ช่องโหว่ RCE ใน LangGraph: เสี่ยงถูกควบคุมระบบเต็มรูปแบบผ่าน JsonPlusSerializer

LangGraph ซึ่งเป็นเฟรมเวิร์กยอดนิยมสำหรับการจัดการ agent orchestration โดยเฉพาะในระบบ AI ที่ต้องการความต่อเนื่องและสถานะ (stateful agents) ได้พบช่องโหว่ร้ายแรงระดับ Remote Code Execution (RCE) ที่ถูกระบุด้วยรหัส CVE-2025-64439 และมีคะแนน CVSS สูงถึง 7.4

ช่องโหว่นี้อยู่ใน JsonPlusSerializer ซึ่งเป็นตัวจัดการ checkpoint โดยมี fallback mechanism ที่อันตราย—หากการ serialize ด้วย MessagePack ล้มเหลวเนื่องจาก Unicode ผิดปกติ ระบบจะ fallback ไปใช้ “json” mode ที่เปิดช่องให้ผู้โจมตีสามารถใช้ constructor-style format เพื่อรันโค้ด Python อันตรายได้ทันที

เทคนิคการโจมตี: constructor-style deserialization
LangGraph รองรับการสร้าง object จาก constructor-style format (lc == 2 และ type == "constructor")
หากผู้โจมตีสามารถส่ง payload ที่ trigger json fallback ได้ ก็สามารถรันฟังก์ชัน Python ใดๆ ได้ทันที
ส่งผลให้สามารถควบคุมระบบด้วยสิทธิ์ของ process ที่รัน LangGraph

การแก้ไขและคำแนะนำ
LangGraph ได้ออกแพตช์ในเวอร์ชัน 3.0 ของ langgraph-checkpoint ซึ่งปิดช่องทางการ deserialize object ที่ใช้ constructor-style format

ผู้ใช้ที่ใช้ผ่าน langgraph-api ตั้งแต่เวอร์ชัน 0.5 ขึ้นไป จะไม่ถูกกระทบ

ช่องโหว่ CVE-2025-64439
อยู่ใน JsonPlusSerializer ของ LangGraph
เกิดจาก fallback ไปใช้ json mode เมื่อ MessagePack ล้มเหลว
เปิดช่องให้รันโค้ด Python ผ่าน constructor-style format

ความเสี่ยง
ผู้โจมตีสามารถควบคุมระบบด้วยสิทธิ์ของ process
ส่งผลกระทบต่อระบบ AI agent ที่ใช้ LangGraph ใน production

การแก้ไข
อัปเดต langgraph-checkpoint เป็นเวอร์ชัน 3.0
ผู้ใช้ langgraph-api เวอร์ชัน 0.5+ ไม่ได้รับผลกระทบ

https://securityonline.info/cve-2025-64439-rce-flaw-detected-in-langgraph-agent-orchestration-framework-at-risk/

เมื่อโค้ดดีๆ กลายเป็นระเบิดเวลา: แพ็กเกจ NuGet ปลอมแฝงมัลแวร์ทำลายระบบในวันกำหนด

Socket’s Threat Research Team ได้เปิดเผยการโจมตี supply chain ที่ซับซ้อนในแพลตฟอร์ม NuGet โดยพบว่า 9 แพ็กเกจปลอม ที่เผยแพร่โดยผู้ใช้ชื่อ shanhai666 ได้ถูกดาวน์โหลดไปแล้วกว่า 9,488 ครั้ง และแฝงโค้ดทำลายระบบแบบตั้งเวลาไว้ภายใน

แพ็กเกจเหล่านี้ดูเหมือนจะทำงานได้ดีและมีโค้ดที่ใช้ pattern มาตรฐาน เช่น Repository, Unit of Work และ ORM mapping ซึ่งช่วยให้ผ่านการตรวจสอบโค้ดได้ง่าย แต่แอบฝังโค้ดอันตรายไว้เพียง ~20 บรรทัดที่สามารถ ทำลายระบบหรือข้อมูล ได้เมื่อถึงวันที่กำหนด เช่น 8 สิงหาคม 2027 หรือ 29 พฤศจิกายน 2028

เทคนิคการโจมตี: Extension Method Injection
มัลแวร์ใช้ C# extension methods เพื่อแทรกฟังก์ชันอันตรายเข้าไปใน API ที่ดูปลอดภัย เช่น .Exec() และ .BeginTran() ซึ่งจะถูกเรียกใช้ทุกครั้งที่มีการ query ฐานข้อมูลหรือสื่อสารกับ PLC (Programmable Logic Controller)

หลังจากถึงวันที่ trigger มัลแวร์จะสุ่มเลข 1–100 และหากเกิน 80 (20% โอกาส) จะเรียก Process.GetCurrentProcess().Kill() เพื่อปิดโปรแกรมทันที

ตัวอย่างผลกระทบ
E-commerce (100 queries/min) → crash ภายใน ~3 วินาที
Healthcare (50 queries/min) → crash ภายใน ~6 วินาที
Financial (500 queries/min) → crash ภายใน <1 วินาที
Manufacturing (10 ops/min) → crash ภายใน ~30 วินาที พร้อม silent data corruption

แพ็กเกจที่อันตรายที่สุดคือ Sharp7Extend ซึ่งแฝงตัวเป็น library สำหรับ Siemens S7 PLC โดยรวมโค้ด Sharp7 จริงไว้ด้วยเพื่อให้ดูน่าเชื่อถือ

ลักษณะการโจมตี
ใช้แพ็กเกจ NuGet ที่ดูน่าเชื่อถือและมีโค้ดจริงผสมมัลแวร์
ใช้ extension methods เพื่อแทรกโค้ดอันตรายแบบแนบเนียน
โค้ดจะทำงานเมื่อถึงวันที่ trigger ที่ถูก hardcoded ไว้

ผลกระทบต่อระบบ
ทำให้โปรแกรม crash ทันทีเมื่อ query ฐานข้อมูลหรือสื่อสารกับ PLC
มีโอกาส 20% ต่อการเรียกแต่ละครั้ง—แต่ในระบบที่มี query สูงจะ crash ภายในไม่กี่วินาที
Sharp7Extend ยังทำให้การเขียนข้อมูลล้มเหลวแบบเงียบถึง 80% หลัง 30–90 นาที

เทคนิคการหลบซ่อน
ใช้โค้ดจริงเพื่อหลอกให้ดูน่าเชื่อถือ
ปลอมชื่อผู้เขียนใน .nuspec เพื่อหลบการตรวจสอบ reputation
มีการใช้คำจีนใน DLL เช่น “连接失败” และ “出现异常”

ความเสี่ยงต่อองค์กร
ระบบฐานข้อมูลและ PLC ที่ใช้แพ็กเกจเหล่านี้อาจ crash หรือเสียหายแบบไม่รู้ตัว
การตรวจสอบโค้ดทั่วไปอาจไม่พบ เพราะมัลแวร์ฝังใน extension method ที่ดูปลอดภัย

คำแนะนำด้านความปลอดภัย
ตรวจสอบแพ็กเกจ NuGet ที่ใช้ โดยเฉพาะที่มีชื่อคล้าย Sharp7 หรือมีผู้เขียนไม่ชัดเจน
หลีกเลี่ยงการใช้แพ็กเกจจากผู้ใช้ที่ไม่มีประวัติชัดเจน
ใช้เครื่องมือ static analysis ที่สามารถตรวจจับ extension method injection ได้

https://securityonline.info/nuget-sabotage-time-delayed-logic-in-9-packages-risks-total-app-destruction-on-hardcoded-dates/

AMD เตือนภัย! การจับมือระหว่าง Intel และ Nvidia อาจเป็นจุดเปลี่ยนของอุตสาหกรรมชิป

AMD เผยในรายงานไตรมาสล่าสุดว่าความร่วมมือระหว่าง Intel และ Nvidia อาจสร้างแรงกดดันรุนแรงต่อธุรกิจของตน ทั้งในด้านการแข่งขันและราคาที่อาจทำให้เสียเปรียบในตลาดที่เปลี่ยนแปลงอย่างรวดเร็ว.

ในรายงานไตรมาสเดือนพฤศจิกายน 2025 AMD ได้เปิดเผยความกังวลต่อการร่วมมือระหว่างสองยักษ์ใหญ่แห่งวงการเทคโนโลยี — Intel และ Nvidia ซึ่งอาจส่งผลกระทบต่อความสามารถในการแข่งขันของ AMD อย่างมีนัยสำคัญ

Nvidia ได้ลงทุนกว่า 5 พันล้านดอลลาร์ ใน Intel เพื่อพัฒนาชิปแบบ SoC ที่รวมจุดแข็งของทั้งสองบริษัท โดยเฉพาะในตลาด APU สำหรับเครื่องเล่นเกมพกพา ซึ่งเป็นจุดแข็งของ AMD มานาน หาก Intel และ Nvidia สามารถสร้างชิปที่รวม GPU และ CPU ได้อย่างมีประสิทธิภาพ ก็อาจทำให้ AMD สูญเสียความได้เปรียบทางเทคนิค

นอกจากนี้ AMD ยังกล่าวหาว่า Intel และ Nvidia ใช้ตำแหน่งทางการตลาดเพื่อเสนอราคาที่ก้าวร้าวและสิ่งจูงใจพิเศษแก่ลูกค้าและพันธมิตรช่องทางขาย ซึ่งส่งผลให้ยอดขายและราคาขายเฉลี่ยของ AMD ลดลง

แม้ AMD จะเป็นบริษัทที่มั่นคง แต่ก็ต้องเผชิญกับคู่แข่งที่มีทรัพยากรมหาศาล เช่น Nvidia ที่มีมูลค่าตลาดสูงถึง 5 ล้านล้านดอลลาร์ และ Intel ที่แม้จะมีปัญหาทางการเงิน แต่ยังครองส่วนแบ่งตลาด CPU อย่างแข็งแกร่ง

AMD เตือนว่าความร่วมมือระหว่าง Intel และ Nvidia เป็นความเสี่ยงต่อธุรกิจ
อาจส่งผลต่อยอดขายและกำไรของ AMD
การแข่งขันด้านราคาจะรุนแรงขึ้น
Nvidia ลงทุน $5 พันล้านใน Intel เพื่อพัฒนาชิป SoC
อาจกระทบตลาด APU ที่ AMD เคยครอง

พฤติกรรมทางธุรกิจของคู่แข่งที่ AMD มองว่าไม่เป็นธรรม
Intel ใช้ส่วนแบ่งตลาด CPU เพื่อเสนอราคาก้าวร้าว
Nvidia ใช้ทรัพยากรและระบบซอฟต์แวร์ปิดเพื่อดึงลูกค้า

สถานะของคู่แข่งในตลาด
Nvidia มีมูลค่าตลาดสูงสุดในโลก ณ ปัจจุบัน
Intel ยังครองตลาด CPU แม้จะมีปัญหาทางการเงิน

คำเตือนจาก AMD ต่อผู้ถือหุ้น
ความร่วมมือของคู่แข่งอาจทำให้ AMD ต้องลดราคา
อาจส่งผลต่อความสามารถในการทำกำไรในระยะยาว

ความเสี่ยงต่อการสูญเสียความได้เปรียบทางเทคนิค
หาก Intel/Nvidia พัฒนาชิปที่รวม GPU/CPU ได้สำเร็จ
AMD อาจเสียตำแหน่งในตลาดเกมพกพาและ APU

https://www.tomshardware.com/tech-industry/amd-warns-intel-nvidia-partnership-is-a-business-risk-quarterly-report-outlines-risk-from-increased-competition-and-pricing-pressure

ข้อมูลลูกค้า Hyundai และ Kia เสี่ยงหลุด 2.7 ล้านราย หลังบริษัทไอทีในอเมริกาโดนแฮก

Hyundai AutoEver America (HAEA) บริษัทลูกด้านไอทีของ Hyundai ที่ดูแลระบบในอเมริกาเหนือ ถูกแฮกเกอร์เจาะระบบในช่วงปลายเดือนกุมภาพันธ์ถึงต้นมีนาคม 2025 ส่งผลให้ข้อมูลส่วนตัวของลูกค้ากว่า 2.7 ล้านรายอาจรั่วไหล รวมถึงชื่อ, หมายเลขประกันสังคม (SSN) และใบขับขี่

เหตุการณ์และผลกระทบ
การโจมตีเริ่มขึ้นเมื่อ 22 กุมภาพันธ์ 2025 และถูกหยุดได้ในวันที่ 2 มีนาคม
แม้จดหมายแจ้งเตือนจาก HAEA จะไม่ระบุจำนวนผู้ได้รับผลกระทบ แต่เอกสารที่ยื่นต่อรัฐแมสซาชูเซตส์ระบุว่าข้อมูลที่หลุดมีทั้ง ชื่อ, SSN และใบขับขี่
มีการคาดการณ์ว่าผู้ใช้รถ Hyundai และ Kia ในอเมริกากว่า 2.7 ล้านราย อาจได้รับผลกระทบ

การตอบสนองของบริษัท
HAEA ได้ว่าจ้างผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ไซเบอร์เข้ามาตรวจสอบ
แจ้งหน่วยงานบังคับใช้กฎหมาย และเสนอ บริการตรวจสอบเครดิตและป้องกันการขโมยตัวตนฟรี 2 ปี ผ่านบริษัท Epiq
มีการ “เสริมความแข็งแกร่ง” ให้ระบบความปลอดภัยหลังเหตุการณ์

