Galaxy S25+ เกิดไฟไหม้ขณะถืออยู่ – ซัมซุงเร่งสอบสวนต้นเหตุ
มีรายงานจากผู้ใช้ในเกาหลีใต้ว่า Samsung Galaxy S25+ เกิดไฟไหม้ขณะถืออยู่ในมือ หลังจากเครื่องไม่สามารถชาร์จแบตเตอรี่ได้ โดยเหตุการณ์นี้ถูกโพสต์ในฟอรั่มของ Samsung และกำลังถูกสอบสวนโดยศูนย์บริการของบริษัท

ผู้ใช้ที่ชื่อ “Chew ee jan” โพสต์ในฟอรั่มของ Samsung ว่าเขากำลังถือ Galaxy S25+ อยู่ในมือเพื่อตรวจสอบว่าทำไมเครื่องถึงไม่ชาร์จได้ แล้วจู่ๆ เครื่องก็ร้อนจัดและมีเสียง “ปุ๊ก” ก่อนที่เขาจะโยนเครื่องลงพื้น และมันก็เกิดไฟไหม้ทันที

ซัมซุงได้ส่งเครื่องไปตรวจสอบที่ศูนย์บริการ และยังไม่สามารถระบุสาเหตุได้แน่ชัดว่าเกิดจากอะไร เช่น:

ใช้ที่ชาร์จของซัมซุงหรือไม่?
ชาร์จในสภาพแวดล้อมแบบใด (เช่น ใต้หมอนหรือใกล้แหล่งความร้อน)?
เคยเปลี่ยนแบตเตอรี่มาก่อนหรือไม่?

คำถามเหล่านี้จะมีผลต่อการวิเคราะห์ว่าเป็นปัญหาเฉพาะเครื่อง หรือเป็นข้อบกพร่องเชิงระบบเหมือนกรณี Galaxy Note 7 ในอดีต

อย่างไรก็ตาม ขณะนี้ยังไม่มีหลักฐานว่าปัญหาเกิดจากข้อบกพร่องของ Galaxy S25+ โดยรวม และยังไม่มีการเรียกคืนหรือเตือนผู้ใช้จากซัมซุง

เหตุการณ์ที่เกิดขึ้น
Galaxy S25+ เกิดไฟไหม้หลังไม่สามารถชาร์จได้
ผู้ใช้ถือเครื่องอยู่ในมือขณะเกิดเหตุ
มีเสียง “ปุ๊ก” ก่อนเครื่องลุกไหม้

การสอบสวนของซัมซุง
ยังไม่ระบุสาเหตุแน่ชัด
กำลังตรวจสอบว่าใช้ที่ชาร์จอะไร
ตรวจสอบสภาพแวดล้อมและประวัติการใช้งาน

ความคล้ายกับกรณี Galaxy Note 7
Note 7 เคยมีปัญหาแบตเตอรี่ลุกไหม้จากข้อบกพร่องการผลิต
ถูกเรียกคืนทั่วโลกและห้ามขึ้นเครื่องบิน
แต่กรณี S25+ ยังไม่มีหลักฐานว่าเป็นปัญหาเชิงระบบ

ความเสี่ยงและข้อควรระวัง
หลีกเลี่ยงการชาร์จในที่อับหรือร้อนจัด
ใช้อุปกรณ์ชาร์จที่ได้รับการรับรองจากผู้ผลิต
หากเครื่องร้อนผิดปกติ ควรหยุดใช้งานทันที


https://wccftech.com/a-samsung-galaxy-s25-just-caught-fire/

ช่างซ่อมเตือน “อย่าซื้อ RTX 5090 Founders Edition” – พบจุดอ่อนร้ายแรงซ่อมไม่ได้

Alex จากช่อง YouTube “Northridge Fix” ได้รับการ์ดจอ RTX 5090 Founders Edition ที่หยุดทำงานหลังจากผู้ใช้ติดตั้งชุดน้ำ (water block) เพิ่มเข้าไป เมื่อเขาแกะเครื่องเพื่อตรวจสอบ พบว่าไม่มีปัญหากับแรงดันไฟหรือวงจรหลัก แต่กลับพบว่าปัญหาอยู่ที่ “ขั้วต่อภายใน” (board-to-board connector) ซึ่งเสียหายและไม่สามารถหาชิ้นส่วนทดแทนได้

การ์ดรุ่นนี้ถูกออกแบบให้มีโครงสร้างแบบแยกส่วน (modular) คือแบ่งเป็นสองชิ้น: ตัวการ์ดหลักและชุดเชื่อมต่อ PCIe ซึ่งเชื่อมกันด้วยสาย FPC ที่เปราะบางมาก Alex เปรียบเทียบว่า “เหมือนระบบท่อที่มีข้อต่อเยอะ ยิ่งมีจุดเชื่อมต่อมาก ก็ยิ่งมีโอกาสเสียมาก”

เขายังเสริมว่าขั้วต่อที่เสียหายนี้ไม่สามารถหาซื้อได้ในท้องตลาดทั่วไป และเตือนผู้ใช้ว่า “ถ้าไม่เสีย อย่าไปยุ่งกับมันเลย” พร้อมสรุปว่า RTX 5090 Founders Edition เป็นหนึ่งในการออกแบบที่แย่ที่สุดที่เขาเคยเจอในวงการ GPU.

โครงสร้างของ RTX 5090 Founders Edition
ใช้การออกแบบแบบแยกส่วน (modular)
เชื่อมต่อด้วยสาย FPC ที่เปราะบาง
จุดเชื่อมต่อภายในเป็นจุดเสี่ยงต่อความเสียหาย

ปัญหาที่พบจากการซ่อม
ขั้วต่อภายในเสียหายหลังติดตั้ง water block
ไม่สามารถหาชิ้นส่วนทดแทนได้
ไม่มีความเสียหายอื่นในวงจรหลัก

คำเตือนจากช่างซ่อม
หลีกเลี่ยงการเปิดหรือดัดแปลงการ์ด
หากเสียหาย อาจซ่อมไม่ได้เลย
เรียกการออกแบบนี้ว่า “หนึ่งในดีไซน์ที่แย่ที่สุด”

https://www.tomshardware.com/pc-components/gpus/northridge-fix-slams-flagship-nvidia-5090

ประธาน กมธ.ทหาร วุฒิสภา จี้กองทัพตรวจสอบ ยุทโธปกรณ์กัมพูชา ถอนจริง หรือเป็นเพียง "ภาพข่าว"
https://www.thai-tai.tv/news/22070/
.
#ไทยไท #ฮุนเซน #ถอนอาวุธหนัก #เชลยศึก #สวัสดิ์ทัศนา #ชายแดนไทยกัมพูชา

รัฐบาลชุดนี้ทั้งหมดต้องติดคุกทุกๆคน สส.ทั้งหมดด้วยทัังสภาฯเลย,ไม่รู้จักปกป้องอธิปไตยชาติไทยตน,หากไทยเสียดินแดนแม้ตารางเซนติเมตรเดียว ทั้งหมด สส.ทั้งสภาฯ ข้าราชการไทยทัังหมดที่เกี่ยวข้อง ตลอดนักวิชาการ สื่อที่เป็นฝ่ายทำให้ประเทศไทยเสียอธิปไตยดินแดนต้องถูกจับกุมคุมขังลงโทษและติดคุกทั้งหมด ตลอดต้องตรวจสอบทรัพย์สิน กระแสเงินสด เส้นทางการเงินเข้าออกในบัญชีและเข้าออกในต่างประเทศทั้งหมดทุกๆตัว.


https://www.youtube.com/live/9pfye_Q5tMY?si=9Pgy1JcdPOHDBelp

จีนเร่งผลิต “เรดาร์ควอนตัม” – เทคโนโลยีใหม่ที่อาจลบล้างยุคเครื่องบินล่องหน

เรดาร์แบบเดิมใช้คลื่นวิทยุสะท้อนจากวัตถุเพื่อวัดตำแหน่งและความเร็ว แต่เครื่องบินล่องหนอย่าง F-22 Raptor ถูกออกแบบมาเพื่อลดการสะท้อนคลื่น ทำให้เรดาร์ทั่วไปตรวจจับได้ยาก

จีนจึงหันมาใช้ “เรดาร์ควอนตัม” ที่อาศัยหลักการพัวพันควอนตัม (quantum entanglement) โดยสร้างคู่โฟตอนที่ฝังข้อมูลร่วมกันไว้ โฟตอนหนึ่งถูกส่งออกไป ส่วนอีกตัวเก็บไว้ในหน่วยความจำควอนตัม หากโฟตอนที่สะท้อนกลับมาตรงกับตัวที่เก็บไว้ แสดงว่ามีวัตถุอยู่ตรงนั้นแน่นอน

ปัญหาคือการสร้างโฟตอนพัวพันที่เดินทางไกลยังทำได้ยาก และการเก็บรักษาความพัวพันต้องใช้สภาพแวดล้อมที่เย็นจัดใกล้ศูนย์องศาสัมบูรณ์ ซึ่งยังไม่เหมาะกับการใช้งานภาคสนาม

อย่างไรก็ตาม จีนได้เริ่มผลิต “เครื่องจับโฟตอน” ที่สามารถตรวจจับโฟตอนเดียวในทะเลของสัญญาณรบกวนได้ ซึ่งถือเป็นก้าวสำคัญในการพัฒนาเรดาร์ควอนตัม โดยเทคโนโลยีนี้ถูกพัฒนาโดยศูนย์วิจัยในมณฑลอานฮุย และเริ่มผลิตในเดือนตุลาคม 2025

