตรวจจับการสั่นสะเทือน ➡️ ข้อมูลดิบถูกส่งผ่าน Wiener filtering และ neural spectrogram enhancement เพื่อแปลงเป็นเสียง ➡️ ความแม่นยำในการรู้จำคำพูดอยู่ที่ 42–61% และเพิ่ม SNR ได้ถึง +19 dB ➡️ ใช้เมาส์ระดับ consumer ได้ ไม่จำเป็นต้องใช้ฮาร์ดแวร์เฉพาะทาง ➡️ ไม่ต้องใช้มัลแวร์ซับซ้อน แค่ซอฟต์แวร์ที่อ่านข้อมูลเมาส์ก็เพียงพอ ➡️ ข้อมูลสามารถส่งออกไปประมวลผลนอกเครื่องได้โดยไม่ต้องใช้สิทธิ์ระดับระบบ ➡️ เทคนิคนี้ได้รับแรงบันดาลใจจากการดักฟังในยุคสงครามเย็น แต่ใช้ AI แทนไมโครโฟน ✅ ข้อมูลเสริมจากภายนอก ➡️ DPI (dots per inch) คือค่าความละเอียดของเซนเซอร์เมาส์ ยิ่งสูงยิ่งไวต่อการเคลื่อนไหว ➡️ Polling rate คือความถี่ที่เมาส์ส่งข้อมูลไปยังคอมพิวเตอร์ ยิ่งสูงยิ่งแม่นยำ ➡️ Wiener filter เป็นเทคนิคลด noise ในสัญญาณเสียงที่ใช้กันแพร่หลายในงานวิศวกรรมเสียง ➡️ Spectrogram neural enhancement คือการใช้โมเดล AI เพื่อปรับปรุงความชัดของคลื่นเสียง ➡️ การดักฟังผ่านอุปกรณ์ทั่วไปเป็นแนวทางใหม่ของการโจมตีแบบ side-channel https://www.tomshardware.com/tech-industry/cyber-security/high-performance-mice-can-be-used-as-a-microphone-to-spy-on-users-thanks-to-ai-mic-e-mouse-technique-uses-mouse-sensors-to-convert-acoustic-vibrations-into-speech

⚖️ “ศาลเนเธอร์แลนด์สั่ง Meta เคารพสิทธิผู้ใช้ — ต้องให้เลือกฟีดแบบไม่ใช้โปรไฟล์ตามกฎหมาย DSA” ในวันที่โลกออนไลน์ถูกควบคุมด้วยอัลกอริทึมและโฆษณาแบบเจาะจง กลุ่มสิทธิดิจิทัล Bits of Freedom จากเนเธอร์แลนด์ได้ยื่นฟ้อง Meta (เจ้าของ Facebook และ Instagram) ฐานละเมิดกฎหมาย Digital Services Act (DSA) ของสหภาพยุโรป ซึ่งมีเป้าหมายเพื่อให้ผู้ใช้มีสิทธิเลือกเนื้อหาที่ตนเห็นได้อย่างแท้จริง ศาลอัมสเตอร์ดัมตัดสินว่า Meta ละเมิดกฎหมาย DSA โดยไม่ให้ผู้ใช้เลือกฟีดแบบไม่ใช้การวิเคราะห์โปรไฟล์อย่างชัดเจน และแม้ผู้ใช้จะเลือกฟีดแบบไม่ใช้โปรไฟล์ไว้แล้ว แอปก็ยังกลับไปใช้ฟีดแบบอัลกอริทึมทุกครั้งที่เปิดใหม่หรือเปลี่ยนหน้า ซึ่งขัดต่อหลักการ “อำนาจในการเลือก” ที่ DSA กำหนดไว้ ศาลสั่งให้ Meta ปรับปรุงแอปภายในสองสัปดาห์ ให้ผู้ใช้สามารถเข้าถึงฟีดแบบไม่ใช้โปรไฟล์ได้ “โดยตรงและง่าย” และต้องจำค่าการเลือกของผู้ใช้ไว้ ไม่เปลี่ยนกลับโดยอัตโนมัติ หากไม่ปฏิบัติตาม Meta จะถูกปรับวันละ €100,000 สูงสุด €5 ล้าน Bits of Freedom ระบุว่า การที่ผู้ใช้ต้องค้นหาฟีดแบบไม่ใช้โปรไฟล์ที่ถูกซ่อนไว้ และยังถูกตัดฟีเจอร์บางอย่าง เช่น Direct Message ถือเป็นการบิดเบือนสิทธิในการเลือก และเป็นอันตรายต่อประชาธิปไตย โดยเฉพาะในช่วงเลือกตั้งที่กำลังจะเกิดขึ้นในเนเธอร์แลนด์ปลายเดือนนี้ แม้ Meta จะประกาศว่าจะอุทธรณ์คำตัดสิน โดยอ้างว่าได้ปรับระบบตาม DSA แล้ว และควรให้คณะกรรมาธิการยุโรปเป็นผู้กำกับดูแล ไม่ใช่ศาลแต่ละประเทศ แต่คำตัดสินนี้ก็ถือเป็นหมุดหมายสำคัญที่แสดงว่า “แพลตฟอร์มยักษ์ใหญ่ไม่ใช่ผู้แตะต้องไม่ได้” ✅ ข้อมูลสำคัญจากข่าว ➡️ Bits of Freedom ฟ้อง Meta ฐานละเมิดกฎหมาย Digital Services Act (DSA) ➡️ DSA กำหนดให้ผู้ใช้มีสิทธิเลือกเนื้อหาที่เห็นได้อย่างแท้จริง ➡️ ศาลตัดสินว่า Meta ละเมิดสิทธิผู้ใช้โดยไม่ให้เลือกฟีดแบบไม่ใช้โปรไฟล์อย่างถาวร ➡️ แอปของ Meta จะกลับไปใช้ฟีดแบบอัลกอริทึมทุกครั้งที่เปิดใหม่หรือเปลี่ยนหน้า ➡️ ศาลสั่งให้ Meta ปรับแอปภายใน 2 สัปดาห์ ให้เข้าถึงฟีดแบบไม่ใช้โปรไฟล์ได้ง่ายและจำค่าการเลือก ➡️ หากไม่ปฏิบัติตาม Meta จะถูกปรับวันละ €100,000 สูงสุด €5 ล้าน ➡️ ผู้ใช้ที่เลือกฟีดแบบไม่ใช้โปรไฟล์จะถูกตัดฟีเจอร์บางอย่าง เช่น Direct Message ➡️ Meta ระบุว่าจะอุทธรณ์ และควรให้คณะกรรมาธิการยุโรปเป็นผู้กำกับดูแล ✅ ข้อมูลเสริมจากภายนอก ➡️ DSA มีผลบังคับใช้ในปี 2024 เพื่อควบคุมแพลตฟอร์มขนาดใหญ่ในยุโรป ➡️ ฟีดแบบไม่ใช้โปรไฟล์มักเรียกว่า “chronological feed” หรือ “non-personalized feed” ➡️ การใช้อัลกอริทึมเพื่อแสดงเนื้อหาอาจส่งผลต่อการรับรู้และการมีส่วนร่วมทางสังคม ➡️ การซ่อนตัวเลือกฟีดที่ไม่ใช้โปรไฟล์เป็นเทคนิคที่เรียกว่า “dark pattern” ➡️ การตัดฟีเจอร์เมื่อเลือกฟีดแบบไม่ใช้โปรไฟล์อาจละเมิดหลักการ “fair access” https://www.bitsoffreedom.nl/2025/10/02/judge-in-the-bits-of-freedom-vs-meta-lawsuit-meta-must-respect-users-choice/