รายละเอียดการโจมตี
เกิดขึ้นระหว่าง 22 ก.พ. – 2 มี.ค. 2025
ข้อมูลที่รั่วไหล: ชื่อ, หมายเลขประกันสังคม, ใบขับขี่
คาดว่าผู้ใช้รถ 2.7 ล้านรายอาจได้รับผลกระทบ

การตอบสนองของ HAEA
ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์
แจ้งหน่วยงานรัฐและผู้ใช้ที่ได้รับผลกระทบ
เสนอบริการป้องกันตัวตนฟรี 2 ปีผ่าน Epiq

ความเสี่ยงจากข้อมูลที่รั่ว
แฮกเกอร์สามารถใช้ข้อมูลสร้างโปรไฟล์เหยื่อ
เสี่ยงต่อการถูกฟิชชิง, ขโมยบัญชี, หรือหลอกให้โอนเงิน
ข้อมูลที่หลุดอาจถูกขายต่อในตลาดมืด

https://www.techradar.com/pro/security/hyundai-it-services-breach-could-put-2-7-million-hyundai-kia-owners-at-risk

Chrome ปล่อยอัปเดตฉุกเฉิน! แก้ 3 ช่องโหว่ร้ายแรงใน WebGPU และ V8 เสี่ยงถูกโจมตีจากระยะไกล

Google ออกอัปเดตฉุกเฉินสำหรับ Chrome Desktop เวอร์ชัน 142.0.7444.134/.135 เพื่อแก้ไขช่องโหว่ความปลอดภัย 5 รายการ โดยมี 3 รายการที่จัดอยู่ในระดับ “ร้ายแรง” ซึ่งอาจนำไปสู่การเจาะระบบหรือรันโค้ดอันตรายจากระยะไกลได้

Google ได้รับรายงานช่องโหว่จากนักวิจัยด้านความปลอดภัยหลายราย และรีบออกแพตช์เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น โดยช่องโหว่ที่น่ากังวลที่สุดคือ:

1️⃣ CVE-2025-12725 – ช่องโหว่ใน WebGPU ที่เกิดจากการตรวจสอบขอบเขตหน่วยความจำไม่เหมาะสม อาจทำให้แฮกเกอร์สามารถเขียนข้อมูลเกินขอบเขตที่กำหนดได้

2️⃣ CVE-2025-12726 – ช่องโหว่ใน Views component ซึ่งเกี่ยวข้องกับการจัดการ UI ของ Chrome อาจเปิดช่องให้เกิดการเข้าถึงวัตถุที่ไม่ควรเข้าถึง

3️⃣ CVE-2025-12727 – ช่องโหว่ใน V8 engine ซึ่งเป็นกลไกจัดการ JavaScript และ WebAssembly อาจถูกใช้สร้าง payload ที่รันโค้ดอันตรายผ่าน JIT compilation

นอกจากนี้ยังมีช่องโหว่ระดับกลางอีก 2 รายการใน Omnibox ซึ่งอาจนำไปสู่การหลอกลวงผู้ใช้ผ่านการแสดงผลคำแนะนำ URL ที่ไม่ถูกต้อง

Chrome ออกอัปเดตเวอร์ชัน 142.0.7444.134/.135
รองรับ Windows, macOS และ Linux

ช่องโหว่ CVE-2025-12725 ใน WebGPU
เกิดจากการเขียนข้อมูลเกินขอบเขตหน่วยความจำ

ช่องโหว่ CVE-2025-12726 ใน Views component
เกี่ยวข้องกับการจัดการ UI ที่ไม่ปลอดภัย

ช่องโหว่ CVE-2025-12727 ใน V8 engine
อาจถูกใช้สร้าง payload ที่รันโค้ดอันตรายผ่าน JIT

ช่องโหว่ระดับกลางใน Omnibox (CVE-2025-12728 และ CVE-2025-12729)
เสี่ยงต่อการหลอกลวงหรือแสดงผลคำแนะนำ URL ที่ผิด

Google แนะนำให้อัปเดต Chrome ทันที
ไปที่ Settings → Help → About Google Chrome เพื่อเริ่มการอัปเดต

ช่องโหว่ WebGPU มีความเสี่ยงสูง
อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อหลบหนี sandbox และเข้าถึงระบบ

ช่องโหว่ใน V8 engine เป็นเป้าหมายหลักของแฮกเกอร์
มักถูกใช้ใน zero-day exploit ก่อนที่แพตช์จะถูกปล่อย

สาระเพิ่มเติมจากภายนอก
WebGPU เป็น API ใหม่ที่ให้การเข้าถึง GPU โดยตรงในเบราว์เซอร์ ซึ่งช่วยให้การประมวลผลกราฟิกและ machine learning เร็วขึ้น แต่ก็เปิดช่องให้เกิดช่องโหว่ได้ง่ายขึ้น
V8 engine เป็นหัวใจของ Chrome ที่จัดการการทำงานของ JavaScript และ WebAssembly ซึ่งหากถูกโจมตีสำเร็จ อาจทำให้แฮกเกอร์ควบคุมระบบได้ทันที
ช่องโหว่ใน Omnibox แม้จะไม่ร้ายแรงเท่า แต่ก็สามารถใช้ในการหลอกลวงผู้ใช้ผ่านการแสดงผล URL ปลอมได้

การอัปเดต Chrome ครั้งนี้จึงไม่ใช่แค่เรื่องของฟีเจอร์ใหม่ แต่เป็นการป้องกันภัยไซเบอร์ที่อาจเกิดขึ้นได้ทุกเมื่อ หากคุณยังไม่ได้อัปเดต—ถึงเวลายกข้อมือแล้วคลิกอัปเดตทันที!

https://securityonline.info/chrome-emergency-fix-three-high-severity-flaws-in-webgpu-and-v8-engine-risk-rce/

หัวข้อข่าว: ภัยเงียบในองค์กร—เมื่อคนในกลายเป็นความเสี่ยงที่จับต้องไม่ได้

ลองจินตนาการว่าในองค์กรของคุณ มีคนที่คุณไว้ใจที่สุด กลับเป็นผู้ที่อาจสร้างความเสียหายร้ายแรงโดยไม่มีใครทันสังเกต นี่คือภาพรวมจากรายงาน “2025 Insider Risk Report” ที่เผยให้เห็นความจริงอันน่าตกใจเกี่ยวกับภัยคุกคามจากคนในองค์กร ซึ่งกำลังกลายเป็นปัญหาใหญ่ในยุคที่ AI และการทำงานแบบไร้ศูนย์กลางกำลังเติบโต

รายงานนี้สำรวจความคิดเห็นจากผู้บริหารด้านความปลอดภัยไซเบอร์กว่า 600 คน พบว่า 93% มองว่าภัยจากคนในตรวจจับได้ยากพอๆ กับ หรือยากกว่าการโจมตีจากภายนอก และมีเพียง 23% เท่านั้นที่มั่นใจว่าจะสามารถหยุดยั้งได้ก่อนเกิดความเสียหาย

สิ่งที่น่ากังวลคือหลายองค์กรยังคงใช้วิธีการแบบ “ตั้งรับ” โดยไม่สามารถคาดการณ์หรือวิเคราะห์พฤติกรรมที่อาจนำไปสู่ความเสี่ยงได้อย่างมีประสิทธิภาพ ยิ่งไปกว่านั้น มีเพียง 12% เท่านั้นที่มีระบบวิเคราะห์ความเสี่ยงเชิงคาดการณ์อย่างจริงจัง

👁️‍🗨️ มุมมองเพิ่มเติมจากภายนอก

ในโลกไซเบอร์ปัจจุบัน การใช้ AI ไม่ได้จำกัดแค่การป้องกันภัย แต่ยังสามารถถูกใช้โดยผู้ไม่หวังดีเพื่อหลบเลี่ยงการตรวจจับ เช่น การใช้ AI สร้างพฤติกรรมที่ดูเหมือนปกติ หรือการลอบส่งข้อมูลผ่านช่องทางที่ไม่คาดคิด เช่น การใช้แอปแปลภาษา หรือระบบสื่อสารภายในที่ไม่มีการตรวจสอบ

ความท้าทายในการตรวจจับภัยจากคนใน
93% ของผู้บริหารด้านความปลอดภัยไซเบอร์มองว่าภัยจากคนในตรวจจับได้ยากกว่าภัยจากภายนอก
มีเพียง 23% เท่านั้นที่มั่นใจว่าจะสามารถหยุดยั้งได้ก่อนเกิดความเสียหาย

ขาดการวิเคราะห์พฤติกรรมเชิงลึก
มีเพียง 21% ที่รวมข้อมูลจาก HR, ความเครียดทางการเงิน หรือสัญญาณทางจิตสังคมในการตรวจจับ
ส่วนใหญ่ยังพึ่งพาแค่ข้อมูลทางเทคนิค เช่น การเข้าถึงไฟล์หรือระบบ

ขาดระบบคาดการณ์ความเสี่ยง
มีเพียง 12% ที่มีระบบวิเคราะห์ความเสี่ยงเชิงคาดการณ์ที่ใช้งานจริง
องค์กรส่วนใหญ่ยังอยู่ในโหมด “ตั้งรับ” ไม่สามารถคาดการณ์ล่วงหน้าได้

ถ้าคุณทำงานในองค์กรที่มีข้อมูลสำคัญ หรือดูแลระบบความปลอดภัยไซเบอร์ นี่คือสัญญาณเตือนให้คุณเริ่มมอง “คนใน” ด้วยมุมมองใหม่ และพิจารณาใช้เครื่องมือวิเคราะห์พฤติกรรมที่ลึกและแม่นยำมากขึ้นก่อนที่ภัยเงียบจะกลายเป็นภัยจริง.

https://securityonline.info/2025-insider-risk-report-finds-most-organizations-struggle-to-detect-and-predict-insider-risks/

หัวข้อข่าว: “พบช่องโหว่ร้ายแรงใน AMD Zen 5 – RDSEED ให้ค่าผิดพลาด เสี่ยงความมั่นคงของระบบสุ่ม”

AMD ยืนยันช่องโหว่ในชุดคำสั่ง RDSEED ของชิป Zen 5 ที่อาจให้ค่าศูนย์โดยไม่แจ้งความล้มเหลว ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย โดยเตรียมออก microcode แก้ไขในเดือนพฤศจิกายนถึงมกราคม 2026

ในช่วงกลางเดือนตุลาคม 2025 มีการค้นพบข้อผิดพลาดในสถาปัตยกรรม Zen 5 ของ AMD โดยเฉพาะในคำสั่ง RDSEED ซึ่งเป็นคำสั่งที่ใช้สร้างตัวเลขสุ่มระดับฮาร์ดแวร์สำหรับงานด้านความปลอดภัย เช่น การเข้ารหัสและการตรวจสอบสิทธิ์

ปัญหาคือ RDSEED อาจคืนค่า “0” ซึ่งไม่ใช่ค่าที่สุ่มจริง แต่ยังส่งสัญญาณว่า “สำเร็จ” (CF=1) ทำให้ระบบเข้าใจผิดว่าได้รับค่าที่ปลอดภัย ทั้งที่จริงแล้วอาจเป็นค่าผิดพลาด

AMD ยืนยันว่า RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ แต่คำสั่ง 64-bit ยังปลอดภัย โดยแนะนำให้ผู้พัฒนาใช้คำสั่ง 64-bit หรือปิดการใช้งาน RDSEED ไปก่อน

การแก้ไขจะมาในรูปแบบ microcode ผ่าน AGESA firmware โดยเริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน และตามด้วย Ryzen 9000, Ryzen AI 300 และ EPYC Embedded ในช่วงปลายปีถึงต้นปีหน้า

พบช่องโหว่ในคำสั่ง RDSEED ของ AMD Zen 5
RDSEED อาจคืนค่า 0 โดยไม่แจ้งความล้มเหลว (CF=1)

ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย
เช่น การเข้ารหัส, การตรวจสอบสิทธิ์ และการสร้าง session key

คำสั่ง RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ
ส่วน 64-bit RDSEED ยังปลอดภัย

AMD เตรียมออก microcode แก้ไขผ่าน AGESA firmware
เริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน 2025

Ryzen 9000 และ Ryzen AI 300 จะได้รับการแก้ไขปลายเดือนพฤศจิกายน
EPYC Embedded 9000 และ 4005 จะตามมาในเดือนมกราคม 2026

Linux kernel ได้ปิดการใช้งาน RDSEED บน Zen 5 ไปแล้ว
เพื่อป้องกันการใช้คำสั่งที่ไม่ปลอดภัย

ช่องโหว่นี้อาจดูเล็ก แต่ในโลกของความปลอดภัย “ความสุ่ม” คือหัวใจของการป้องกัน และเมื่อมันผิดพลาด แม้เพียงนิดเดียว ก็อาจเปิดช่องให้การโจมตีเกิดขึ้นได้แบบไม่รู้ตัว

https://securityonline.info/high-severity-bug-amd-zen-5-rdseed-flaw-risks-randomness-integrity-microcode-fix-coming/