แม้ยังไม่มีระบบเรดาร์ควอนตัมที่ใช้งานได้จริง แต่ความก้าวหน้าของจีนทำให้ประเทศตะวันตกเริ่มวิตก เพราะหากเทคโนโลยีนี้สำเร็จ อาจทำให้เครื่องบินล่องหนของสหรัฐฯ และพันธมิตรหมดความได้เปรียบในสนามรบ

วิธีการทำงานของเรดาร์ควอนตัมโดยใช้ Quantum Entanglement
ยิงโฟตอนที่พัวพันกันออกไป
ระบบจะสร้างโฟตอนเป็นคู่:
  • ตัวหนึ่งเรียกว่า signal photon ถูกยิงออกไปในอากาศ
  • อีกตัวเรียกว่า idler photon ถูกเก็บไว้ในระบบเรดาร์

ถ้า signal photon สะท้อนกลับจากวัตถุ (เช่น เครื่องบินล่องหน)
ระบบจะตรวจสอบว่าโฟตอนที่กลับมามี “ลายเซ็นควอนตัม” ตรงกับ idler photon หรือไม่
ถ้าตรงกัน แสดงว่าโฟตอนนั้นสะท้อนจากวัตถุจริง ไม่ใช่สัญญาณรบกวน

ผลลัพธ์คือสามารถระบุตำแหน่งของเครื่องบินล่องหนได้
แม้เครื่องบินจะสะท้อนคลื่นน้อยมาก แต่โฟตอนที่พัวพันกันจะยังคงมีความสัมพันธ์เฉพาะ
ทำให้เรดาร์สามารถ “รู้” ได้ว่าโฟตอนที่กลับมาเป็นของตัวเอง ไม่ใช่สัญญาณสุ่ม

สรุปเนื้อหาจากข่าวและสาระเพิ่มเติม
ความก้าวหน้าของจีน
เริ่มผลิตเครื่องจับโฟตอนในเดือนตุลาคม 2025
พัฒนาโดยศูนย์วิจัยในมณฑลอานฮุย
เครื่องจับโฟตอนสามารถแยกโฟตอนเดียวจากสัญญาณรบกวนได้

ความท้าทายทางเทคนิค
โฟตอนพัวพันที่เดินทางไกลยังสร้างได้ยาก
ต้องเก็บรักษาในอุณหภูมิใกล้ศูนย์องศาสัมบูรณ์
ยังไม่มีระบบที่ใช้งานได้จริงในสนามรบ

https://www.slashgear.com/2003308/china-building-world-first-quantum-radar-track-stealth-fighter-jets/

ประกอบคอมไม่ต้องแพง! 4 อุปกรณ์ที่ซื้อถูกได้ กับ 1 ชิ้นที่ควรลงทุน

ถ้าคุณกำลังคิดจะประกอบคอมใหม่ ไม่ว่าจะเพื่อเล่นเกม ทำงาน หรือตัดต่อวิดีโอ คุณไม่จำเป็นต้องจ่ายแพงทุกชิ้น! มีหลายอุปกรณ์ที่สามารถซื้อแบบราคาประหยัดได้ โดยไม่ต้องกังวลเรื่องคุณภาพมากนัก

พัดลมซีพียู (CPU Fan): ไม่ต้องไปถึงระบบน้ำ แค่พัดลมอากาศดีๆ อย่าง Cooler Master Hyper 212 ก็เอาอยู่แล้ว แถมติดตั้งง่าย ราคาประมาณ $30 เท่านั้น

เคส (Case): ถ้าไม่ได้โชว์เคสบนโต๊ะ ก็ไม่ต้องซื้อแพง เคสอย่าง Cooler Master Q300L ราคาแค่ $40 ก็สวยและใช้งานดี

แรม (RAM): ตอนนี้ 32GB กลายเป็นมาตรฐานใหม่แล้ว แต่ก็ยังหาซื้อได้ในราคาประมาณ $100 ถ้าเลือกแบรนด์ดีๆ อย่าง Corsair หรือ G.SKILL

เมนบอร์ด (Motherboard): ถ้าไม่ต้องการฟีเจอร์ล้ำๆ ก็เลือกเมนบอร์ดราคาประหยัดได้ เช่น ASRock B650M-H/M.2+ ราคาแค่ $99 รองรับ DDR5 และ CPU รุ่นใหม่

แต่มีหนึ่งชิ้นที่ไม่ควรประหยัด นั่นคือ การ์ดจอ (GPU) เพราะเกมสมัยนี้กินสเปคหนักมาก ถ้าอยากเล่นลื่นๆ ต้องลงทุนหน่อย เช่น Intel Arc B580 ที่ราคาไม่แรงแต่ประสิทธิภาพดี หรือ AMD RX 7900 XTX ที่คุ้มค่ากว่า NVIDIA RTX 4080

พัดลมซีพียู (CPU Fan)
พัดลมอากาศราคาถูกติดตั้งง่ายและเย็นพอ
Cooler Master Hyper 212 ราคาเพียง $29.99
ควรตรวจสอบความสูงก่อนซื้อให้พอดีกับเคส

เคส (Case)
เคสราคาประหยัดยังมีดีไซน์สวยและรองรับอุปกรณ์ใหญ่
Cooler Master Q300L ราคา $39.99
ข้อเสียคือพอร์ต USB ด้านหน้าอาจน้อย

แรม (RAM)
32GB กลายเป็นมาตรฐานใหม่
DDR5 ราคาประมาณ $80–130
ควรเลือกแบรนด์ใหญ่และความเร็วสูง

เมนบอร์ด (Motherboard)
เมนบอร์ดราคาถูกยังรองรับ CPU และ RAM รุ่นใหม่
ASRock B650M-H/M.2+ ราคา $99
ข้อเสียคืออาจไม่มี Wi-Fi หรือ Bluetooth

การ์ดจอ (GPU)
ควรลงทุนเพื่อประสิทธิภาพในการเล่นเกม
เกมใหม่ต้องใช้ GPU แรงเพื่อภาพลื่นและสวย
Intel Arc B580 เป็นตัวเลือกคุ้มค่า
AMD RX 7900 XTX ดีกว่า NVIDIA RTX 4080 ในราคาต่อประสิทธิภาพ

https://www.slashgear.com/2002844/pc-parts-can-buy-cheap-ones-you-should-splurge-on/

“บั๊กเดียวเปลี่ยนชีวิต! เมื่อ PyTorch สอนมากกว่าหลายปีที่ใช้งาน”

ลองจินตนาการว่าคุณกำลังเทรนโมเดล deep learning บน MacBook ด้วย PyTorch แล้วอยู่ดีๆ loss ก็หยุดนิ่งไม่ขยับ ทั้งที่คุณมั่นใจว่าโค้ดไม่มีปัญหา… นี่คือจุดเริ่มต้นของการผจญภัยของ Elana Simon นักวิจัยจาก Stanford ที่ค้นพบว่าไม่ใช่แค่ hyperparameter ที่ผิด แต่เป็นบั๊กลึกใน PyTorch ที่ซ่อนอยู่ในระดับ kernel บน Apple Silicon GPU!

เธอเริ่มจากการสงสัยตัวเอง ลองปรับทุกอย่างที่คิดได้ ตั้งแต่ learning rate ไปจนถึง auxiliary loss แต่ encoder weights กลับไม่ขยับเลยแม้แต่นิดเดียว ทั้งที่ decoder weights กลับอัปเดตตามปกติ สุดท้ายเธอพบว่า optimizer Adam บน MPS (Metal Performance Shaders) มีปัญหากับ tensor ที่ไม่ contiguous ซึ่งทำให้บาง operation อย่าง addcmul_() และ addcdiv_() ไม่อัปเดตค่าเลยแม้จะคำนวณเสร็จแล้ว!

การแก้ปัญหานี้ไม่ใช่แค่การเรียก .contiguous() แต่ยังต้องเข้าใจการทำงานของ kernel, memory layout, และ dispatch system ของ PyTorch อย่างลึกซึ้ง ซึ่งเธอได้เรียนรู้ทั้งหมดจากการไล่ debug ทีละขั้นตอน และสุดท้ายก็สามารถแก้บั๊กได้เอง พร้อมส่ง pull request ไปยัง PyTorch repo!

นอกจากนั้น เธอยังพบว่า operation อื่นๆ เช่น random_() ก็มีบั๊กแบบเดียวกัน และทั้งหมดนี้เกิดจาก abstraction ที่ “รั่ว” ของ Placeholder ที่ไม่รู้ว่าตัวเองกำลังจัดการกับ output tensor หรือ input tensor

เรื่องนี้ไม่ใช่แค่การแก้บั๊ก แต่เป็นบทเรียนสำคัญในการเข้าใจระบบที่เราใช้งานอยู่ และเป็นแรงบันดาลใจให้ใครหลายคนกล้าลงลึกเพื่อเข้าใจสิ่งที่อยู่เบื้องหลัง framework ที่เราใช้ทุกวัน

ปัญหาเริ่มต้นจาก loss ที่ไม่ลดลง
เกิดขึ้นกับ encoder weights ที่ไม่อัปเดตเลย

การตรวจสอบพบว่า gradients มีอยู่จริง
encoder มี gradient ขนาดใหญ่และไม่เป็น NaN

Optimizer Adam เป็นต้นเหตุ
encoder weights ไม่อัปเดตเมื่อใช้ Adam แต่ทำงานปกติเมื่อใช้ SGD

การตรวจสอบ state ของ Adam พบว่า exp_avg_sq เป็นศูนย์
ทั้งที่ควรมีค่าเพราะ gradients ไม่เป็นศูนย์

การเปลี่ยนไปใช้ float64 ทำให้ปัญหาหายไป
แต่จริงๆ แล้วเป็นเพราะเปลี่ยนจาก MPS ไปใช้ CPU โดยไม่ตั้งใจ

ปัญหาเกิดจาก device-specific kernel บน MPS
บาง operation ไม่สามารถเขียนค่าลงใน non-contiguous tensor ได้

การแก้ไขคือการทำ tensor ให้ contiguous ก่อนใช้งาน
โดยเรียก .contiguous() ก่อน optimizer step

การตรวจสอบ source code พบว่า operation บางตัวไม่เช็ค contiguity
เช่น addcmul_() และ addcdiv_() บน MPS ไม่ทำ copy-back

การแก้ไขใน PyTorch v2.4 ได้แก้ปัญหานี้แล้ว
โดยเพิ่มขั้นตอน copy-back สำหรับ non-contiguous output

macOS 15 รองรับ non-contiguous tensor โดยตรง
ลดความจำเป็นในการ workaround ด้วยการ copy

https://elanapearl.github.io/blog/2025/the-bug-that-taught-me-pytorch/

“เมื่อใบเสร็จกลายเป็นช่องทางสื่อสาร – โปรเจกต์สุดแหวกที่เปิดให้คนแปลกหน้าส่งข้อความถึงโต๊ะทำงาน”

Andrew Schmelyun นักพัฒนาเว็บสายสร้างสรรค์ ได้เปิดโปรเจกต์สุดแหวกแนวที่ผสมผสานโลกดิจิทัลกับโลกจริงอย่างลงตัว เขาเปิดให้คนแปลกหน้าทั่วโลกส่งข้อความถึงเขาแบบ “ไร้ตัวตน” ผ่านเว็บไซต์ที่เชื่อมต่อกับเครื่องพิมพ์ใบเสร็จบนโต๊ะทำงานของเขาโดยตรง

แรงบันดาลใจมาจากเพื่อนของเขาที่มีระบบส่งข้อความไปยังโทรศัพท์มือถือ แต่ Andrew ต้องการสิ่งที่ “จับต้องได้” มากกว่า จึงใช้เครื่องพิมพ์ใบเสร็จ Epson TM-T88IV ที่เคยใช้ในโปรเจกต์อื่น ๆ มาเป็นช่องทางรับข้อความ

เขาสร้างเว็บไซต์ด้วย Laravel บน Raspberry Pi ที่เชื่อมต่อกับเครื่องพิมพ์โดยตรงผ่านพอร์ต USB และใช้คำสั่ง ESC/POS ในการสั่งพิมพ์ข้อความ โดยมีระบบตรวจสอบความยาวและตัวอักษรเพื่อให้แน่ใจว่าข้อความจะพิมพ์ออกมาได้อย่างถูกต้อง

หลังเปิดให้ใช้งานผ่าน Cloudflare Tunnel เขาได้รับข้อความมากกว่า 1,000 ฉบับจากทั่วโลก ทั้ง ASCII art, บทกวี, มุกตลก, และคำทักทายจากประเทศต่าง ๆ จนเขาตัดสินใจซื้อแผนที่โลกและปักหมุดตามข้อความที่ได้รับ

แนวคิดของโปรเจกต์
เปิดให้คนแปลกหน้าส่งข้อความผ่านเว็บไซต์ไปยังเครื่องพิมพ์ใบเสร็จที่โต๊ะทำงาน
สร้างประสบการณ์การสื่อสารแบบ “จับต้องได้” จากโลกออนไลน์

ฮาร์ดแวร์ที่ใช้
เครื่องพิมพ์ Epson TM-T88IV แบบ thermal ไม่ต้องใช้หมึก
เชื่อมต่อผ่าน Raspberry Pi 4 ด้วย USB
ใช้ไฟล์ /dev/usb/lp0 เป็นช่องทางส่งข้อมูลไปยังเครื่องพิมพ์

การพัฒนาเว็บไซต์
ใช้ Laravel framework บน Raspberry Pi
ตรวจสอบข้อความก่อนพิมพ์ เช่น ความยาว ตัวอักษรพิเศษ และ transaction number
ใช้คำสั่ง ESC/POS ในการจัดรูปแบบและสั่งพิมพ์

การเปิดให้ใช้งาน
โฮสต์เว็บไซต์บน Raspberry Pi โดยตรง
ใช้ Cloudflare Tunnel เพื่อเปิดให้เข้าถึงจากอินเทอร์เน็ต
รองรับ HTTPS และ DNS โดยอัตโนมัติ

ปฏิกิริยาจากผู้ใช้งาน
ได้รับข้อความมากกว่า 1,000 ฉบับจากทั่วโลก
มีข้อความจาก 40 ประเทศ พร้อมปักหมุดบนแผนที่โลก
ผู้คนชื่นชอบความเรียบง่ายและความเป็นมนุษย์ของการสื่อสารผ่านใบเสร็จ

https://aschmelyun.com/blog/i-invited-strangers-to-message-me-through-a-receipt-printer/

“Noperthedron – รูปร่างแรกในประวัติศาสตร์ที่ไม่สามารถทะลุตัวเองได้”

ย้อนกลับไปในศตวรรษที่ 17 เจ้าชาย Rupert แห่งราชวงศ์อังกฤษเคยเดิมพันว่า “ลูกเต๋าหนึ่งลูกสามารถเจาะรูให้ลูกเต๋าอีกลูกลอดผ่านได้” ซึ่งนักคณิตศาสตร์ John Wallis ก็พิสูจน์ได้ว่าเป็นจริง หากเจาะรูในแนวทแยงของลูกเต๋าอย่างแม่นยำ

นับแต่นั้นมา นักคณิตศาสตร์พยายามค้นหาว่ารูปร่างอื่น ๆ โดยเฉพาะ “convex polyhedra” หรือทรงตันที่ไม่มีรอยเว้า จะสามารถมีคุณสมบัติแบบเดียวกันได้หรือไม่ ซึ่งเรียกกันว่า “Rupert property” – ความสามารถในการเจาะรูให้รูปร่างเดียวกันลอดผ่านได้

ตลอดหลายร้อยปีที่ผ่านมา นักคณิตศาสตร์พบว่าทรงลูกเต๋า, tetrahedron, octahedron, soccer ball และอีกหลายรูปทรงมี Rupert property จนกระทั่งมีการตั้งสมมติฐานว่า “ทุก convex polyhedron น่าจะมี Rupert property” …แต่ในปี 2025 สมมติฐานนี้ถูกทำลายลง

Jakob Steininger และ Sergey Yurkevich สองนักคณิตศาสตร์จากออสเตรีย ได้สร้างรูปร่างใหม่ชื่อว่า “Noperthedron” ซึ่งมี 90 จุดยอดและ 152 ด้าน และพิสูจน์ได้ว่า “ไม่มีทาง” ที่จะเจาะรูให้ Noperthedron อีกชิ้นลอดผ่านได้ ไม่ว่าจะหมุนหรือวางในทิศทางใดก็ตาม

การพิสูจน์นี้ใช้ทั้งทฤษฎีทางเรขาคณิตและการคำนวณด้วยคอมพิวเตอร์อย่างหนัก โดยแบ่งพื้นที่พารามิเตอร์ออกเป็น 18 ล้านบล็อก และตรวจสอบว่าทุกบล็อกไม่สามารถสร้าง Rupert tunnel ได้เลย

ความเป็นมาของ Rupert property
เริ่มจากเดิมพันในศตวรรษที่ 17 ว่าลูกเต๋าสามารถเจาะรูให้ลูกเต๋าอีกลูกลอดผ่านได้
John Wallis พิสูจน์ได้ว่าทำได้จริง หากเจาะในแนวทแยง

รูปร่างที่มี Rupert property
Cube, tetrahedron, octahedron, dodecahedron, icosahedron, soccer ball
นักคณิตศาสตร์เคยเชื่อว่า “ทุก convex polyhedron” มีคุณสมบัตินี้

การค้นพบ Noperthedron
สร้างโดย Jakob Steininger และ Sergey Yurkevich
มี 90 จุดยอด และ 152 ด้าน
พิสูจน์ว่าไม่สามารถเจาะรูให้รูปร่างเดียวกันลอดผ่านได้

วิธีการพิสูจน์
ใช้การวิเคราะห์เงาของรูปร่างในหลายทิศทาง
ใช้ทฤษฎี global และ local theorem เพื่อคัดกรอง orientation
ตรวจสอบ 18 ล้านบล็อกใน parameter space ด้วยคอมพิวเตอร์

ความสำคัญของการค้นพบ
ทำลายสมมติฐานเดิมที่เชื่อว่า “ทุก convex polyhedron” มี Rupert property
เปิดทางให้ศึกษารูปร่างอื่น ๆ ที่อาจเป็น Nopert ได้

https://www.quantamagazine.org/first-shape-found-that-cant-pass-through-itself-20251024/

“Canonical เปิดตัว ‘Ubuntu Academy’ – เส้นทางใหม่สู่การเป็นผู้เชี่ยวชาญ Linux อย่างเป็นทางการ”

คุณเคยอยากได้ใบรับรองความสามารถด้าน Linux ที่ไม่ใช่แค่ทฤษฎี แต่สะท้อนถึงทักษะจริงที่ใช้ในงานหรือไม่? ตอนนี้ Canonical บริษัทผู้อยู่เบื้องหลัง Ubuntu ได้เปิดตัว “Canonical Academy” แพลตฟอร์มใหม่ที่ออกแบบมาเพื่อให้คุณได้พิสูจน์ความสามารถผ่านการสอบที่เน้นการปฏิบัติจริง