ปี 2026 กับ 8 เครื่องมือรักษาความปลอดภัยแอปพลิเคชันที่องค์กรไม่ควรมองข้าม

ในยุคที่แอปพลิเคชันกลายเป็นหัวใจของธุรกิจทุกประเภท ความปลอดภัยจึงไม่ใช่แค่ “ตัวเลือก” แต่เป็น “ข้อบังคับ” Hackread ได้รวบรวม 8 เครื่องมือรักษาความปลอดภัยแอปพลิเคชันที่โดดเด่นที่สุดในปี 2026 ซึ่งครอบคลุมตั้งแต่การสแกนช่องโหว่ไปจนถึงการจัดการความเสี่ยงเชิงธุรกิจและการปฏิบัติตามข้อกำหนดอย่างครบวงจร

Apiiro – เครื่องมือที่เน้นการเชื่อมโยงช่องโหว่กับความเสี่ยงทางธุรกิจ
มี Dynamic Risk Mapping, Shift-Left Security และ Compliance Dashboard อัตโนมัติ

Acunetix – สแกนเว็บแอปแบบลึกและแม่นยำ
รองรับ SPAs, GraphQL, WebSockets และมีระบบลด false positives

Detectify – ใช้ข้อมูลจากนักเจาะระบบทั่วโลก
มี Attack Surface Mapping และการสแกนแบบอัตโนมัติที่อัปเดตตามภัยคุกคามใหม่

Burp Suite – เครื่องมือยอดนิยมของนักเจาะระบบ
มี Proxy, Repeater, Intruder และระบบปลั๊กอินที่ปรับแต่งได้

Veracode – แพลตฟอร์มรวม SAST, DAST, SCA และการฝึกอบรมนักพัฒนา
มีระบบคะแนนความเสี่ยงและการบังคับใช้นโยบายอัตโนมัติ

Nikto – เครื่องมือโอเพ่นซอร์สสำหรับตรวจสอบเว็บเซิร์ฟเวอร์
ตรวจพบไฟล์ต้องสงสัย, การตั้งค่าที่ไม่ปลอดภัย และมีฐานข้อมูลช่องโหว่ขนาดใหญ่

Strobes – ระบบจัดการช่องโหว่แบบรวมศูนย์
รวมผลจากหลายแหล่ง, จัดลำดับความเสี่ยง และเชื่อมต่อกับ Jira, Slack, ServiceNow

Invicti (Netsparker) – สแกนช่องโหว่แบบ “พิสูจน์ได้”
ลด false positives โดยการทดลองเจาะจริงในสภาพแวดล้อมควบคุม

เกณฑ์การเลือกเครื่องมือที่ดี
ตรวจพบช่องโหว่ได้ลึกและหลากหลาย
รวมถึงช่องโหว่เชิงตรรกะและการตั้งค่าคลาวด์ผิดพลาด

ครอบคลุมทุกส่วนของระบบ
ตั้งแต่ API, serverless, mobile backend ไปจนถึง container

เชื่อมต่อกับ DevOps ได้ดี
รองรับ pipeline, IDE และระบบ version control

ให้คำแนะนำที่นักพัฒนานำไปใช้ได้จริง
ลดการพึ่งพาผู้เชี่ยวชาญด้านความปลอดภัย

ขยายได้ตามขนาดองค์กร
ใช้ได้ทั้งกับแอปขนาดเล็กและระบบขนาดใหญ่

เครื่องมือที่มี false positives มากเกินไปจะลดประสิทธิภาพทีม
ทำให้ทีมพัฒนาไม่เชื่อถือผลลัพธ์และละเลยช่องโหว่จริง

เครื่องมือที่ไม่รองรับการอัปเดตภัยคุกคามใหม่อาจล้าสมัยเร็ว
เสี่ยงต่อการถูกโจมตีจากช่องโหว่ล่าสุดที่ยังไม่ถูกตรวจพบ

https://hackread.com/top-application-security-tools-2026/

Bluetooth อาจไม่ปลอดภัยอย่างที่คิด! เปิดเผยภัยเงียบจากการเปิด Bluetooth ทิ้งไว้ พร้อมวิธีป้องกันแบบมือโปร

เรื่องราวนี้จะพาคุณไปสำรวจความจริงที่หลายคนมองข้ามเกี่ยวกับการเปิด Bluetooth ทิ้งไว้บนอุปกรณ์ของคุณ ไม่ว่าจะเป็นมือถือ หูฟัง หรือสมาร์ทวอทช์ — ความสะดวกที่มาพร้อมกับความเสี่ยงที่อาจทำให้ข้อมูลส่วนตัวของคุณรั่วไหลโดยไม่รู้ตัว!

Bluetooth เป็นเทคโนโลยีที่ช่วยให้ชีวิตง่ายขึ้น — เชื่อมต่อหูฟัง ส่งไฟล์ หรือใช้อุปกรณ์เสริมแบบไร้สาย แต่ความสะดวกนี้แฝงด้วยภัยเงียบที่หลายคนไม่เคยรู้มาก่อน

เมื่อคุณเปิด Bluetooth ทิ้งไว้โดยไม่ใช้งาน อุปกรณ์ของคุณจะกลายเป็นเป้าหมายของแฮกเกอร์ที่สามารถใช้เทคนิคต่างๆ เช่น “Bluesnarfing” หรือ “Bluejacking” เพื่อเข้าถึงข้อมูลส่วนตัวของคุณโดยไม่ต้องขออนุญาต แม้แต่ร้านค้าก็สามารถใช้ Bluetooth beacon เพื่อติดตามพฤติกรรมของลูกค้าได้อย่างละเอียด

ที่น่าตกใจคือ แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อขโมยข้อมูลสำคัญ เช่น รหัสผ่าน บัญชีธนาคาร หรือแม้แต่ติดตามตำแหน่งของคุณแบบเรียลไทม์ และที่แย่กว่านั้นคือ คุณอาจไม่รู้เลยว่าข้อมูลของคุณถูกขโมยไปแล้ว!

วิธีป้องกันภัย Bluetooth แบบมือโปร
ปิด Bluetooth เมื่อไม่ใช้งาน โดยเฉพาะในพื้นที่สาธารณะ
ปิดฟีเจอร์ “Auto-reconnect” เพื่อป้องกันการเชื่อมต่ออัตโนมัติ
ตั้งค่า Bluetooth ให้เป็น “Undiscoverable” เพื่อไม่ให้คนอื่นเห็นอุปกรณ์ของคุณ
อัปเดตระบบปฏิบัติการและแอปฯ อยู่เสมอ เพื่อป้องกันช่องโหว่จาก BlueBorne
อย่ารับคำขอเชื่อมต่อ Bluetooth ที่ไม่รู้จัก
ตรวจสอบสิทธิ์ของแอปฯ ที่ใช้ Bluetooth ว่าเข้าถึงข้อมูลอะไรบ้าง
ใช้ VPN เพื่อเพิ่มชั้นความปลอดภัยในการเชื่อมต่อ

https://www.slashgear.com/2009834/bluetooth-security-explained-risks-need-know-if-left-one-all-the-time/

Meta ปลดพนักงาน AI กว่า 600 คน! ปรับโครงสร้างใหม่หลัง Llama ไม่ปังเท่าคู่แข่ง

Meta ประกาศปลดพนักงานในแผนก AI กว่า 600 คนในเดือนตุลาคม 2025 โดยเน้นตัดทีมเก่าที่พัฒนาโมเดล Llama และรวมศูนย์การพัฒนาไว้ที่ Meta Superintelligence Labs หลังผลตอบรับจากนักพัฒนาไม่ดีเท่าที่คาด

กลางปี 2025 Meta เคยทุ่มเงินระดับ $100–300 ล้านต่อคนเพื่อดึงนักวิจัย AI ชั้นนำเข้าสู่บริษัท และมีรายงานว่าเสนอแพ็กเกจมูลค่ากว่า $1 พันล้านให้กับนักวิจัยคนหนึ่ง แต่ในเดือนตุลาคมกลับมีการปลดพนักงานกว่า 600 คนจากแผนก AI โดยเฉพาะทีม FAIR ที่เคยพัฒนาโมเดล Llama

การปลดครั้งนี้เกิดขึ้นหลังจาก Meta เปิดตัว Llama รุ่นล่าสุดที่ไม่สามารถสร้างกระแสในชุมชนนักพัฒนาได้เท่ากับ GPT ของ OpenAI, Gemini ของ Google หรือ Claude ของ Anthropic

Meta จึงตัดสินใจรวมทีม AI ไว้ที่ Meta Superintelligence Labs (MSL) ซึ่งเป็นหน่วยงานใหม่ที่เกิดจากการซื้อกิจการ ScaleAI โดยเน้นการพัฒนาโมเดลพื้นฐานและฟีเจอร์ AI ที่ใช้งานได้จริง

แม้จะปลดพนักงานจำนวนมาก แต่ Meta ยืนยันว่าจะยังคงลงทุนใน AI และเปิดรับนักวิจัยระดับสูงต่อไป โดย Alexandr Wang หัวหน้าเจ้าหน้าที่ AI ระบุว่า “การลดทีมจะช่วยให้สมาชิกที่เหลือสร้างผลกระทบได้มากขึ้น”

รายละเอียดการปลดพนักงาน
ปลดพนักงาน AI กว่า 600 คนในเดือนตุลาคม 2025
เน้นตัดทีมเก่า เช่น FAIR ที่พัฒนา Llama
ย้ายการพัฒนาไปที่ Meta Superintelligence Labs (MSL)

เหตุผลเบื้องหลัง
Llama ไม่ได้รับความนิยมในชุมชนนักพัฒนา
เทียบไม่ได้กับ GPT, Gemini, Claude และ Deepseek
Zuckerberg ไม่พอใจกับความคืบหน้าของทีม AI เดิม

ท่าทีของ Meta
ยืนยันว่าจะยังลงทุนใน AI ต่อไป
เปิดรับนักวิจัยระดับสูงเพิ่ม
ทีม TBD Lab ที่รวมดาว AI ยังอยู่ครบ

ผลกระทบที่เกิดขึ้น
นักวิจัยชื่อดังบางคนถูกปลด แต่ได้รับข้อเสนอจากบริษัทอื่นทันที
Meta ยุติโครงการ fact-checking และปลดทีม risk group ด้วย

ความเสี่ยงจากการพึ่งพาโมเดลที่ไม่ติดตลาด
หากโมเดลไม่ถูกนำไปใช้จริง อาจสูญเงินลงทุนมหาศาล
การปลดทีมเก่าอาจทำให้สูญเสียความรู้เชิงลึกที่สะสมมา

ความท้าทายของ Meta ในตลาด AI
คู่แข่งมีผลิตภัณฑ์ที่สร้างรายได้จริงแล้ว
Meta ยังไม่สามารถสร้างโมเดลที่ใช้งานนอกแพลตฟอร์มตัวเองได้

https://www.slashgear.com/2012781/meta-october-2025-ai-layoffs/

YouTube ลบคลิปสอนข้ามข้อจำกัด Windows 11 อ้างเสี่ยงอันตรายต่อชีวิต!

YouTube ลบวิดีโอจากช่อง CyberCPU Tech ที่สาธิตวิธีข้ามข้อกำหนดบัญชีและฮาร์ดแวร์ของ Windows 11 โดยอ้างว่าเนื้อหา “ส่งเสริมกิจกรรมอันตรายหรือผิดกฎหมายที่เสี่ยงต่ออันตรายทางร่างกายหรือเสียชีวิต”

Rich เจ้าของช่อง CyberCPU Tech โพสต์วิดีโอสาธิตวิธีติดตั้ง Windows 11 โดยไม่ใช้บัญชี Microsoft และข้ามข้อกำหนดฮาร์ดแวร์อย่าง TPM 2.0 ซึ่งเป็นข้อจำกัดที่ผู้ใช้หลายคนไม่พอใจ โดยเฉพาะผู้ที่ยังใช้เครื่องรุ่นเก่า

แต่ไม่กี่วันหลังจากโพสต์ วิดีโอเหล่านั้นถูก YouTube ลบออก พร้อมคำอธิบายว่าเนื้อหา “ละเมิดนโยบายเกี่ยวกับเนื้อหาที่เป็นอันตรายหรือเสี่ยงต่อชีวิต” Rich ยื่นอุทธรณ์ แต่คำตอบที่ได้ก็ยังคลุมเครือ และไม่มีการระบุชัดเจนว่าเนื้อหาใดผิดกฎ

Rich ตั้งข้อสงสัยว่า Microsoft อาจอยู่เบื้องหลังการแจ้งลบ แม้จะไม่มีหลักฐานชัดเจน และยอมรับว่า YouTube มีสิทธิ์ควบคุมเนื้อหาบนแพลตฟอร์มของตน แต่ก็วิจารณ์ว่า “การต้องเดาว่าทำผิดอะไร” เป็นเรื่องที่น่าหงุดหงิด

เหตุการณ์นี้สะท้อนถึงความตึงเครียดระหว่างผู้ใช้ที่ต้องการควบคุมเครื่องของตนเอง กับบริษัทเทคโนโลยีที่กำหนดข้อจำกัดมากขึ้นเรื่อย ๆ โดยเฉพาะในยุคที่ Windows 10 กำลังจะสิ้นสุดการสนับสนุน และ Microsoft ผลักดันให้ผู้ใช้เปลี่ยนไปใช้ Copilot+ PC