Canonical Academy ไม่ใช่แค่คอร์สเรียนออนไลน์ทั่วไป แต่เป็นระบบการรับรองที่ใช้การสอบแบบ modular และ self-paced ซึ่งหมายความว่าคุณสามารถเรียนและสอบในเวลาที่คุณสะดวก โดยไม่ต้องรอรอบหรือเข้าเรียนตามตาราง

หลักสูตรแรกที่เปิดให้ใช้งานคือ “System Administrator Track” ซึ่งประกอบด้วย 3 การสอบหลัก และอีก 1 วิชาที่กำลังพัฒนา โดยทุกการสอบจะใช้สภาพแวดล้อมจำลองบนคลาวด์ที่ใกล้เคียงกับสถานการณ์จริงในที่ทำงาน

นอกจากนี้ Canonical ยังเปิดรับอาสาสมัครจากชุมชนให้เข้าร่วมเป็นผู้ทดสอบเบต้าและผู้เชี่ยวชาญเฉพาะด้าน เพื่อช่วยพัฒนาเนื้อหาให้ตรงกับความต้องการของอุตสาหกรรมจริง

Canonical เปิดตัวแพลตฟอร์ม “Canonical Academy”
เป็นระบบรับรองความสามารถด้าน Linux และ Ubuntu
เน้นการสอบแบบปฏิบัติจริง ไม่ใช่แค่ทฤษฎี

ระบบการเรียนรู้แบบ Self-paced และ Modular
เรียนและสอบได้ตามเวลาที่สะดวก
สอบแต่ละวิชาแยกกันได้ พร้อมรับ badge สำหรับแต่ละหัวข้อ
เมื่อสอบครบทุกวิชา จะได้รับใบรับรอง System Administrator

รายละเอียดของหลักสูตร System Administrator Track
Using Linux Terminal 2024 (เปิดให้สอบแล้ว)
Using Ubuntu Desktop 2024 (อยู่ในช่วงเบต้า)
Using Ubuntu Server 2024 (อยู่ในช่วงเบต้า)
Managing Complex Systems 2024 (กำลังพัฒนา)
ทุกวิชาพัฒนาบน Ubuntu 24.04 LTS

การอัปเดตในอนาคต
เตรียมอัปเดตเนื้อหาสำหรับ Ubuntu 26.04 LTS ในเดือนกันยายน 2026

การมีส่วนร่วมของชุมชน
เปิดรับผู้ทดสอบเบต้าและผู้เชี่ยวชาญเฉพาะด้าน (SME)
ช่วยออกแบบข้อสอบและตรวจสอบความเหมาะสมของเนื้อหา

คำเตือนสำหรับผู้ที่สนใจสอบรับรอง
การสอบมีการจับเวลา แม้จะเรียนแบบ self-paced
ต้องมีความเข้าใจจริงในสถานการณ์การทำงาน ไม่ใช่แค่จำทฤษฎี
การสอบใช้สภาพแวดล้อมจำลองบนคลาวด์ อาจต้องใช้เครื่องที่มีประสิทธิภาพพอสมควร

https://news.itsfoss.com/canonical-academy/

"ช่องโหว่ร้ายแรงใน Dell Storage Manager – เปิด API โดยไม่ต้องยืนยันตัวตน”

ลองจินตนาการว่าคุณเป็นผู้ดูแลระบบจัดเก็บข้อมูลขององค์กรที่ใช้ Dell Storage Manager (DSM) อยู่ แล้ววันหนึ่งมีผู้ไม่หวังดีสามารถเข้าถึง API ภายในระบบได้โดยไม่ต้องยืนยันตัวตนเลยแม้แต่น้อย… นี่คือสิ่งที่ช่องโหว่ CVE-2025-43995 กำลังสร้างความปั่นป่วนให้กับผู้ใช้งานทั่วโลก

ช่องโหว่นี้ได้รับคะแนน CVSS สูงถึง 9.8 ซึ่งจัดอยู่ในระดับ “วิกฤต” โดยเกิดจากการที่ DSM เวอร์ชัน 20.1.21 มีการเปิด API ผ่านไฟล์ ApiProxy.war ใน DataCollectorEar.ear โดยใช้ SessionKey และ UserId พิเศษที่ถูกฝังไว้ในระบบสำหรับการใช้งานภายใน แต่กลับไม่มีการตรวจสอบสิทธิ์อย่างเหมาะสม

ผลคือ ผู้โจมตีสามารถใช้ข้อมูลเหล่านี้เพื่อเข้าถึงฟังก์ชันการจัดการระบบ เช่น การดูข้อมูลการตั้งค่า การควบคุมการจัดเก็บ หรือแม้แต่การเปลี่ยนแปลงการทำงานของระบบได้จากระยะไกล โดยไม่ต้องมีบัญชีผู้ใช้หรือรหัสผ่านใด ๆ

Dell ได้ออกเวอร์ชันใหม่ 2020 R1.22 เพื่อแก้ไขช่องโหว่นี้ พร้อมอุดช่องโหว่อื่น ๆ ที่เกี่ยวข้อง เช่น CVE-2025-43994 (การเปิดเผยข้อมูล) และ CVE-2025-46425 (ช่องโหว่ XML External Entity)

ช่องโหว่ CVE-2025-43995 – Improper Authentication
เกิดใน DSM เวอร์ชัน 20.1.21
เปิด API ผ่าน ApiProxy.war โดยใช้ SessionKey และ UserId พิเศษ
ไม่มีการตรวจสอบสิทธิ์อย่างเหมาะสม

ความสามารถของผู้โจมตี
เข้าถึง API ภายในระบบจัดการข้อมูล
ควบคุมฟังก์ชันการจัดเก็บข้อมูลจากระยะไกล
ไม่ต้องมีบัญชีผู้ใช้หรือรหัสผ่าน

ช่องโหว่อื่นที่เกี่ยวข้อง
CVE-2025-43994 – Missing Authentication for Critical Function
CVE-2025-46425 – XML External Entity (XXE) ใน DSM เวอร์ชัน 20.1.20

การแก้ไขโดย Dell
ออกเวอร์ชัน 2020 R1.22 เพื่ออุดช่องโหว่ทั้งหมด
แนะนำให้อัปเดต DSM โดยเร็วที่สุด

https://securityonline.info/critical-dell-storage-manager-flaw-cve-2025-43995-cvss-9-8-allows-unauthenticated-api-bypass/

“OpenWrt อุดช่องโหว่ร้ายแรงสองรายการ – เสี่ยง RCE และเจาะหน่วยความจำเคอร์เนลผ่าน DSL Driver”

ลองจินตนาการว่าเราใช้เราเตอร์ที่รัน OpenWrt ซึ่งเป็นเฟิร์มแวร์ยอดนิยมสำหรับอุปกรณ์ฝังตัว แล้ววันหนึ่งมีคนสามารถส่งคำสั่งจากระยะไกลเพื่อควบคุมระบบ หรือแม้แต่เจาะเข้าไปอ่านและเขียนหน่วยความจำเคอร์เนลได้… นี่คือสิ่งที่ช่องโหว่ล่าสุดใน OpenWrt อาจทำให้เกิดขึ้นได้

เมื่อวันที่ 27 ตุลาคม 2025 OpenWrt ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรงสองรายการ ได้แก่:

CVE-2025-62526: ช่องโหว่ Heap Buffer Overflow ใน ubusd ซึ่งเป็น daemon สำหรับการสื่อสารระหว่างโปรเซสใน OpenWrt

CVE-2025-62525: ช่องโหว่ในไดรเวอร์ ltq-ptm ที่ใช้ในอุปกรณ์ DSL บางรุ่น ทำให้ผู้ใช้สามารถอ่านและเขียนหน่วยความจำเคอร์เนลได้

ช่องโหว่แรกเปิดให้ผู้โจมตีสามารถส่งข้อความที่ออกแบบมาเฉพาะผ่าน ubus โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ใด ๆ เพราะโค้ดที่เปราะบางทำงานก่อนการตรวจสอบ ACL ทำให้สามารถรันโค้ดในบริบทของ daemon ได้ทันที

ช่องโหว่ที่สองเปิดให้ผู้ใช้ในระบบสามารถใช้ ioctl เพื่อเข้าถึงหน่วยความจำเคอร์เนล ซึ่งอาจนำไปสู่การหลบหนีจาก sandbox เช่น ujail ได้

OpenWrt ได้แก้ไขช่องโหว่เหล่านี้ในเวอร์ชัน 24.10.4 และ snapshot builds หลังวันที่ 15–18 ตุลาคม 2025 โดยเวอร์ชันเก่าเช่น 22.03 และ 23.05 จะไม่ได้รับการสนับสนุนอีกต่อไป

ช่องโหว่ CVE-2025-62526 – ubusd Heap Buffer Overflow
เกิดในโค้ดการ parse event registration
ทำงานก่อนการตรวจสอบ ACL
เปิดช่องให้รันโค้ดในบริบทของ daemon
ส่งผลให้ bypass ACL ได้ด้วย

ช่องโหว่ CVE-2025-62525 – Kernel Memory Leak ผ่าน ltq-ptm
ใช้ ioctl เพื่ออ่าน/เขียนหน่วยความจำเคอร์เนล
กระทบอุปกรณ์ที่ใช้ SoC เช่น xrx200, danube, amazon
ใช้ในโหมด PTM (VDSL) ไม่กระทบ ATM หรือ VRX518

การแก้ไขโดย OpenWrt
แก้ไขในเวอร์ชัน 24.10.4 และ snapshot builds หลัง 15–18 ต.ค. 2025
เวอร์ชัน 22.03 และ 23.05 ไม่ได้รับการสนับสนุนแล้ว

ความเสี่ยงที่อาจเกิดขึ้น
การควบคุมระบบจากระยะไกล (RCE)
การหลบหนีจาก sandbox เช่น ujail
การเข้าถึงข้อมูลลับในหน่วยความจำเคอร์เนล

https://securityonline.info/openwrt-patches-ubusd-rce-flaw-cve-2025-62526-and-kernel-memory-leak-cve-2025-62525-in-dsl-driver/

“HashiCorp อุดช่องโหว่ร้ายแรงใน Vault – เสี่ยงถูกโจมตีผ่าน JSON และ AWS Auth”

ลองจินตนาการว่าองค์กรของคุณใช้ HashiCorp Vault เพื่อจัดการข้อมูลลับ เช่น token, key หรือ credentials สำหรับระบบคลาวด์ แล้ววันหนึ่งมีผู้ไม่หวังดีสามารถทำให้ระบบล่ม หรือแอบเข้าถึงข้อมูลโดยไม่ต้องยืนยันตัวตนเลย… นี่คือสิ่งที่ช่องโหว่ล่าสุดใน Vault อาจทำให้เกิดขึ้นได้

HashiCorp ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรง 2 รายการใน Vault และ Vault Enterprise ซึ่งอาจเปิดช่องให้เกิดการโจมตีแบบ DoS (Denial of Service) และการข้ามการยืนยันตัวตนในระบบ AWS Auth ได้ ช่องโหว่แรกเกี่ยวข้องกับการประมวลผล JSON ที่ไม่ถูกจำกัดก่อนการตรวจสอบ rate limit ทำให้ผู้โจมตีสามารถส่ง request ขนาดใหญ่ซ้ำ ๆ จนระบบล่มได้

ช่องโหว่ที่สองเกี่ยวข้องกับการยืนยันตัวตนผ่าน AWS IAM role ซึ่งหากมีการใช้ wildcard หรือมี role name ซ้ำกันในหลายบัญชี AWS อาจทำให้ผู้โจมตีจากบัญชีอื่นสามารถแอบเข้าถึง Vault ได้โดยไม่ถูกตรวจสอบ account ID

HashiCorp ได้ออกเวอร์ชันใหม่เพื่อแก้ไขปัญหาเหล่านี้ และแนะนำให้ผู้ดูแลระบบอัปเดตทันที พร้อมตรวจสอบการตั้งค่า IAM และหลีกเลี่ยงการใช้ wildcard เพื่อป้องกันการโจมตีในอนาคต

ช่องโหว่ CVE-2025-12044 – JSON DoS
เกิดจากการประมวลผล JSON ก่อนตรวจสอบ rate limit
ผู้โจมตีสามารถส่ง request ขนาดใหญ่ซ้ำ ๆ เพื่อทำให้ระบบล่ม

ช่องโหว่ CVE-2025-11621 – AWS Auth Bypass
เกิดจากการใช้ IAM role name ซ้ำกันในหลายบัญชี AWS
หากใช้ wildcard ใน bound_principal_iam จะเพิ่มความเสี่ยง
ระบบไม่ตรวจสอบ account ID เมื่อมี role name ตรงกัน

ผลกระทบที่อาจเกิดขึ้น
ระบบ Vault อาจล่มหรือไม่ตอบสนอง
ข้อมูลลับใน Vault อาจถูกเข้าถึงโดยไม่ได้รับอนุญาต
เสี่ยงต่อการยกระดับสิทธิ์และการโจมตีต่อเนื่อง

แนวทางป้องกัน
อัปเดต Vault เป็นเวอร์ชันล่าสุด เช่น 1.21.0 หรือ Enterprise 1.16.27+
ตรวจสอบ IAM role name และหลีกเลี่ยงการใช้ wildcard
ตรวจสอบการตั้งค่า EC2 Auth ที่อาจมีช่องโหว่คล้ายกัน

https://securityonline.info/hashicorp-patches-vault-flaws-aws-auth-bypass-and-unauthenticated-json-dos/

“Ubiquiti อุดช่องโหว่ร้ายแรงใน UniFi Access – API เปิดโดยไม่ต้องยืนยันตัวตน”

หากคุณใช้ระบบควบคุมประตูอัจฉริยะ UniFi Access ของ Ubiquiti อาจถึงเวลาตรวจสอบระบบอย่างจริงจัง เพราะมีการค้นพบช่องโหว่ระดับ “วิกฤต” ที่เปิดให้ผู้โจมตีเข้าถึง API การจัดการระบบได้โดยไม่ต้องยืนยันตัวตนเลยแม้แต่น้อย

ช่องโหว่นี้ได้รับคะแนน CVSS เต็ม 10.0 ซึ่งหมายถึงระดับความรุนแรงสูงสุดในมาตรฐานความปลอดภัยไซเบอร์ โดยผู้โจมตีสามารถส่งคำสั่งผ่าน API เพื่อควบคุมระบบประตู เช่น เปิด-ปิดประตู เปลี่ยนการตั้งค่า หรือแม้แต่เพิ่มผู้ใช้งานใหม่ได้ทันที โดยไม่ต้องมีสิทธิ์แอดมิน

Ubiquiti ได้ออกแพตช์เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้งานอัปเดตเฟิร์มแวร์ของ UniFi Access โดยเร็วที่สุด เพื่อป้องกันการถูกโจมตีจากระยะไกล

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย และมีการแจ้งเตือนผ่านช่องทางสาธารณะ ทำให้ผู้โจมตีสามารถใช้ข้อมูลดังกล่าวในการโจมตีระบบที่ยังไม่ได้อัปเดตได้ทันที

ช่องโหว่ใน UniFi Access ของ Ubiquiti
เปิด API การจัดการโดยไม่ต้องยืนยันตัวตน
ได้รับคะแนน CVSS 10.0 ซึ่งเป็นระดับสูงสุด

ความสามารถของผู้โจมตี
ควบคุมระบบประตูจากระยะไกล
เปลี่ยนการตั้งค่า เพิ่มผู้ใช้ หรือเปิดประตูได้ทันที
ไม่ต้องมีสิทธิ์แอดมินหรือบัญชีผู้ใช้ใด ๆ

การตอบสนองของ Ubiquiti
ออกแพตช์เพื่อแก้ไขช่องโหว่แล้ว
แนะนำให้อัปเดตเฟิร์มแวร์ของ UniFi Access โดยเร็ว

ความสำคัญของการอัปเดต
ช่องโหว่ถูกเปิดเผยต่อสาธารณะแล้ว
ระบบที่ยังไม่ได้อัปเดตมีความเสี่ยงสูงต่อการถูกโจมตี

https://securityonline.info/ubiquiti-patches-critical-cvss-10-flaw-in-unifi-access-that-exposed-management-api-without-authentication/

“Ubuntu 25.10 เจอช่องโหว่ใน Rust Coreutils – อัปเดตอัตโนมัติถูกบล็อกทั่วระบบ”

ในโลกของโอเพ่นซอร์สที่กำลังเปลี่ยนผ่านจากภาษา C ไปสู่ Rust เพื่อความปลอดภัยและประสิทธิภาพที่ดีกว่า Ubuntu ก็เป็นหนึ่งในผู้บุกเบิก โดยในเวอร์ชัน 25.10 ได้เริ่มใช้ uutils ซึ่งเป็นชุดคำสั่งพื้นฐานที่เขียนด้วย Rust แทน GNU coreutils แบบเดิม

แต่ความเปลี่ยนแปลงนี้กลับนำมาซึ่งปัญหาใหญ่ เมื่อมีการค้นพบช่องโหว่ในแพ็กเกจ rust-coreutils ที่ทำให้ระบบไม่สามารถตรวจสอบและติดตั้งอัปเดตอัตโนมัติได้ตามปกติ ส่งผลกระทบต่อทั้งเวอร์ชันเดสก์ท็อป เซิร์ฟเวอร์ และแม้แต่การใช้งานในคอนเทนเนอร์และคลาวด์

Canonical ผู้ดูแล Ubuntu ได้ออกมาแจ้งเตือนและแนะนำให้ผู้ใช้ตรวจสอบเวอร์ชันของแพ็กเกจด้วยคำสั่ง dpkg -l rust-coreutils หากพบว่าเป็นเวอร์ชันก่อน 0.2.2-0ubuntu2.1 ให้รีบอัปเดตด้วยคำสั่ง sudo apt install --update rust-coreutils เพื่อให้ระบบกลับมาทำงานได้ตามปกติ

ช่องโหว่นี้เกิดขึ้นในช่วงที่ Ubuntu กำลังเตรียมตัวสำหรับเวอร์ชัน LTS ที่จะเปิดตัวในเดือนเมษายน 2026 ซึ่งจะใช้ Rust เป็นแกนหลักของระบบมากขึ้น การแก้ไขปัญหานี้จึงเป็นเรื่องสำคัญเพื่อรักษาความเชื่อมั่นของผู้ใช้และนักพัฒนา

ช่องโหว่ในแพ็กเกจ rust-coreutils บน Ubuntu 25.10
ส่งผลให้ระบบไม่สามารถอัปเดตอัตโนมัติได้
กระทบทั้งเดสก์ท็อป เซิร์ฟเวอร์ คลาวด์ และคอนเทนเนอร์