ช่อง CyberCPU Tech โพสต์วิดีโอสอนข้ามข้อจำกัด Windows 11
วิธีใช้บัญชี local แทน Microsoft account
วิธีติดตั้งบนเครื่องที่ไม่มี TPM 2.0

YouTube ลบวิดีโอโดยอ้างละเมิดนโยบายเนื้อหาอันตราย
ระบุว่า “ส่งเสริมกิจกรรมที่เสี่ยงต่ออันตรายหรือเสียชีวิต”
ไม่ให้เหตุผลเฉพาะเจาะจงว่าผิดตรงไหน

เจ้าของช่องตั้งข้อสงสัยว่า Microsoft อาจมีส่วนเกี่ยวข้อง
ไม่มีหลักฐานชัดเจน แต่เกิดขึ้นในช่วงที่ Microsoft เร่งผลักดัน Windows 11
ผู้ใช้บางส่วนหันไปใช้ Mac แทน Copilot+ PC

ความไม่โปร่งใสในการลบเนื้อหา
ผู้สร้างเนื้อหาไม่สามารถรู้ได้ว่าอะไรละเมิดกฎ
ต้องเดาและปรับเนื้อหาเองเพื่อหลีกเลี่ยงการถูกลบ

https://www.tomshardware.com/tech-industry/big-tech/windows-11-videos-demonstrating-account-and-hardware-requirements-bypass-purged-from-youtube-platform-says-content-encourages-dangerous-or-illegal-activities-that-risk-serious-physical-harm-or-death

CISOs ควรปรับแนวคิดเรื่องความเสี่ยงจากผู้ให้บริการหรือไม่? — เมื่อ AI และบริการภายนอกซับซ้อนขึ้น

บทความจาก CSO Online ชี้ให้เห็นว่าผู้บริหารด้านความปลอดภัย (CISO) กำลังเผชิญกับความท้าทายใหม่ในการจัดการความเสี่ยงจากผู้ให้บริการภายนอก (MSP/MSSP) โดยเฉพาะเมื่อบริการเหล่านี้มีความสำคัญและซับซ้อนมากขึ้น เช่น การจัดการระบบคลาวด์, AI, และศูนย์ปฏิบัติการด้านความปลอดภัย (SOC)

ความเสี่ยงที่เพิ่มขึ้น
47% ขององค์กรพบเหตุการณ์โจมตีหรือข้อมูลรั่วไหลจาก third-party ภายใน 12 เดือน
บอร์ดบริหารกดดันให้ CISO แสดงความมั่นใจในความปลอดภัยของพันธมิตร
การตรวจสอบผู้ให้บริการกลายเป็นภาระหนักทั้งต่อองค์กรและผู้ให้บริการ

ความซับซ้อนของบริการ
MSP/MSSP ไม่ใช่แค่ให้บริการพื้นฐาน แต่รวมถึง threat hunting, data warehousing, AI tuning
การประเมินความเสี่ยงต้องครอบคลุมตั้งแต่ leadership, GRC, SDLC, SLA ไปจนถึง disaster recovery

ความสัมพันธ์มากกว่าการตรวจสอบ
CISOs ควรเริ่มจากการสร้างความสัมพันธ์ก่อน แล้วจึงเข้าสู่การประเมินอย่างเป็นทางการ
การสนทนาเปิดเผยช่วยสร้างความไว้วางใจมากกว่าการกรอกแบบฟอร์ม

คำถามแนะนำสำหรับการประเมินผู้ให้บริการ
ใครรับผิดชอบด้าน cybersecurity และรายงานต่อใคร?
มีการใช้ framework ใด และตรวจสอบอย่างไร?
มีการทดสอบเชิงรุก เช่น pen test, crisis drill หรือไม่?
มีการฝึกอบรมพนักงานด้านภัยคุกคามหรือไม่?

บทบาทของ AI
AI เพิ่มความเสี่ยงใหม่ แต่ก็ช่วยตรวจสอบพันธมิตรได้ดีขึ้น
มีการติดตามการรับรอง ISO 42001 สำหรับ AI governance
GenAI สามารถช่วยค้นหาข้อมูลสาธารณะของผู้ให้บริการเพื่อยืนยันความน่าเชื่อถือ

ข้อเสนอแนะสำหรับ CISOs
เปลี่ยนจาก “แบบสอบถาม” เป็น “บทสนทนา” เพื่อเข้าใจความคิดของพันธมิตร
มองความเสี่ยงเป็น “ความรับผิดชอบร่วม” ไม่ใช่แค่การโยนภาระ
ใช้ AI เพื่อเสริมการตรวจสอบ ไม่ใช่แทนที่การประเมินเชิงมนุษย์

https://www.csoonline.com/article/4075982/do-cisos-need-to-rethink-service-provider-risk.html

Apache Tomcat ออกแพตช์ด่วน อุดช่องโหว่ URL Rewrite Bypass เสี่ยงถูกเจาะระบบและฉีดคำสั่งผ่าน Console

Apache Software Foundation ได้ออกแพตช์ความปลอดภัยสำหรับ Apache Tomcat เพื่อแก้ไขช่องโหว่ร้ายแรง 3 รายการ ได้แก่ CVE-2025-55752, CVE-2025-55754 และ CVE-2025-61795 ซึ่งอาจนำไปสู่การเจาะระบบจากระยะไกล (RCE), การฉีดคำสั่งผ่าน Console และการทำให้ระบบล่มจากการอัปโหลดไฟล์

ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-55752 เกิดจากการจัดการ URL rewrite ที่ผิดพลาด โดยระบบจะ normalize URL ก่อน decode ซึ่งเปิดช่องให้แฮกเกอร์สามารถหลบเลี่ยงข้อจำกัดด้านความปลอดภัย เช่น การเข้าถึงโฟลเดอร์ /WEB-INF/ และ /META-INF/ ได้

หากระบบเปิดให้ใช้ HTTP PUT ร่วมกับ rewrite URI ก็อาจถูกใช้ในการอัปโหลดไฟล์อันตรายเข้าสู่เซิร์ฟเวอร์ และนำไปสู่การเจาะระบบจากระยะไกล (RCE) ได้ แม้ Apache จะระบุว่าการโจมตีลักษณะนี้ “ไม่น่าจะเกิดขึ้น” ในการตั้งค่าทั่วไป แต่ก็ยังถือว่าเป็นความเสี่ยงที่ต้องรีบอุด

อีกช่องโหว่ CVE-2025-55754 เกิดขึ้นในระบบ Console บน Windows ที่รองรับ ANSI escape sequences ซึ่งแฮกเกอร์สามารถใช้ URL ที่ออกแบบมาเฉพาะเพื่อฉีดคำสั่งลงใน Console และ Clipboard ได้

ช่องโหว่สุดท้าย CVE-2025-61795 เกิดจากการจัดการไฟล์ multipart upload ที่ผิดพลาด โดยไฟล์ชั่วคราวที่อัปโหลดจะไม่ถูกลบทันทีเมื่อเกิดข้อผิดพลาด ทำให้พื้นที่จัดเก็บอาจเต็มจนระบบล่มได้

ช่องโหว่ CVE-2025-55752
เกิดจากการจัดการ URL rewrite ที่ผิดพลาด
เปิดช่องให้หลบเลี่ยงข้อจำกัดด้านความปลอดภัย
เสี่ยงถูกอัปโหลดไฟล์อันตรายผ่าน HTTP PUT
อาจนำไปสู่การเจาะระบบจากระยะไกล (RCE)

ช่องโหว่ CVE-2025-55754
Console บน Windows รองรับ ANSI escape sequences
แฮกเกอร์สามารถฉีดคำสั่งผ่าน URL ที่ออกแบบเฉพาะ
ส่งผลต่อ Console และ Clipboard ของผู้ดูแลระบบ

ช่องโหว่ CVE-2025-61795
เกิดจากการจัดการไฟล์ multipart upload ที่ผิดพลาด
ไฟล์ชั่วคราวไม่ถูกลบทันทีเมื่อเกิดข้อผิดพลาด
เสี่ยงทำให้พื้นที่จัดเก็บเต็มและระบบล่ม

เวอร์ชันที่ได้รับผลกระทบ
Tomcat 9.0.0.M11 ถึง 9.0.108
Tomcat 10.1.0-M1 ถึง 10.1.44
Tomcat 11.0.0-M1 ถึง 11.0.10

เวอร์ชันที่ควรอัปเดต
Tomcat 9.0.109
Tomcat 10.1.45
Tomcat 11.0.11 (หรือใหม่กว่า)

คำเตือนสำหรับผู้ดูแลระบบ
ควรอัปเดต Tomcat เป็นเวอร์ชันล่าสุดทันที
หลีกเลี่ยงการเปิดใช้ HTTP PUT ร่วมกับ rewrite URI
ตรวจสอบการตั้งค่า Console บน Windows ที่รองรับ ANSI
ควรมีระบบจัดการไฟล์ชั่วคราวที่ปลอดภัยและมีประสิทธิภาพ

https://securityonline.info/apache-tomcat-patches-url-rewrite-bypass-cve-2025-55752-risking-rce-and-console-ansi-injection/

“AI พลิกโฉมการเงิน: ที่ปรึกษากลยุทธ์ช่วยสถาบันการเงินรับมือความเสี่ยงยุคดิจิทัล”

ตอนนี้วงการการเงินกำลังเปลี่ยนแปลงครั้งใหญ่ เพราะ AI ไม่ได้แค่เข้ามาช่วยคิดเลขหรือวิเคราะห์ข้อมูลธรรมดา ๆ แล้วนะ มันกลายเป็นเครื่องมือหลักในการจัดการความเสี่ยง ป้องกันการโกง และตัดสินใจเชิงกลยุทธ์แบบที่มนุษย์ทำคนเดียวไม่ไหว

AI ในภาคการเงินตอนนี้ฉลาดมากถึงขั้นตรวจจับธุรกรรมที่น่าสงสัยได้แบบเรียลไทม์ วิเคราะห์ข้อมูลมหาศาลเพื่อหาความผิดปกติ และช่วยให้สถาบันการเงินตอบสนองต่อภัยคุกคามได้ทันที ที่เด็ดคือมันยังช่วยปรับปรุงการตัดสินใจเรื่องการลงทุน การให้เครดิต และการบริหารพอร์ตได้อย่างแม่นยำด้วย

แต่การจะใช้ AI ให้เวิร์กจริง ๆ ไม่ใช่แค่ซื้อระบบมาแล้วจบ ต้องมี “ที่ปรึกษากลยุทธ์ด้าน AI” มาช่วยวางแผนให้ตรงกับเป้าหมายธุรกิจ ตรวจสอบความเสี่ยงตั้งแต่ต้น และออกแบบระบบให้เข้ากับโครงสร้างเดิมขององค์กร

AI ช่วยจัดการความเสี่ยงและป้องกันการโกงในภาคการเงิน
วิเคราะห์ข้อมูลจำนวนมากเพื่อหาความผิดปกติ
ตรวจจับธุรกรรมที่น่าสงสัยแบบเรียลไทม์
ลดผลกระทบทางการเงินจากการโกงและช่วยให้ปฏิบัติตามกฎระเบียบ

AI ช่วยตัดสินใจเชิงกลยุทธ์ด้วยข้อมูลเชิงลึก
วิเคราะห์แนวโน้มตลาดและคาดการณ์ผลลัพธ์ในอนาคต
ปรับปรุงการตัดสินใจเรื่องการลงทุนและการบริหารความเสี่ยง
ใช้ข้อมูลย้อนหลังและการวิเคราะห์เชิงคาดการณ์เพื่อเพิ่มประสิทธิภาพ

AI เพิ่มประสิทธิภาพการทำงานโดยอัตโนมัติ
ลดเวลาและข้อผิดพลาดจากงานซ้ำ ๆ เช่น การป้อนข้อมูลและการจัดทำรายงาน
ใช้ chatbot และผู้ช่วยเสมือนในการตอบคำถามลูกค้า
เพิ่มความเร็วในการให้บริการและลดต้นทุน

AI ช่วยปรับปรุงประสบการณ์ลูกค้าแบบเฉพาะบุคคล
วิเคราะห์พฤติกรรมลูกค้าเพื่อเสนอคำแนะนำที่ตรงใจ
สร้างแคมเปญการตลาดเฉพาะบุคคลเพื่อเพิ่มการมีส่วนร่วม
พัฒนาระบบ self-service ที่ตอบโจทย์ลูกค้าแต่ละราย

AI ช่วยให้สถาบันการเงินปฏิบัติตามกฎระเบียบได้ง่ายขึ้น
ตรวจสอบความปลอดภัยของข้อมูลและการเข้ารหัส
ปรับระบบให้สอดคล้องกับกฎหมายที่เปลี่ยนแปลง
ลดความเสี่ยงด้านกฎหมายและการละเมิดข้อมูล

บทบาทของที่ปรึกษากลยุทธ์ AI ในการเงิน
วางแผนการใช้ AI ให้สอดคล้องกับเป้าหมายธุรกิจ
ตรวจสอบความเสี่ยงและความปลอดภัยของระบบ AI
พัฒนาโซลูชัน AI ที่เหมาะกับความต้องการเฉพาะของแต่ละองค์กร
ปรับปรุงประสิทธิภาพของโมเดล AI อย่างต่อเนื่อง
เชื่อมต่อระบบ AI เข้ากับโครงสร้างเดิมขององค์กรอย่างราบรื่น

https://hackread.com/ai-financial-sector-consulting-navigate-risk/

Microsoft ออกแพตช์ฉุกเฉินอุดช่องโหว่ร้ายแรงใน Windows Server – เสี่ยงโดนแฮกแบบไม่ต้องคลิก!

Microsoft ได้ออกแพตช์ความปลอดภัยฉุกเฉินเพื่ออุดช่องโหว่ร้ายแรงใน Windows Server Update Services (WSUS) ซึ่งอาจเปิดทางให้แฮกเกอร์โจมตีแบบ remote code execution (RCE) โดยไม่ต้องมีการยืนยันตัวตนหรือการคลิกใด ๆ จากผู้ใช้

ช่องโหว่นี้มีรหัส CVE-2025-59287 และได้คะแนนความรุนแรงสูงถึง 9.8/10 โดยเกิดจากการ “deserialization ของข้อมูลที่ไม่ปลอดภัย” ซึ่งทำให้แฮกเกอร์สามารถรันโค้ดอันตรายด้วยสิทธิ์ SYSTEM ได้ทันที หาก WSUS เปิดใช้งานอยู่

แม้ Microsoft จะรวมแพตช์ไว้ในอัปเดต Patch Tuesday ประจำเดือนตุลาคม 2025 แล้ว แต่เมื่อมีโค้ดโจมตี (PoC) เผยแพร่ออกสู่สาธารณะ บริษัทจึงรีบออกอัปเดตแบบ out-of-band (OOB) เพื่อกระตุ้นให้ผู้ดูแลระบบติดตั้งแพตช์โดยด่วน

รายละเอียดช่องโหว่ CVE-2025-59287
ช่องโหว่ใน Windows Server Update Services (WSUS)
ประเภท: deserialization ของข้อมูลที่ไม่ปลอดภัย
ความรุนแรง: 9.8/10 (Critical)
เปิดทางให้แฮกเกอร์รันโค้ดด้วยสิทธิ์ SYSTEM โดยไม่ต้องยืนยันตัวตน

การตอบสนองของ Microsoft
แพตช์รวมอยู่ใน Patch Tuesday ตุลาคม 2025
ออกอัปเดตฉุกเฉินแบบ OOB หลังพบโค้ดโจมตีถูกเผยแพร่
แนะนำให้ติดตั้งอัปเดตทันทีและรีบูตเครื่อง
เซิร์ฟเวอร์ที่ยังไม่เปิดใช้ WSUS จะไม่เสี่ยง

วิธีลดความเสี่ยง (หากยังไม่สามารถอัปเดตได้ทันที)
ปิดการใช้งาน WSUS Server Role
หรือบล็อกพอร์ต 8530 และ 8531 บน firewall
หมายเหตุ: การบล็อกพอร์ตจะทำให้เครื่องลูกข่ายไม่ได้รับอัปเดต

https://www.techradar.com/pro/security/microsoft-issues-emergency-windows-server-security-patch-update-now-or-risk-attack

Shadow Escape: ช่องโหว่ใหม่ใน AI Assistant เสี่ยงทำข้อมูลผู้ใช้รั่วไหลมหาศาล

นักวิจัยจาก Operant AI ได้เปิดเผยการโจมตีแบบใหม่ที่เรียกว่า “Shadow Escape” ซึ่งเป็นการโจมตีแบบ “zero-click” ที่สามารถขโมยข้อมูลส่วนตัวของผู้ใช้ผ่าน AI Assistant โดยไม่ต้องให้ผู้ใช้คลิกหรือตอบสนองใดๆ เลย จุดอ่อนนี้เกิดจากการใช้มาตรฐาน Model Context Protocol (MCP) ที่ช่วยให้ AI อย่าง ChatGPT, Gemini และ Claude เชื่อมต่อกับระบบภายในขององค์กร เช่น ฐานข้อมูลหรือ API ต่างๆ

สิ่งที่น่ากังวลคือ Shadow Escape สามารถซ่อนคำสั่งอันตรายไว้ในไฟล์ธรรมดา เช่น คู่มือพนักงานหรือ PDF ที่ดูไม่มีพิษภัย เมื่อพนักงานอัปโหลดไฟล์เหล่านี้ให้ AI ช่วยสรุปหรือวิเคราะห์ คำสั่งที่ซ่อนอยู่จะสั่งให้ AI ดึงข้อมูลส่วนตัวของลูกค้า เช่น หมายเลขประกันสังคม (SSN), ข้อมูลการเงิน, หรือเวชระเบียน แล้วส่งออกไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี โดยที่ระบบความปลอดภัยทั่วไปไม่สามารถตรวจจับได้ เพราะการเข้าถึงข้อมูลเกิดขึ้นภายในระบบที่ได้รับอนุญาตอยู่แล้ว

1️⃣ ลักษณะของการโจมตี
จุดเริ่มต้นของการโจมตี
ใช้ไฟล์ธรรมดา เช่น PDF หรือเอกสาร Word ที่ฝังคำสั่งลับ
พนักงานอัปโหลดไฟล์ให้ AI ช่วยสรุปหรือวิเคราะห์
คำสั่งลับจะสั่งให้ AI ดึงข้อมูลจากระบบภายใน

จุดอ่อนที่ถูกใช้
มาตรฐาน Model Context Protocol (MCP) ที่เชื่อม AI กับระบบองค์กร
การตั้งค่า permission ของ MCP ที่ไม่รัดกุม
AI มีสิทธิ์เข้าถึงข้อมูลโดยตรง จึงไม่ถูกระบบรักษาความปลอดภัยภายนอกตรวจจับ

2️⃣ ข้อมูลที่ตกอยู่ในความเสี่ยง
ประเภทของข้อมูลที่อาจรั่วไหล
หมายเลขประกันสังคม (SSN)
ข้อมูลบัตรเครดิตและบัญชีธนาคาร
เวชระเบียนและข้อมูลสุขภาพ
ชื่อ ที่อยู่ และข้อมูลส่วนตัวของลูกค้า

คำเตือน
การรั่วไหลอาจเกิดขึ้นโดยที่พนักงานไม่รู้ตัว
ข้อมูลอาจถูกส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยไม่มีการแจ้งเตือน

3️⃣ ทำไมระบบความปลอดภัยทั่วไปจึงไม่สามารถป้องกันได้
ลักษณะของการโจมตีแบบ “zero-click”
ไม่ต้องการให้ผู้ใช้คลิกลิงก์หรือทำอะไร
ใช้ AI ที่มีสิทธิ์เข้าถึงข้อมูลเป็นเครื่องมือในการขโมยข้อมูล
การส่งข้อมูลออกถูกพรางให้ดูเหมือนเป็นการทำงานปกติของระบบ

คำเตือน
ระบบ firewall และระบบตรวจจับภัยคุกคามทั่วไปไม่สามารถแยกแยะพฤติกรรมนี้ได้
การใช้ AI โดยไม่มีการควบคุมสิทธิ์อย่างเข้มงวด อาจกลายเป็นช่องโหว่ร้ายแรง

4️⃣ ข้อเสนอแนะจากนักวิจัย
แนวทางป้องกัน
ตรวจสอบและจำกัดสิทธิ์ของ AI Assistant ในการเข้าถึงข้อมูล
ปรับแต่ง permission ของ MCP ให้เหมาะสมกับระดับความเสี่ยง
ตรวจสอบไฟล์ที่อัปโหลดเข้าระบบอย่างละเอียดก่อนให้ AI ประมวลผล

คำเตือน
องค์กรที่ใช้ AI Assistant โดยไม่ตรวจสอบการตั้งค่า MCP อาจตกเป็นเหยื่อได้ง่าย
การละเลยการ audit ระบบ AI อาจนำไปสู่การรั่วไหลของข้อมูลระดับ “หลายล้านล้านรายการ”

https://hackread.com/shadow-escape-0-click-attack-ai-assistants-risk/

“LLM Brain Rot – โมเดลภาษาก็ ‘สมองเน่า’ ได้ ถ้าเสพข้อมูลขยะมากเกินไป!”

งานวิจัยล่าสุดจากทีม Xing et al. เสนอแนวคิดใหม่ที่สะเทือนวงการ AI: โมเดลภาษาขนาดใหญ่ (LLMs) อาจเกิด “สมองเน่า” หรือ Brain Rot ได้ หากถูกฝึกด้วยข้อมูลขยะจากอินเทอร์เน็ตอย่างต่อเนื่อง โดยเฉพาะโพสต์จาก Twitter/X ที่เน้นความสั้นและความนิยมมากกว่าคุณภาพเนื้อหา

นักวิจัยสร้างชุดข้อมูล “junk” และ “control” จากโพสต์จริง โดยใช้สองเกณฑ์คือ M1 (ระดับ engagement เช่น ไลก์ รีทวีต) และ M2 (คุณภาพเชิงเนื้อหา เช่น clickbait vs. ข้อเท็จจริง) แล้วนำไปฝึกโมเดล 4 ตัวแบบต่อเนื่อง ก่อนวัดผลด้าน reasoning, memory, safety และ personality

ผลลัพธ์ชัดเจน: โมเดลที่ถูกฝึกด้วยข้อมูล junk มีความสามารถลดลงอย่างมีนัยสำคัญ เช่น คะแนน ARC-Challenge แบบ Chain of Thought ลดจาก 74.9 เหลือ 57.2 และ RULER-CWE ลดจาก 84.4 เหลือ 52.3 เมื่อ junk ratio เพิ่มขึ้นจาก 0% เป็น 100%

ที่น่าตกใจคือ แม้จะพยายามแก้ด้วย instruction tuning หรือฝึกใหม่ด้วยข้อมูลคุณภาพสูง ก็ไม่สามารถฟื้นความสามารถเดิมได้หมด แสดงว่า “สมองเน่า” มีผลถาวรบางส่วน

งานนี้จึงเสนอให้มองการคัดกรองข้อมูลฝึกโมเดลเป็นเรื่อง “สุขภาพจิตของ AI” และเรียกร้องให้มีการตรวจสุขภาพโมเดลเป็นระยะ เพื่อป้องกันการเสื่อมถอยของความสามารถโดยไม่รู้ตัว

แนวคิดหลักของงานวิจัย
เสนอ “LLM Brain Rot Hypothesis” – โมเดลเสื่อมความสามารถจากข้อมูลขยะ
ใช้ continual pre-training บนข้อมูล junk จาก Twitter/X
วัดผลด้าน reasoning, memory, safety, personality
พบว่าความสามารถลดลงอย่างมีนัยสำคัญ

วิธีการทดลอง
สร้างชุดข้อมูล junk/control จากโพสต์จริง
ใช้เกณฑ์ M1 (engagement) และ M2 (semantic quality)
ฝึกโมเดล 4 ตัวแบบต่อเนื่อง
ใช้ instruction tuning เพื่อควบคุม format

ผลกระทบที่พบ
Reasoning ลดลง เช่น ARC-Challenge COT: 74.9 → 57.2
Long-context memory ลดลง เช่น RULER-CWE: 84.4 → 52.3
Safety ลดลง เช่น HH-RLHF risk เพิ่มขึ้น
Personality เปลี่ยน เช่น psychopathy, narcissism เพิ่มขึ้น

ข้อค้นพบเชิงลึก
Thought-skipping คือ failure mode หลัก – โมเดลข้ามขั้นตอน reasoning
การแก้ด้วย instruction tuning ฟื้นได้บางส่วนแต่ไม่หมด
ความนิยมของโพสต์ (M1) เป็นตัวชี้วัด brain rot ที่ดีกว่าความยาว
ผลกระทบมีลักษณะ dose-response – ยิ่ง junk มาก ยิ่งเสื่อมมาก

ข้อเสนอจากงานวิจัย
มองการคัดกรองข้อมูลฝึกเป็น “สุขภาพจิตของ AI”
ควรมี “cognitive health check” สำหรับโมเดลที่ deploy แล้ว
ปรับแนวทางการ curate ข้อมูลฝึกใหม่
หลีกเลี่ยงการใช้ข้อมูล engagement-driven โดยไม่กรอง

ข้อควรระวังและคำเตือน
การใช้ข้อมูลจากโซเชียลโดยไม่กรอง อาจทำให้โมเดลเสื่อมถอย
การฝึกต่อเนื่องโดยไม่ตรวจสุขภาพ อาจสะสมความเสียหาย
การพึ่งพา instruction tuning อย่างเดียวไม่สามารถฟื้นฟูได้หมด
โมเดลที่เสื่อมอาจมีพฤติกรรมไม่ปลอดภัยหรือไม่พึงประสงค์
การวัดคุณภาพข้อมูลต้องใช้หลายมิติ ไม่ใช่แค่ semantic หรือ engagement

https://llm-brain-rot.github.io/

ผลัดกันล้วง ตอนที่ 3
นิทานเรื่องจริง เรื่อง “ผลัดกันล้วง”
ตอนที่ 3

ประมาณเดือนพฤศจิกายน 2014 สถาบัน European Leadership Network (ELN) ได้ออกรายงานยาวประมาณ 20 หน้า ชื่อ Dangerous Brinkmanship: Close Military Encounters Between Russia and the West in 2014 บรรยายอย่างละเอียดถึงความประพฤติของรัสเซีย ซึ่งถ้าเปรียบกับนักเรียน ก็เป็นประเภทนักเรียนเกเร ที่ถูกครูใหญ่ดุประจาน ต่อหน้านักเรียนทั้งโรงเรียน ตอนเคารพธงชาติน่ะครับ