วิธีตรวจสอบและแก้ไข
ใช้คำสั่ง dpkg -l rust-coreutils เพื่อตรวจสอบเวอร์ชัน
เวอร์ชันที่ปลอดภัยคือ 0.2.2-0ubuntu2.1 ขึ้นไป
อัปเดตด้วยคำสั่ง sudo apt install --update rust-coreutils

ความเคลื่อนไหวของ Ubuntu
เปลี่ยนมาใช้ uutils และ sudo-rs ที่เขียนด้วย Rust
เป็นส่วนหนึ่งของแผน “oxidize” ระบบเพื่อเพิ่มความปลอดภัย
เตรียมความพร้อมสำหรับ Ubuntu LTS ในปี 2026

https://securityonline.info/critical-rust-coreutils-bug-blocks-automatic-updates-on-ubuntu-25-10/

หัวข้อข่าว: “ภัยร้ายจากปลั๊กอิน WordPress กลับมาอีกครั้ง – กว่า 8.7 ล้านครั้งโจมตีผ่าน GutenKit และ Hunk

ลองจินตนาการว่าคุณเป็นผู้ดูแลเว็บไซต์ WordPress ที่ใช้งานปลั๊กอินยอดนิยมอย่าง GutenKit หรือ Hunk Companion อยู่ดี ๆ วันหนึ่งเว็บไซต์ของคุณถูกแฮกโดยไม่รู้ตัว เพราะมีช่องโหว่ที่เปิดให้ผู้ไม่หวังดีสามารถติดตั้งปลั๊กอินอันตรายจากภายนอกได้โดยไม่ต้องยืนยันตัวตนเลยแม้แต่น้อย...

นี่คือสิ่งที่เกิดขึ้นจริงในเดือนตุลาคม 2025 เมื่อ Wordfence ทีมผู้เชี่ยวชาญด้านความปลอดภัยออกมาเตือนถึงการกลับมาของการโจมตีครั้งใหญ่ที่เคยเกิดขึ้นเมื่อปีก่อน โดยมีการโจมตีมากกว่า 8.7 ล้านครั้งผ่านช่องโหว่ในปลั๊กอิน GutenKit และ Hunk Companion ซึ่งมีผู้ใช้งานรวมกันกว่า 48,000 เว็บไซต์ทั่วโลก

ช่องโหว่เหล่านี้เปิดให้ผู้โจมตีสามารถส่งคำสั่งผ่าน REST API ที่ไม่มีการตรวจสอบสิทธิ์ ทำให้สามารถติดตั้งปลั๊กอินจากภายนอกที่แฝงมัลแวร์ได้ทันที โดยปลั๊กอินปลอมเหล่านี้มักมีชื่อดูไม่น่าสงสัย เช่น “background-image-cropper” หรือ “ultra-seo-processor-wp” แต่ภายในกลับเต็มไปด้วยโค้ดอันตรายที่สามารถเปิดช่องให้แฮกเกอร์ควบคุมเว็บไซต์จากระยะไกลได้

ที่น่ากลัวกว่านั้นคือ ผู้โจมตีใช้บอตเน็ตจากเซิร์ฟเวอร์ที่ถูกแฮกแล้วในการโจมตีแบบอัตโนมัติทั่วโลก และยังมีการใช้ปลั๊กอินอื่นที่มีช่องโหว่เพื่อเชื่อมโยงการโจมตีให้ลึกขึ้น เช่น wp-query-console ที่ยังไม่มีการอุดช่องโหว่

นอกจากการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดแล้ว ผู้ดูแลเว็บไซต์ควรตรวจสอบไฟล์ที่ไม่รู้จักในโฟลเดอร์ปลั๊กอิน และบล็อก IP ที่มีพฤติกรรมต้องสงสัยทันที เพื่อป้องกันการโจมตีซ้ำ

ช่องโหว่ปลั๊กอิน WordPress GutenKit และ Hunk Companion
ช่องโหว่ CVE-2024-9234, CVE-2024-9707, CVE-2024-11972 มีคะแนน CVSS 9.8
เปิดให้ติดตั้งปลั๊กอินจากภายนอกโดยไม่ต้องยืนยันตัวตน
GutenKit มีผู้ใช้งานกว่า 40,000 เว็บไซต์, Hunk Companion กว่า 8,000 เว็บไซต์

การโจมตีที่เกิดขึ้น
เริ่มกลับมาอีกครั้งในเดือนตุลาคม 2025
Wordfence บล็อกการโจมตีไปแล้วกว่า 8.7 ล้านครั้ง
ใช้บอตเน็ตจากเซิร์ฟเวอร์ที่ถูกแฮกในการโจมตีแบบอัตโนมัติ

ตัวอย่างปลั๊กอินปลอมที่พบ
background-image-cropper
ultra-seo-processor-wp
oke, up

วิธีการโจมตี
ส่ง POST request ไปยัง REST API ที่ไม่มีการตรวจสอบสิทธิ์
ใช้ ZIP file ที่แฝงโค้ด PHP อันตราย เช่น vv.php
โค้ดมีความสามารถในการเปิด terminal, ดักข้อมูล, เปลี่ยนสิทธิ์ไฟล์

แนวทางป้องกัน
อัปเดต GutenKit เป็นเวอร์ชัน ≥ 2.1.1 และ Hunk Companion ≥ 1.9.0
ตรวจสอบโฟลเดอร์ /wp-content/plugins/ และ /wp-content/upgrade/
ตรวจสอบ access logs สำหรับ endpoint ที่น่าสงสัย
บล็อก IP ที่มีพฤติกรรมโจมตี

https://securityonline.info/critical-wordpress-rce-flaws-resurface-over-8-7-million-attacks-exploit-gutenkit-hunk-companion/

เรื่อง ข้อสอบรั่ว
“ข้อสอบรั่ว”

เมื่อคืนตอนดึก(พฤหัส 3 เมย.) ตอนผมกำลังนั่งเขียนเรื่องเสี่ยปั้มน้ำมัน เครื่องมันส่งสัญญานว่า เดี๋ยว CNN จะมีข่าวด่วน Breaking news เกี่ยวกับเรื่องการเจรจากับอิหร่าน ผมเลยต้องหยุดเขียน มาดูข่าว เพราะเห็นว่าอิหร่านเป็นตัวเล่นสำคัญ ของฉากสงคราม จะไปถึงสงครามโลกหรือไม่ ก็ต้องดูผลการเจรจาเกี่ยวกับเรื่องนี้ด้วยเหมือนกัน

CNN โปรยข่าวว่า สรุปการเจรจาเรื่องนิวเคลียร์ของอิหร่านได้แล้ว เดี๋ยวนายโอบามาจะมาแถลงเอง อือหือ เจรจาที่เมืองโลซานน์ เสร็จปุบ เจ้าหน้าที่ตรานกอินทรีย์ปีกเหี่ยว ก็ตีปีบ ให้ พณ.หัวเจ้าท่านเดินทำหน้า สมเป็นท่านผู้นำ ผู้พิทักษ์โลกมาแถลงข่าวที่วอชิงตันทันที จำไว้นะครับ ใครจะเป็นท่านผู้นำ เวลาแถลงข่าวสำคัญ ต้องทำหน้าเครียดไว้ก่อน และถ้าคิดว่าตัวเองกำลังได้เปรียบ แต่จริงๆ อาจเสียเปรียบอยู่ ก็ต้องทำสีหน้า ออกแนวเหยียดๆ หยิ่งๆไว้ เพราะได้ผลดี เล่นเอาผมตื่นเต้นไปหมดกับการตีปีบ ตีสีหน้า

แหม แต่เนื้อข่าวโอละพ่อ ไม่สมราคา เสียเวลามาฟังเลยนะ

พณ.หัวเจ้าท่าน บอกว่า “เรา” ตกลงในกรอบการเจรจา “framework” กับอิหร่านสำเร็จเรียบร้อยแล้ว อิหร่านตกลงที่จะลดการสะสมสารที่นำมาใช้ในการผลิตให้เหลือ… ….ยอมให้มีการตรวจสอบโดย International Atomic Energy Agency ( IAEA) และยอมให้ IAEA ตรวจสอบอุปกรณ์ที่ใช้ ฯลฯ …นี่เป็นครั้งแรกที่เป็นการตกลง ที่ไม่ใช่อยู่บนพิ้นฐานของความเชื่อใจ (trust) แต่อยู่บนพิ้นฐานของการยืนยันความเป็นจริง (verification) การดำเนินการจะถูกจับตาอย่างใกล้ชิด และถ้าอิหร่านขี้โกง (cheat) โลกจะได้รู้กัน

การใช้คำว่า cheat นี่เป็นคำรุนแรงนะครับ เป็นการไม่ให้เกียรติในระดับประเทศด้วยกัน และถ้าผมเป็นอิหร่าน ผมจะลงบัญชีดำไว้แน่นอน

ส่วนรายละเอียดของการตกลง “กรอบ” โปรดไปหากันเองนะครับ เพราะประเด็นที่ผมจะเขียนไม่ได้เน้นที่รายละเอียด

ผมเห็นว่า เป็นการแถลงที่ “สั่ว” ที่สุด สำหรับคนที่มีฐานะเป็นถึง พณ.หัวเจ้าท่านประธานาธิบดี ของประเทศมหาอำนาจ เพราะมันเสมือนเป็นการตกลงแค่ จะเอากรอบรูปอะไร แต่รูปจะออกมาเป็นอย่างไร ยังไม่รู้เลย แล้วดันออกมาบรรยายว่า ได้รูปสวยสมใจ มันก็เห็นชัดอยู่แล้วว่า เป็นแค่ “กรอบ” การเจรจา “สั่ว” ไหมครับ ไม่รู้ที่ปรึกษาคนไหนวางยา แนะให้ พณ.หัวเจ้าท่าน ออกมายืนโม้ ปล่อยมาทั้งเล้าแบบนี้ เป็นผมสั่งปลดหมดทั้งคอกเลย