ครูอี (ELN) บอกว่า ตั้งแต่รัสเซียปฏิบัติการผนวกไครเมียเมื่อเดือนมีนาคมที่ผ่านมา ความตึงเครียดระหว่างตะวันตกกับรัสเซียเพิ่มจำนวน และเพิ่มความน่าระทึกใจขึ้นทุกที ครูอี นี่ท่าทางเข้มงวด แต่ขวัญอ่อนนะ ครูอีบอกว่า ผ่านมาแค่ 8 เดือน รัสเซียก่อเหตุ ประมาณ 40 ครั้ง มากกว่าปีที่แล้ว 3 เท่า แยกการก่อเหตุ เป็น 3 ประเภท คือ

– กึ่งปฏิบัติการประจำ (near routine)
– ปฏิบัติการยั่วยุ (provacative nature)
– ปฏิบัติการสร้างความเสียว (serious with evident risk of escalation)

ปฏิบัติการสร้างความเสียวมี 3 ครั้ง ( น้อยจังคุณพี่ พวกขวัญอ่อนนี่ น่าจะให้เสียวมากกว่านี้หน่อยนะ เป็นการฝึกหัดให้อดทน)

ครั้งที่ 1 เมื่อ 3 มีนาคม 2014 รายการบินเฉี่ยวหัวครั้งแรก ผู้ถูกเฉี่ยวคือ เครื่อง SAS ขวัญใจคุณพี่ปูติน สงสัยจะแอบชอบแอร์สาวชาวสแกน (ฮา) บินขึ้นจาก กรุงโคเปนฮาเกน ก็เกือบจ้ะเอ๋กับเครื่องลาดตระเวนของรัสเซีย ที่ไม่เปิดเรดาร์ แหมเวลาแอบดูสาว ใครเขาเปิดไฟกันบ้างเนอะ

ครั้งที่ 2 วันที่ 5 กันยายน 2014 นาย Eston Kohver เจ้าหน้าที่กำลังปฏิบัติการด้านความมั่นคงของเอสโทเนียอยู่ดีๆ ก็ ถูกสายลับรัสเซียดอดเข้ามาอุ้มตัวไปมอสโคว์ เหตุเกิดที่หน่วยปฏิบัติการ ประจำเขตแดนเอสโทเนียนั่นเอง ซึ่ง ครูอี ถือว่าเป็นเขตแดนของนาโต้

นาย Kohver ถูกรัสเซียกล่าวหาว่ากำลังทำการจารกรรม เหตุการณ์นี้ทำให้ระบบการติดต่อขัดข้องไปหมด ก็คือล่มนั่นแหละ (communication jamming) และเหตุการณ์นี้เกิดขึ้นทันทีหลังจากที่ นายโอบามา ไปเยี่ยมบริเวณดังกล่าว และให้ความยืนยันซ้ำถึงความปลอดภัยของบรรดารัฐ ที่อยู่ในบริเวณทะเลบอลติก เช่น เอสโทเนีย

แปลว่าการอุ้มเกิดขึ้น หลังจากนายโอบามาเพิ่งลุกกลับไป กลิ่นยังไม่ทันจางเลย ฮาจริง ครูอี นี่ก็พาซื่อ เล่าหมด

นี่มันรายงานเรื่องสำคัญ หรือบทตลกกันแน่ ผมชักงงว่า หยิบเอกสารผิดหรือเปล่า
ครั้งที่ 3 ระหว่างวันที่ 17-27 ตุลาคม 2014 มีการตามล่าหาเรือดำน้ำ บริเวณเกาะเล็กเกาะน้อย ในน่านน้ำสวีเดน หน้ากรุงสต๊อกโฮมนั่นเอง สวีเดนยัวะจัด บอกพร้อมที่จะใช้อาวุธจัดการกับเรือดำน้ำ… ถ้าหาเจอ ….แต่ปรากฎว่าหาไม่เจอ แต่แน่ใจว่าเป็นเรือดำน้ำรัสเซีย เอะ ไม่เจอแล้วแน่ใจได้ยังไง แน่นอน เมื่อหาไม่เจอ จับไม่ได้คามือ รัสเซียก็ปฏิเสธว่าไม่มีส่วนเกี่ยวข้องด้วย ใครจะไปรับกันง่ายๆ

สวีเดนบอกว่า ปฏิบัติการล่าเรือดำน้ำครั้งนี้ เป็นเรื่องใหญ่ รุนแรงที่สุดของสวีเดน นับแต่สงครามโลกครั้งที่ 2 เชียวนะ

เอ! สงสัยมันเป็นรายงานคนขวัญอ่อนจริงๆ แหละ ผมอ่านตอนแรกๆก็นึกว่า มีเรื่องน่าระทึกใจ นี่ขนาด 3 รายการรุนแรง มันยังอ่อนยวบอย่างนี้ ไอ้ที่เหลืออีก 30 กว่ารายการ ผมไม่บรรยายดีกว่านะครับ ส่วนใหญ่ก็เป็นเรื่อง เครืองบินรบของรัสเซีย บินเฉี่ยวไปโฉบมาไปทั่ว แถบบริเวณทะเลเหนือ ทะเลดำ ทะเลบอลติก ก็บ้านเขาอยู่ตรงนั้น ไม่บินแถวนั้นก็ประหลาดอยู่ ซึ่งพวกกินปลาดิบดองน้ำมันแถวนั้นคงขัดใจ ไม่ชอบให้เฉี่ยวหัว เฉี่ยวหู ผ้าเช็ด ตากยังไม่ทันแห้ง เฉี่ยวหัว ต้องเช็ดกันอีกแล้ว

แล้วรัสเซียทำอย่างนี้ทำไม ชอบถูกด่าหน้าเสาธงนักหรือ

ครูอี บอกว่า ด้านการทหารวิเคราะห์ว่า รัสเซียกำลังทดสอบสมรรถนะของนาโต้ ดูความพร้อม ระยะเวลาของปฏิกิริยา และอาวุธของกองกำลังนาโต้

เอ ครูอีครับ แต่สวีเดน กับฟินแลนด์ไม่ได้อยู่ในนาโต้นะครับ

ครูอีไม่ตอบ แต่แจงเพิ่มว่า น่าสังเกตว่า การยั่วยุของรัสเซียจะเกิดขึ้นสอดคล้องกับการแวะมาเยี่ยมของพวกลูกพี่เสมอเช่น เมื่อนายโอบามาแวะมาเยี่ยมยุโรปกลาง รัสเซียก็เฉียวหัวให้ดู พอนายช๊อกโกแลต ประธานาธิบดียูเครนไปเยี่ยมแคนาดา คุณพี่ปูตินก็ส่งเครื่องโฉบผ่านหัวที่แคนาดา ไปสวัสดีช๊อกโกแลต ส่วนกรณีเรือดำน้ำ ที่แวะไปประทับตราวีซ่าขาเข้าให้ตัวเองแถวสก๊อตแลนด์ ที่ชาวเกาะใหญ่เรียกระดมพล ก็เป็นช่วงประชุมสุดยอดของนาโต้ที่ Wales ผมว่า คุณพี่ปูติน เขาก็เลือกจังหวะทักทายได้เหมาะสม ตามมารยาทดีนี่นะ

แต่ครูอีไม่เห็นด้วย บอกว่า ถ้ารัสเซียทำตัวท้าทายอย่างนี้ไปเรื่อยๆ เหตุการณ์มันจะพัฒนาไปถึงจุดที่ เป็นการยากสำหรับแต่ละฝ่ายที่จะหยุด หรือควบคุม

ฮั่นแน่ ครูอี ขู่เป็นเหมือนกัน แต่เป็นการขูฝ้อเล็กๆ น่าเอ็นดู

แต่สุ้มเสียงของสวีเดนเอง ดูเหมือนจะคนละรสกับครูอี นาย Johan Wiktorin เจ้าหน้าที่ประจำ Swedish Royal Acadamy of War Science วิเคราะห์ว่า เรือดำน้ำรัสเซียน่า เข้ามา เพื่อมาสำรวจ และทำแผนที่บริเวณน่านน้ำแถวนั้น และเป็นไปได้ว่ารัสเซียเข้ามาติดตั้งเครื่องจารกรรมใว้ใต้ท้องน้ำด้วย และเป็นการทดสอบระบบการป้องกันความมั่นคงของสวีเดนด้วย เป็นการวิเคราะห์ที่ดูเหมือนสวีเดนกำลังคิด (หรือ รู้ ) ว่า รัสเซียน่าจะกำลังมีแผน คิดทำการใหญ่

สวัสดีครับ
คนเล่านิทาน
22 ธค. 2557

“Google อุดช่องโหว่ CVE-2025-11756 ใน Safe Browsing — เสี่ยง RCE จาก use-after-free บน Chrome เวอร์ชันล่าสุด”

Google ได้ปล่อยอัปเดตใหม่สำหรับ Chrome Desktop (เวอร์ชัน 141.0.7390.107/.108) เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับสูง CVE-2025-11756 ซึ่งเป็นช่องโหว่แบบ “use-after-free” ที่อยู่ในระบบ Safe Browsing — ฟีเจอร์ที่ใช้ตรวจสอบเว็บไซต์และไฟล์อันตรายก่อนเข้าถึง

ช่องโหว่นี้เกิดจากการที่โปรแกรมยังคงใช้งานหน่วยความจำที่ถูกปล่อยไปแล้ว ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล (Remote Code Execution) หรือหลบหนีจาก sandbox ได้ โดยเฉพาะในแคมเปญ phishing หรือ drive-by download ที่ใช้ช่องโหว่เพื่อฝังมัลแวร์

แม้ Google ยังไม่ยืนยันว่ามีการโจมตีจริงเกิดขึ้น แต่ระดับความรุนแรงของช่องโหว่และตำแหน่งในระบบ Safe Browsing ทำให้การอัปเดตครั้งนี้เป็นเรื่องเร่งด่วนสำหรับผู้ใช้ทั่วไปและองค์กร

Google แนะนำให้ผู้ใช้เข้าไปที่ Settings → Help → About Google Chrome เพื่อให้เบราว์เซอร์ตรวจสอบและติดตั้งอัปเดตล่าสุดโดยอัตโนมัติ

ช่องโหว่ CVE-2025-11756 เป็นแบบ use-after-free
อยู่ในระบบ Safe Browsing ของ Chrome

ช่องโหว่มีความรุนแรงระดับ “สูง”
เสี่ยงต่อการถูกโจมตีแบบ Remote Code Execution (RCE)

Google ปล่อยอัปเดต Chrome เวอร์ชัน 141.0.7390.107/.108
สำหรับ Windows, macOS และ Linux

ช่องโหว่สามารถถูกใช้ในแคมเปญ phishing หรือ drive-by download
โดยฝังโค้ดอันตรายผ่านเว็บไซต์หรือไฟล์

Google ยังไม่ยืนยันการโจมตีจริง
แต่แนะนำให้ผู้ใช้ติดตั้งอัปเดตทันที

วิธีอัปเดต: Settings → Help → About Google Chrome
ระบบจะตรวจสอบและติดตั้งอัตโนมัติ

คำเตือนและข้อจำกัด
ช่องโหว่ use-after-free อาจถูกใช้เพื่อหลบหนี sandbox
ทำให้มัลแวร์สามารถเข้าถึงระบบได้ลึกขึ้น

ผู้ใช้ที่ยังไม่อัปเดต Chrome เสี่ยงต่อการถูกโจมตี
โดยเฉพาะหากเปิดเว็บไซต์ที่ไม่ปลอดภัย

องค์กรที่ใช้ Chrome ในระบบภายในควรเร่งอัปเดต
เพื่อป้องกันการแพร่กระจายของมัลแวร์ผ่านเครือข่าย

ช่องโหว่ใน Safe Browsing อาจทำให้ระบบตรวจสอบภัยคุกคามล้มเหลว
เปิดทางให้ผู้โจมตีหลอกผู้ใช้ให้เข้าถึงเนื้อหาอันตราย

https://securityonline.info/chrome-fix-new-use-after-free-flaw-cve-2025-11756-in-safe-browsing-component-poses-high-risk/

“SAP อุดช่องโหว่ CVSS 10.0 ใน NetWeaver — เสี่ยง RCE โดยไม่ต้องยืนยันตัวตน”

SAP ได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรงในระบบ NetWeaver Application Server ABAP ซึ่งเป็นหัวใจของระบบ ERP ที่ใช้กันอย่างแพร่หลายทั่วโลก โดยช่องโหว่นี้ได้รับรหัส CVE-2023-40311 และมีคะแนนความรุนแรง CVSS เต็ม 10.0 ซึ่งหมายถึงระดับ “วิกฤต” ที่สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน

ช่องโหว่นี้เกิดจากการจัดการอินพุตที่ไม่ปลอดภัยในฟีเจอร์ Remote Code Management (RCM) ซึ่งเปิดให้ผู้โจมตีสามารถส่งคำสั่งที่ออกแบบมาเฉพาะเพื่อรันโค้ดบนเซิร์ฟเวอร์ SAP ได้ทันที โดยไม่ต้องมีสิทธิ์เข้าระบบก่อน