การมาแถลงว่า “ตกลง กรอบการเจรจากับอิหร่าน” ในเรื่องที่กำลังเป็นประเด็นสำคัญ คือ การผลิตนิวเคลียร์ นี่แสดงว่า ระดับการเจรจาระหว่าง ฝ่ายตะวันตก กับฝ่ายอิหร่าน ห่างกันหลายชั้น เป็นการแถลงที่แสดงการสอบตกของคนเจรจากับอิหร่าน!
การตกลงกรอบเจรจา ถึงจะเป็นแค่กรอบ แต่มันผูกพันทั้ง 2 ฝ่าย สำหรับอิหร่านกลายเป็นได้เปรียบไปแล้ว ระหว่างนี้ ถึงสิ้นเดือนมิถุนายน ที่เป็นวันเส้นตายต้องลงนามใน สัญญากันจริง ผมเป็นอิหร่าน ผมรู้ข้อสอบล่วงหน้าแล้ว เรื่องอะไรผมจะทำให้สอบตก เขียนอย่างนี้คงพอเข้าใจ คนเจรจาด้านอเมริกาน่ะ บอกข้อสอบอิหร่านไปเรียบร้อยแล้ว มิน่าอิสราเอล พอฟังแถลงข่าวถึงควันออกทุกทวาร อเมริกาเสียเปรียบอิหร่านคนเดียวไม่พอ ดึงเอาอิสราเอล และลากเอาตะวันออกกลางเละตามไปด้วย อิหร่านมีเวลา 3 เดือนสำหรับเตรียมตัวในการหาคำตอบเข้าห้องสอบ แต่คนออกข้อสอบ ดันประกาศข้อสอบ ออกหน้าจอโทรทัศน์ไปแล้ว แก้ข้อสอบคงยากหน่อยนะ

ส่วนท่านต่างๆที่ฟังข่าวฟอกย้อม เรื่องนี้ แล้วเสียดายว่า อิหร่านไม่น่าไปยอมอเมริกา ก็คิดอีกทีนะครับ นักเรียนรู้ข้อสอบล่วงหน้า นี่ มันจะสอบได้ หรือสอบตก ถ้ารู้ข้อสอบถึงขนาดนี้แล้วยังสอบตก ก็สมแล้วครับ

สวัสดีครับ
คนเล่านิทาน
5 เมย. 2558

เรื่อง กระเป๋าแบนแฟนทิ้ง
“กระเป๋าแบนแฟนทิ้ง”

(1)

คนรักจากลา ตอนชะตาของพี่ตกต่ำ… เรื่องอย่างนี้ใครไม่เคยเจอ คงไม่รู้ว่ามันชอกช้ำขนาดไหน ผมได้ยินเสียงร้องแบบนี้เป็นภาษาตุรกี หลายเดือนมาแล้ว แต่ไม่นึกว่า ใครจะทิ้งนักไต่ลวด จอมเล่นเกมเสียวของผมได้ลงคอ โดยเฉพาะ ไอ้พวกที่หลอกใช้นักไต่ลวดมากว่า 60 ปีอย่างอเมริกา นึกว่าเขาแค่งอนกัน ชั่วครั้งชั่วคราว ก็เห็น ตาโอ ยังกอดคอเล่าเรื่องตลกให้ลุงเออ Erdogan ท่านประธานาธิบดี ของตุรกี หัวร่อกันงอหาย อยู่ทุกครั้งที่เจอกัน ตอนน้ำต้มผักยังหวาน

แต่เมื่อต้นปี หลังฉลองปีใหม่ไปไม่ถึงเดือน ทางวอชิงตันก็มีการทบทวนความสัมพันธ์ กับนักไต่ลวด ที่นับวันจะแตกต่าง ห่างกันออกไปเรื่อยๆ

นาย Michael Werz นักวิเคราะห์อาวุโส ของถังขยะความคิด Center for American Progress ให้สัมภาษณ์ถึงสัมพันธ์ของนักล่ากับนักไต่ลวดว่า

” มันก็เหมือนคู่แต่งงาน ที่อยู่กันมานานแล้วน่ะนะ ไม่มีอะไรให้หวือหวา ซู่ซ่า เหมือนเดิม มีแต่เรื่องบ่นใส่กัน ที่แย่คือ เอาเรื่องในที่ลับมาเล่าในที่แจ้ง โพนทะนา ให้คนนอกฟังนั่นแหละ” ฮั่นแน่ แสดงว่ามีเรื่องไม่เอาไหน บ่มิไก๋ ปิดไว้แยะล่ะซีท่า

อเมริกาไม่พอใจที่ตุรกีไม่เล่นบทผู้นำในการปราบพวก ISIL ไม่พอใจที่ตุรกี ปฏิบัติตัวไม่ได้ตามมาตรฐานของสมาชิกนาโต้ แต่ที่อเมริกาไม่พอใจที่สุด คือ ที่เข้าไปใช้ฐานทัพที่ Incirlik ไม่ได้ตามต้องการ Incirlik เป็นฐานทัพที่อเมริกาอ้างว่าเป็นของตน แต่ฐานทัพนี้อยู่ในตุรกีนะครับ สมันน้อยอ่านแล้ว ก็คิดถึงเรื่อง อู่ตะเภา ตาคลี ฯลฯ เอาไว้บ้าง อยู่ในบ้านเราแท้ๆ หวังว่าเขาไม่คิดว่าเป็นของเขา นึกจะใช้เมื่อไหร่ก็ได้ แล้วเราก็ดันยอม….

“ความเชื่อใจที่มีต่อกัน กำลังจางหายลงไปทุกวัน ” ถังความคิดพล่ามต่อ ” เราจึงต้องประเมินความสัมพันธ์ ระหว่างเรากับตุรกีใหม่ แม้ว่าเราจะนับเป็นพวกเดียวกัน แต่ตอนนี้มันต้องแยกเป็นเรื่องๆ แล้ว”

เป็นการพล่ามที่ได้ผลมาก หลังจากฟังอเมริกา ให้ถังขยะ ด่าลอยลมมาในเดือนมกราคม เดือนกุมภาพันธ์ นักไต่ลวดจอมเล่นเกมเสียว ก็เลยเล่นเสียวกลับ
จำได้ไหมครับ ผมเคยเล่าให้ฟังว่าตุรกี คิดจะมีระบบป้องกันการยิงจรวดวิถี ไกล (long range air and missile defense system) ซึ่งอเมริกาค้านนักหนา ว่าเอามาทำไม นาโต้ก็มีอยู่แล้ว แต่ตุรกีไม่ชอบใช้จมูกคนอื่นหายใจ จึงเปิดให้มีการประมูล ตั้งแต่ปี 2009 ปรากฏว่าระบบของจีนเข้าสเป็คที่สุด กะจะประกาศผลตั้งแต่ ปี 2013 แต่ตุรกี ก็ทั้งชลอ ทั้งเลื่อนการประกาศผล ไปเรื่อยๆ การประกาศจะเลือกระบบของจีน แต่ชลอการประกาศไปเรื่อยๆ นับเป็นความสุดเก๋า ของนักไต่ลวด ที่มีวิธีลองใจแฟน

ก็ได้ผลอย่างที่อยากลอง ถูกเขาด่า ทั้งใส่หน้า และลอยลมมาตลอดว่า จะไม่เข้ากับระบบของนาโต้ และจะทำให้ความลับของนาโต้รั่วไหลไปถึงจีน (เป็นไปตามแผน แต่ไม่รู้แผนใคร ! )

ล่าสุด ตุรกีว่าจะประกาศเมื่อปลายปีที่แล้ว ก็เงียบไป คงยังตัดใจไม่ได้ ว่าจะเอาไงดีกับแฟน 60 ปี สงสัย เจอถังขยะลอยมาใส่เข้า เลยตัดใจได้

ประมาณกลางเดือนกุมภาพันธ์ รัฐมนตรีกลาโหมของตุรกี Ismet Yilmaz ทำหนังสือแจ้งไปยังสภาว่า ตรวจสอบเสร็จเรียบร้อย(นานแล้ว)คร้าบ ของจีนเหมาะที่สุดคร้าบ

ข่าวว่า มีคนเอาหน้าไปแจ้ง อาเฮีย อาเฮียได้แต่หัวร่อฮาๆ สั่งเด็กให้ไปซื้อยาล้างตาเตรียมไว้ล่วงหน้า ก่อนจะได้ดูนาโต้แก้ผ้า แถมซื้อเผื่อคุณพี่ปูของผมด้วย เพราะจะได้ดูด้วยกัน ซานุกดีเนอะ

(2)

นึกว่านักไต่ลวดจะมีฤทธิ์เพียงเท่านี้หรือ รู้จักนักไต่ลวดน้อยไปซะแล้ว ล่าสุด เมื่อต้นเดือนมีนาคม คุณลุงเออโดวาน Erdogan ประธานาธิบดีตุรกี ก็แวะไปเยี่ยมกษัตริย์ซาลมาน Salman แห่งซาอุดิอารเบีย ซึ่งไม่ใช่ไปเยี่ยมด้วยความรักใคร่ แต่ไม่รู้ว่าคุยอะไรกันไปบ้าง เยี่ยมเสร็จ สื่อตีข่าวกันใหญ่ว่า สัมพันธ์ระหว่าง ตุรกี กับ ซาอุดิ กำลังขึ้นหน้าใหม่ Turkey – Saudi relations turn ‘a new page’