SAP ระบุว่าช่องโหว่นี้ส่งผลกระทบต่อระบบที่เปิดใช้งานฟีเจอร์ RCM และไม่ได้มีการกำหนดสิทธิ์อย่างเหมาะสม โดยเฉพาะระบบที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตหรือเชื่อมต่อกับระบบภายนอก

นักวิจัยจาก Onapsis ซึ่งเป็นพันธมิตรด้านความปลอดภัยของ SAP เป็นผู้ค้นพบช่องโหว่นี้ และได้แจ้งให้ SAP ทราบก่อนการเปิดเผยต่อสาธารณะ โดย SAP ได้ออกแพตช์ใน Security Patch Day เดือนตุลาคม 2025 พร้อมคำแนะนำให้ผู้ดูแลระบบอัปเดตทันที

ช่องโหว่ CVE-2023-40311 ใน SAP NetWeaver Application Server ABAP
ได้คะแนน CVSS เต็ม 10.0 ถือเป็นระดับ “วิกฤต”

ช่องโหว่เกิดจากการจัดการอินพุตในฟีเจอร์ Remote Code Management (RCM)
เปิดทางให้รันโค้ดจากระยะไกลโดยไม่ต้องยืนยันตัวตน

ส่งผลกระทบต่อระบบที่เปิดใช้งาน RCM และไม่มีการกำหนดสิทธิ์ที่เหมาะสม
โดยเฉพาะระบบที่เชื่อมต่อกับอินเทอร์เน็ตหรือระบบภายนอก

นักวิจัยจาก Onapsis เป็นผู้ค้นพบช่องโหว่
แจ้ง SAP ก่อนการเปิดเผยต่อสาธารณะ

SAP ออกแพตช์ใน Security Patch Day เดือนตุลาคม 2025
พร้อมคำแนะนำให้ผู้ดูแลระบบอัปเดตทันที

ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน
เสี่ยงต่อการถูกควบคุมระบบ SAP ทั้งระบบ

ระบบที่เปิดใช้งาน RCM โดยไม่มีการกำหนดสิทธิ์อย่างเหมาะสม
อาจถูกโจมตีได้ทันทีหากเชื่อมต่อกับอินเทอร์เน็ต

การไม่อัปเดตแพตช์ทันทีอาจทำให้ระบบถูกเจาะโดย botnet หรือ ransomware
โดยเฉพาะในองค์กรที่ใช้ SAP เป็นระบบหลักในการจัดการข้อมูล

การตรวจสอบสิทธิ์และการตั้งค่า access control เป็นสิ่งจำเป็น
หากละเลยอาจเปิดช่องให้เกิดการโจมตีแบบ lateral movement

https://securityonline.info/sap-patches-critical-10-0-flaw-in-netweaver-unauthenticated-rce-risk/

“ฟองสบู่ AI ใกล้แตก? IMF และธนาคารอังกฤษเตือนแรง — นักลงทุนเริ่มซื้อทองคำหนีความเสี่ยง”

ในขณะที่โลกกำลังตื่นเต้นกับการเติบโตของเทคโนโลยี AI รายงานล่าสุดจาก IMF และธนาคารกลางอังกฤษ (Bank of England) กลับส่งสัญญาณเตือนว่า “ฟองสบู่ AI” อาจกำลังเข้าสู่ระยะอันตราย คล้ายกับเหตุการณ์ dotcom crash ในปี 2000

Kristalina Georgieva ผู้อำนวยการ IMF กล่าวอย่างชัดเจนว่า “ความไม่แน่นอนคือความปกติใหม่” พร้อมชี้ว่าการซื้อทองคำที่พุ่งขึ้นถึง $4,000 ต่อออนซ์ เป็นสัญญาณว่าตลาดกำลังป้องกันความเสี่ยงจากการปรับฐานครั้งใหญ่ โดยเฉพาะในหุ้นกลุ่ม AI ที่มีมูลค่าพุ่งสูงเกินจริง

ธนาคารอังกฤษเสริมว่า ความเสี่ยงของการ “ปรับฐานรุนแรง” เพิ่มขึ้นอย่างชัดเจน โดยเฉพาะเมื่อความสามารถของ AI ยังไม่ก้าวหน้าเท่าที่คาด หรือเมื่อการแข่งขันในตลาดเพิ่มขึ้น ซึ่งอาจทำให้การประเมินรายได้ในอนาคตต้องถูกปรับลดลง

Goldman Sachs แม้จะมองว่าฟองสบู่ยังไม่แตก แต่ก็ยอมรับว่า “เราน่าจะอยู่ในระยะที่สามของฟองสบู่” จากทั้งหมดห้าระยะ โดยเฉพาะเมื่อมีการลงทุนแบบ “หมุนเวียน” ที่บริษัท AI ซื้อหุ้นกันเองเพื่อดันมูลค่าให้สูงขึ้น

ตัวอย่างที่ชัดเจนคือ OpenAI ซึ่งยังไม่เข้าตลาดหุ้น แต่มีมูลค่าประเมินกว่า $500 พันล้าน ขณะที่รายได้ครึ่งปีแรกอยู่ที่ $4.3 พันล้าน และไม่มีแนวโน้มจะมีกำไรในเร็ว ๆ นี้ ตามคำกล่าวของ CEO Sam Altman

นักวิเคราะห์จาก Van Lanschot Kempen ระบุว่า “การที่บริษัท AI ซื้อหุ้นกันเอง และสร้างรายได้จากการลงทุนข้ามกัน เป็นสัญญาณของฟองสบู่ที่ชัดเจน” และหากเกิดการปรับฐานจริง อาจกระทบต่อโครงสร้างอุตสาหกรรม AI ทั้งระบบ

ข้อมูลสำคัญจากข่าว
IMF และ Bank of England เตือนว่าฟองสบู่ AI อาจใกล้แตก
ราคาทองคำพุ่งถึง $4,000 ต่อออนซ์ เป็นสัญญาณการป้องกันความเสี่ยง
ความสามารถของ AI ยังไม่ก้าวหน้าเท่าที่คาด และการแข่งขันเพิ่มขึ้น
การประเมินรายได้ในอนาคตของบริษัท AI อาจต้องถูกปรับลด
Goldman Sachs ระบุว่าเราอยู่ใน “ระยะที่สาม” ของฟองสบู่
มีการลงทุนแบบหมุนเวียนระหว่างบริษัท AI เพื่อดันมูลค่าหุ้น
OpenAI มีมูลค่าประเมิน $500 พันล้าน แต่ยังไม่มีกำไร
นักวิเคราะห์ชี้ว่าการซื้อหุ้นกันเองเป็นสัญญาณฟองสบู่

ข้อมูลเสริมจากภายนอก
ฟองสบู่ dotcom ในปี 2000 เกิดจากการลงทุนเกินจริงในบริษัทเทคโนโลยี
ระยะที่สามของฟองสบู่คือช่วงที่ตลาดยังคึกคัก แต่เริ่มมีสัญญาณความไม่สมเหตุสมผล
การซื้อทองคำมักเกิดเมื่อมีความกังวลเรื่องเศรษฐกิจหรือการลงทุน
การประเมินมูลค่าบริษัท AI มักอิงจาก “ศักยภาพในอนาคต” มากกว่ารายได้จริง
การปรับฐานในตลาดหุ้นอาจเกิดจากการเปลี่ยนแปลงในความเชื่อมั่นของนักลงทุน

https://www.tomshardware.com/tech-industry/bank-of-england-imf-warn-ai-bubble-risk-has-shades-of-2000-dotcom-crash-goldman-sachs-cautions-were-not-there-yet

“RediShell — ช่องโหว่ 13 ปีใน Redis ที่เปิดประตูให้แฮกเกอร์ยึดเซิร์ฟเวอร์กว่า 60,000 เครื่องทั่วโลก”

Redis ฐานข้อมูลแบบ in-memory ที่ใช้กันอย่างแพร่หลายในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ร้ายแรงที่ถูกค้นพบในปี 2025 โดยนักวิจัยจาก Wiz ซึ่งตั้งชื่อว่า “RediShell” (CVE-2025-49844) ช่องโหว่นี้มีคะแนนความรุนแรง CVSS เต็ม 10.0 และถูกซ่อนอยู่ในโค้ดของ Redis มานานกว่า 13 ปีโดยไม่มีใครตรวจพบ

จุดอ่อนเกิดจากบั๊กประเภท use-after-free ใน Lua interpreter ของ Redis ซึ่งเป็นฟีเจอร์ที่เปิดใช้งานโดยค่าเริ่มต้น ผู้โจมตีสามารถส่งสคริปต์ Lua ที่ถูกออกแบบมาอย่างเจาะจงเพื่อหลบหนีจาก sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์ได้โดยตรง ส่งผลให้สามารถขโมยข้อมูล ติดตั้งมัลแวร์ หรือใช้เซิร์ฟเวอร์ที่ถูกยึดเพื่อโจมตีระบบอื่นต่อได้

จากการสแกนของ Wiz พบว่า Redis ถูกใช้งานในกว่า 75% ของระบบคลาวด์ และมี Redis instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตกว่า 330,000 เครื่อง โดยประมาณ 60,000 เครื่องไม่มีระบบ authentication ใด ๆ ทำให้เสี่ยงต่อการถูกโจมตีโดยไม่ต้องยืนยันตัวตน

Redis ได้ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที พร้อมตั้งค่าความปลอดภัยเพิ่มเติม เช่น ปิด Lua scripting หากไม่จำเป็น ใช้บัญชี non-root และจำกัดการเข้าถึงผ่าน firewall หรือ VPC

RediShell เป็นตัวอย่างชัดเจนของ “หนี้ทางเทคนิค” ที่สะสมในโค้ดโอเพ่นซอร์ส และแสดงให้เห็นว่าการตั้งค่าระบบที่ไม่รัดกุมสามารถเปิดช่องให้เกิดการโจมตีระดับร้ายแรงได้ แม้จะไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ความเสี่ยงที่เกิดขึ้นถือว่าสูงมาก โดยเฉพาะในระบบที่เปิดสู่สาธารณะ

ข้อมูลสำคัญจากข่าว
ช่องโหว่ RediShell (CVE-2025-49844) เป็นบั๊ก use-after-free ใน Lua interpreter ของ Redis
ผู้โจมตีสามารถส่ง Lua script เพื่อหลบหนี sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์
มี Redis instance เปิดสู่สาธารณะกว่า 330,000 เครื่อง โดย 60,000 ไม่มี authentication
Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก
Redis ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025
Wiz ค้นพบช่องโหว่นี้ในงาน Pwn2Own Berlin และแจ้ง Redis ล่วงหน้า
แนะนำให้ปิด Lua scripting หากไม่จำเป็น และใช้บัญชี non-root
ควรจำกัดการเข้าถึง Redis ด้วย firewall หรือ VPC
เปิดระบบ logging และ monitoring เพื่อจับพฤติกรรมผิดปกติ

ข้อมูลเสริมจากภายนอก
Lua เป็นภาษา lightweight ที่นิยมใช้ใน embedded systems และเกม
use-after-free เป็นบั๊กที่เกิดจากการใช้ memory หลังจากถูกปล่อยคืนแล้ว
Redis เคยถูกโจมตีด้วยมัลแวร์ เช่น P2PInfect, Redigo, HeadCrab และ Migo
Redis container บน Docker มักไม่มีการตั้งค่า authentication โดยค่าเริ่มต้น
การตั้งค่า bind 0.0.0.0 ใน Docker Compose อาจเปิด Redis สู่สาธารณะโดยไม่ตั้งใจ

https://hackread.com/13-year-old-redishell-vulnerability-redis-servers-risk/

“อักเสบเรื้อรังกลายเป็นตัวทำนายโรคหัวใจที่แม่นยำกว่าคอเลสเตอรอล — ACC แนะตรวจ hs-CRP เป็นมาตรฐานใหม่”

เป็นเวลาหลายสิบปีที่คอเลสเตอรอล โดยเฉพาะ LDL หรือ ApoB ถูกใช้เป็นตัวชี้วัดหลักในการประเมินความเสี่ยงโรคหัวใจ แต่ล่าสุด American College of Cardiology (ACC) ได้ออกคำแนะนำใหม่เมื่อปลายเดือนกันยายน 2025 ว่า “การอักเสบเรื้อรัง” โดยเฉพาะค่าที่วัดจาก hs-CRP (high-sensitivity C-reactive protein) เป็นตัวทำนายโรคหัวใจที่แม่นยำกว่า และควรตรวจเป็นมาตรฐานร่วมกับคอเลสเตอรอลในทุกคน ไม่ว่าจะมีโรคหัวใจอยู่แล้วหรือไม่

เหตุผลคือ แม้ผู้ป่วยจะควบคุมคอเลสเตอรอลได้ดีด้วยยาสแตติน แต่ยังมีความเสี่ยงหลงเหลืออยู่จากการอักเสบที่ไม่ถูกตรวจวัด ซึ่งเรียกว่า “residual inflammatory risk” โดยเฉพาะในกลุ่มที่ไม่มีปัจจัยเสี่ยงแบบดั้งเดิม เช่น ไม่สูบบุหรี่ ไม่มีเบาหวาน หรือความดันสูง แต่ยังมี hs-CRP สูงเกิน 2 mg/L

การศึกษาหลายฉบับ เช่น JUPITER, COLCOT และ LoDoCo2 พบว่า การใช้ยาสแตตินและโคลชิซีนสามารถลดความเสี่ยงได้แม้ LDL จะอยู่ในระดับปกติ ส่วนยาใหม่อย่าง canakinumab แม้ลดเหตุการณ์หัวใจได้ แต่มีราคาสูงและเพิ่มความเสี่ยงติดเชื้อ

นอกจากยาแล้ว ACC ยังเน้นการปรับพฤติกรรม เช่น การออกกำลังกายอย่างสม่ำเสมอ, การรับประทานอาหารแบบ Mediterranean หรือ DASH, การเลิกบุหรี่ และการควบคุมน้ำหนัก ซึ่งล้วนช่วยลด hs-CRP ได้อย่างมีนัยสำคัญ

การตรวจ hs-CRP เป็นการเจาะเลือดง่าย ๆ และราคาถูก โดยค่าต่ำกว่า 1 mg/L ถือว่าดี, 1–3 mg/L คือความเสี่ยงปานกลาง และมากกว่า 3 mg/L คือความเสี่ยงสูง หากเกิน 10 mg/L อาจเกิดจากการติดเชื้อชั่วคราว ควรตรวจซ้ำใน 2–3 สัปดาห์

ข้อมูลสำคัญจากข่าว
ACC แนะนำให้ตรวจ hs-CRP เป็นมาตรฐานร่วมกับคอเลสเตอรอลในทุกคน
hs-CRP เป็นตัวทำนายโรคหัวใจที่แม่นยำกว่าคอเลสเตอรอลในหลายกลุ่ม
ความเสี่ยงหลงเหลือจากการอักเสบยังคงอยู่แม้ควบคุม LDL ได้ดี
hs-CRP สูงกว่า 2 mg/L ในผู้ใช้สแตตินยังมีความเสี่ยงต่อเหตุการณ์หัวใจ
ยาโคลชิซีนและสแตตินช่วยลด hs-CRP และลดความเสี่ยงโรคหัวใจ
Canakinumab ลดเหตุการณ์หัวใจได้ แต่มีราคาสูงและเพิ่มความเสี่ยงติดเชื้อ
การออกกำลังกายและอาหารแบบ Mediterranean/DASH ช่วยลด hs-CRP
ค่าปกติของ hs-CRP คือ <1 mg/L, ความเสี่ยงปานกลาง 1–3 mg/L, ความเสี่ยงสูง >3 mg/L
หาก hs-CRP >10 mg/L ควรตรวจซ้ำหลังจากหายจากการติดเชื้อ

ข้อมูลเสริมจากภายนอก
hs-CRP เป็นโปรตีนที่สร้างจากตับเมื่อเกิดการอักเสบในร่างกาย
การอักเสบเรื้อรังเกี่ยวข้องกับการเกิดคราบไขมันในหลอดเลือดและการแตกของคราบ
Imaging เช่น CT, MRI, PET อาจช่วยตรวจการอักเสบในหลอดเลือด แต่ยังไม่พร้อมใช้ทั่วไป
Omega-3 (EPA + DHA) ช่วยลดการอักเสบและลดเหตุการณ์หัวใจในผู้ป่วยหัวใจล้มเหลว
IL-6 inhibitors กำลังอยู่ระหว่างการวิจัยเพื่อใช้ลดการอักเสบในโรคหัวใจ

คำเตือนและข้อจำกัด
การตรวจ hs-CRP ครั้งเดียวอาจไม่แม่นยำ หากมีการติดเชื้อหรืออาการอักเสบอื่น
ยาโคลชิซีนควรหลีกเลี่ยงในผู้ที่มีปัญหาไตหรือตับ
Canakinumab แม้มีผลดี แต่มีราคาสูงและเพิ่มความเสี่ยงติดเชื้อ
การใช้ imaging เพื่อตรวจการอักเสบยังไม่เหมาะกับการใช้งานทั่วไป
การไม่ตรวจ hs-CRP อาจทำให้พลาดการประเมินความเสี่ยงที่สำคัญ

https://www.empirical.health/blog/inflammation-and-heart-health/

“OpenSSL แพตช์ช่องโหว่ 3 รายการ — เสี่ยง RCE, Side-Channel และ Crash จาก IPv6 ‘no_proxy’”

OpenSSL ซึ่งเป็นไลบรารีเข้ารหัสที่ใช้กันอย่างแพร่หลายทั่วโลก ได้ออกแพตช์อัปเดตเมื่อวันที่ 30 กันยายน 2025 เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อทุกเวอร์ชันหลัก ตั้งแต่ 1.0.2 ถึง 3.5 โดยมีระดับความรุนแรงตั้งแต่ Low ถึง Moderate แต่มีผลกระทบที่อาจร้ายแรงในบางบริบท

ช่องโหว่แรก (CVE-2025-9230) เป็นการอ่านและเขียนข้อมูลนอกขอบเขต (Out-of-Bounds Read & Write) ในกระบวนการถอดรหัส CMS ที่ใช้การเข้ารหัสแบบรหัสผ่าน (PWRI) ซึ่งอาจนำไปสู่การ crash หรือแม้แต่การรันโค้ดจากผู้โจมตีได้ แม้โอกาสในการโจมตีจะต่ำ เพราะ CMS แบบ PWRI ใช้น้อยมากในโลกจริง แต่ช่องโหว่นี้ยังคงถูกจัดว่า “Moderate” และส่งผลต่อทุกเวอร์ชันหลักของ OpenSSL

ช่องโหว่ที่สอง (CVE-2025-9231) เป็นการโจมตีแบบ Timing Side-Channel บนแพลตฟอร์ม ARM64 ที่ใช้ SM2 algorithm ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถวัดเวลาและกู้คืน private key ได้จากระยะไกลในบางกรณี โดยเฉพาะเมื่อมีการใช้ provider แบบ custom ที่รองรับ SM2

ช่องโหว่สุดท้าย (CVE-2025-9232) เป็นการอ่านข้อมูลนอกขอบเขตใน HTTP client API เมื่อมีการตั้งค่า no_proxy และใช้ URL ที่มี IPv6 ซึ่งอาจทำให้แอปพลิเคชัน crash ได้ แม้จะมีโอกาสโจมตีต่ำ แต่ก็ส่งผลต่อระบบที่ใช้ OCSP และ CMP ที่อิง HTTP client ของ OpenSSL

OpenSSL ได้ออกแพตช์สำหรับเวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันความเสี่ยง แม้ FIPS module จะไม่ได้รับผลกระทบ แต่โค้ดที่อยู่ภายนอกยังคงเสี่ยงต่อการโจมตี

ข้อมูลสำคัญจากข่าว
OpenSSL ออกแพตช์แก้ไขช่องโหว่ 3 รายการเมื่อวันที่ 30 กันยายน 2025
CVE-2025-9230: Out-of-Bounds Read & Write ในการถอดรหัส CMS แบบ PWRI
CVE-2025-9231: Timing Side-Channel ใน SM2 บน ARM64 อาจกู้คืน private key ได้
CVE-2025-9232: Out-of-Bounds Read ใน HTTP client เมื่อใช้ no_proxy กับ IPv6
ช่องโหว่ทั้งหมดส่งผลต่อเวอร์ชัน 1.0.2 ถึง 3.5 ของ OpenSSL
แพตช์ใหม่ได้แก่เวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm
FIPS module ไม่ได้รับผลกระทบ เพราะโค้ดที่มีช่องโหว่อยู่ภายนอก boundary

ข้อมูลเสริมจากภายนอก
SM2 เป็นอัลกอริธึมเข้ารหัสที่ใช้ในประเทศจีน และไม่เป็นมาตรฐาน TLS ทั่วไป
Timing Side-Channel เป็นเทคนิคที่ใช้วัดเวลาการประมวลผลเพื่อกู้ข้อมูลลับ
CMS (Cryptographic Message Syntax) ใช้ในระบบอีเมลและเอกสารที่เข้ารหัส
no_proxy เป็น environment variable ที่ใช้ควบคุมการ bypass proxy ใน HTTP client
OCSP และ CMP เป็นโปรโตคอลที่ใช้ตรวจสอบใบรับรองดิจิทัลในระบบ PKI

https://securityonline.info/openssl-patches-three-flaws-timing-side-channel-rce-risk-and-memory-corruption-affect-all-versions/

“ติดตั้ง Microsoft Teams แล้วโดนแฮก? — มัลแวร์ Oyster แฝงมากับไฟล์ปลอมจากเว็บหลอกที่ขึ้นอันดับใน Google”

ใครที่กำลังจะดาวน์โหลด Microsoft Teams ต้องระวังให้ดี เพราะตอนนี้มีแคมเปญมัลแวร์ใหม่ที่ใช้เทคนิค “SEO poisoning” และ “malvertising” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ติดตั้งปลอมที่แฝงมัลแวร์ชื่อ Oyster ซึ่งเป็น backdoor ที่เปิดช่องให้แฮกเกอร์เข้าถึงเครื่องของเหยื่อได้เต็มรูปแบบ

เว็บไซต์ปลอมที่ใช้ชื่อว่า teams-install[.]top ถูกออกแบบให้เหมือนกับเว็บจริงของ Microsoft ทั้งสี ฟอนต์ และโครงสร้าง โดยเมื่อผู้ใช้ค้นหาคำว่า “Teams download” ใน Google หรือ Bing เว็บไซต์ปลอมนี้จะขึ้นมาอยู่ด้านบนของผลการค้นหา หรือแม้แต่ในโฆษณา ทำให้หลายคนเข้าใจผิดและคลิกเข้าไปดาวน์โหลดไฟล์ชื่อ MSTeamsSetup.exe ซึ่งดูเหมือนของจริงทุกประการ

เมื่อเปิดไฟล์ดังกล่าว มัลแวร์ Oyster จะถูกติดตั้งลงในเครื่องทันที โดยแฝงตัวใน DLL ชื่อ CaptureService.dll และสร้าง scheduled task ให้รันทุก 11 นาที เพื่อให้ backdoor ทำงานต่อเนื่องแม้จะรีสตาร์ทเครื่องก็ตาม

ที่น่ากังวลคือไฟล์นี้ถูกเซ็นด้วยใบรับรองดิจิทัลจากบริษัทที่ดูเหมือนถูกต้อง เช่น “KUTTANADAN CREATIONS INC.” และ “NRM NETWORK RISK MANAGEMENT INC.” ซึ่งช่วยให้ระบบป้องกันไวรัสบางตัวไม่ตรวจพบ และทำให้ผู้ใช้เชื่อว่าไฟล์นั้นปลอดภัย

มัลแวร์ Oyster เคยถูกใช้ในแคมเปญโจมตีองค์กรมาแล้วหลายครั้ง โดยเฉพาะในกลุ่ม ransomware เช่น Rhysida และยังสามารถใช้เพื่อขโมยข้อมูล, ติดตั้งมัลแวร์เพิ่มเติม, หรือเจาะระบบเครือข่ายองค์กรได้อีกด้วย

ข้อมูลสำคัญจากข่าว
พบเว็บไซต์ปลอม teams-install[.]top ที่หลอกให้ผู้ใช้ดาวน์โหลด Microsoft Teams ปลอม
ไฟล์ปลอมชื่อ MSTeamsSetup.exe แฝงมัลแวร์ Oyster ซึ่งเป็น backdoor
มัลแวร์จะติดตั้ง DLL ชื่อ CaptureService.dll และสร้าง scheduled task ให้รันทุก 11 นาที
ใช้เทคนิค SEO poisoning และ malvertising เพื่อให้เว็บปลอมขึ้นอันดับในผลการค้นหา
ไฟล์ถูกเซ็นด้วยใบรับรองดิจิทัลจากบริษัทที่ดูเหมือนถูกต้อง เพื่อหลบการตรวจจับ
Oyster เคยถูกใช้ในแคมเปญ ransomware เช่น Rhysida และสามารถขโมยข้อมูลหรือเจาะระบบได้
Microsoft Defender ตรวจพบและบล็อกการเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุม (C2) ของมัลแวร์
ผู้เชี่ยวชาญแนะนำให้พิมพ์ URL โดยตรงหรือใช้ bookmark แทนการค้นหาผ่าน search engine

ข้อมูลเสริมจากภายนอก
SEO poisoning คือการปรับแต่งเว็บหลอกให้ขึ้นอันดับในผลการค้นหาเพื่อหลอกผู้ใช้
Malvertising คือการใช้โฆษณาหลอกลวงเพื่อกระจายมัลแวร์
ใบรับรองดิจิทัลที่มีอายุสั้น (2 วัน) ช่วยให้แฮกเกอร์หลบการตรวจสอบและการยกเลิกใบรับรอง
Oyster มีชื่ออื่นว่า Broomstick หรือ CleanUpLoader และเป็นมัลแวร์แบบ modular
การโจมตีลักษณะนี้เคยเกิดกับโปรแกรมอื่น เช่น PuTTY และ WinSCP โดยใช้วิธีคล้ายกัน

https://www.techradar.com/pro/security/look-out-these-fake-microsoft-teams-installers-are-just-spreading-dangerous-malware