ตุรกีกับซาอุดิ มีเรื่องคาใจค้างกันอยู่ เกี่ยวกับเรื่องอียิปต์ ตุรกีนั้น หนุนอดีตประธานาธิบดี Morsi ของ Muslim Brotherhood ที่เพิ่งถูกปลด ส่วนซาอุดิหนุน Fattah el-Sisi ที่ขึ้นมาเป็นแทน ซาอุดิไม่ชอบกลุ่ม Muslim Brotherhood แต่ระยะหลังเริ่มเสียงอ่อน

ประเด็นใหญ่ของการไปเยี่ยม ข่าวบอกว่าน่าจะเป็นเรื่องอียิปต์ กับ “เรื่องอื่นๆ” ที่ 2 ประเทศจะแลกเปลี่ยนความคิดกัน

เรื่องอื่นๆ หมายถึงเรื่องอะไร

ตะวันออกกลาง ร้อนระอุไม่หยุด และน่าจะร้อนขึ้นไปเรื่อยๆ

สิ้นเดือนนี้ หรืออย่างช้า กลางเดือนเมษายน การเจรจาเรื่องอิหร่านผลิตอาวุธนิวเคลียร์จะต้องจบ อิหร่านเป็นหนามตำใจ ซาอุดิที่สุด ซาอุดิกำลังคิดว่า อเมริกาจะกลับไปคืนดีกับอิหร่าน แฟนเก่า และทอดทิ้งซาอุดิให้สู้รบ กับผู้ก่อการร้ายในตะวันออกกลางอย่างเดียวดาย ( เอะ น่าจะเปลี่ยนชื่อ นิทานตอนนี้ ว่า ชมรมคนถูกแฟนทิ้ง อาจจะเหมาะกว่า )
ฉะนั้น ไม่มีโอกาสไหนจะดีไปกว่าตอนนี้ ที่ตุรกีนักไต่ลวด ผู้ชอบเล่นเกมเสียว จะไปคุยกับซาอุดิเรื่องอิหร่าน ตุรกีอาจจะไปบี้ให้ซาอุดิให้เจ็บหนักขึ้น หรือจะไปชวนให้ซาอุดิถีบแฟนทิ้ง เหมือนอย่างที่ตุรกีกำลัง (คิด) ทำอยู่

แค่ตุรกีไม่ให้ความร่วมมือกับอเมริกา ไม่ให้อเมริกาไปซ่าอยู่ที่ฐานทัพ Incirlik อเมริกาก็เหนื่อยพอแล้ว แต่ถ้าตุรกีไม่หยุดแค่นั้น ถ้าตุรกีหันมาอยู่ฝ่ายรัสเซีย จีนเต็มตัว อเมริกาจะเป็นอย่างไร!?

และถ้าสิ้นเดือนนี้ การเจรจาเรื่องนิวเคลียร์กับอิหร่านล้มเหลว ภายในกลางเดือนเมษายนรัฐสภาอเมริกัน จะต้องลงมติว่าจะคว่ำบาตรอิหร่านต่อหรือไม่ ถ้าคว่ำกันต่ออีก รับรองได้เห็นอิหร่านยืนเรียงแถวอยู่ฟากเดียวกับรัสเซีย จีน แน่นอน และถ้าเป็นอย่างนั้น ตุรกีตัดใจเลิกเล่นเสียวกับอเมริกาแน่นอน และมายืนจับมือกับอิหร่านแทน

สัมพันธ์พิเศษระหว่างรัสเซีย อิหร่าน และตุรกี เป็นเรื่องที่อเมริกาจับตามองอยู่ตลอดเวลา อเมริกาพยายามทุกอย่าง ที่จะให้ทั้ง 3 ประเทศจับมือกันไม่ติด เพราะถ้าจับกันติดเมื่อไหร่ หมายถึงประตูเข้าไปในตะวันออกกลางของอเมริกา น่าจะถูกปิดตาย

และถ้าเป็นอย่างนั้น ซาอุดิจะย่อมร้อนระอุ รอเวลาอเมริกา(ไม่) มาอุ้ม หรือ อยากจะเปลี่ยน มาอยู่ทีมไต่ลวดกับเขาบ้าง แหม แค่คิดก็กลุ้มแทน จะเล่นเป็นหรือ พวกเสี่ยน้ำมัน เท้าไม่แตะดิน!

ท่านผู้อ่านนิทานก็เหมือนกันนะครับ อย่ามัวแต่อ่านอย่างเดียว ตามดูสถานการณ์กันบ้าง ถ้ามันพลิกไปทางที่ผม “ถ้า” เอาไว้ ก็เตรียมตัวกันบ้างแล้วกัน

สวัสดีครับ
คนเล่านิทาน
19 มีค. 2558

บูรพาไม่แพ้ Ep.144 : ‘ยัยตัวร้าย’ ปราบ Scambodia
.
รัฐบาลกัมพูชา กำลังเดือดร้อนอย่างหนักจากกรณีที่มีนักศึกษาเกาหลีใต้คนหนึ่งที่ถูกหลอกลวงไปให้ทำงานกับขบวนการสแกมเมอร์เสียชีวิตอย่างเป็นปริศนา ทางการเกาหลีใต้ก็เลยส่งรัฐมนตรีและเจ้าหน้าที่ระดับสูงไปยังกัมพูชา เพื่อตรวจสอบขบวนการอาชญากรรมข้ามชาติ และยังขึ้นบัญชีดำ กัมพูชาเป็นแดนอันตราย ห้ามชาวเกาหลีใต้เดินทางไปอีกด้วย
.
นี่ไม่ใช่ครั้งแรกที่รัฐบาลต่างชาติส่งเจ้าหน้าที่ไปยังประเทศกัมพูชา เพื่อกดดันให้ปราบปรามแก๊งคอลเซนเตอร์ และขบวนการค้ามนุษย์ โดยก่อนหน้านี้ จีน และญี่ปุ่น ก็เคยส่งเจ้าหน้าที่เข้าไปยังกัมพูชา เพื่อรับตัวพลเมืองของตัวเอง ทั้งที่ถูกหลอกลวง และสมัครใจเข้าร่วมกับแก๊งอาชญากรรมข้ามชาติ แต่ปฏิบัติการของเกาหลีใต้ครั้งนี้ถูกพูดถึงกันมากว่ารวดเร็วแ ละเด็ดขาด เหมือนกับในซีรีย์เกาหลีที่เราดูกันเลย ...
.
คลิกฟัง >> https://www.youtube.com/watch?v=U-UIB9Eyv_M
.
#บูรพาไม่แพ้ #กัมพูชา #scambodia #เกาหลีใต้ #แก๊งคอลเซ็นเตอร์

“แฮกเกอร์แกล้งบอกคุณตายแล้ว: กลโกงใหม่หลอกผู้ใช้ LastPass ให้เปิดเผยรหัสผ่าน”

ล่าสุดมีกลโกงแปลก ๆ ที่กำลังระบาดในหมู่ผู้ใช้ LastPass ซึ่งเป็นบริการจัดการรหัสผ่านยอดนิยม—แฮกเกอร์ส่งอีเมลปลอมมาบอกว่า “คุณเสียชีวิตแล้ว” เพื่อหลอกให้เหยื่อคลิกลิงก์และกรอกรหัสผ่านหลัก!

ฟังดูเหมือนเรื่องตลก แต่จริง ๆ แล้วมันเป็นกลยุทธ์ทางจิตวิทยาที่แยบยลมาก เพราะถ้าเราได้รับอีเมลที่บอกว่ามีคนส่งใบมรณบัตรเพื่อขอเข้าถึงบัญชีของเรา เราก็อาจตกใจและรีบตอบกลับทันทีโดยไม่คิดให้รอบคอบ

อีเมลปลอมพวกนี้มีหัวข้อว่า “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” และมีเนื้อหาที่ดูเหมือนมาจากฝ่ายสนับสนุนของ LastPass พร้อมลิงก์ให้ “ยกเลิกคำขอ” ซึ่งจริง ๆ แล้วเป็นเว็บไซต์ของแฮกเกอร์ที่ใช้ขโมยรหัสผ่านหลักของเรา

บางกรณีแฮกเกอร์ยังโทรมาหาเหยื่อโดยตรงเพื่อเร่งให้เข้าไปกรอกข้อมูลในเว็บปลอมอีกด้วย—เรียกว่าใช้ทั้ง phishing และ social engineering แบบเต็มรูปแบบ

กลุ่มที่อยู่เบื้องหลังแคมเปญนี้ชื่อว่า CryptoChameleon ซึ่งเคยโจมตีแพลตฟอร์มคริปโตมาก่อน และตอนนี้หันมาเล่นงานผู้ใช้ LastPass โดยเฉพาะ

กลโกงใหม่ที่ใช้ข้อความ “คุณเสียชีวิตแล้ว”
อีเมลปลอมอ้างว่ามีการส่งใบมรณบัตรเพื่อขอเข้าถึงบัญชี LastPass
มีหัวข้ออีเมลว่า “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)”
มีลิงก์ให้ “ยกเลิกคำขอ” ซึ่งนำไปสู่เว็บไซต์ปลอมเพื่อขโมยรหัสผ่านหลัก

การใช้เทคนิค social engineering เพื่อหลอกเหยื่อ
เนื้อหาอีเมลดูเหมือนมาจากฝ่ายสนับสนุนจริง มีข้อมูลปลอมเช่นหมายเลขเคสและชื่อเจ้าหน้าที่
บางกรณีมีการโทรศัพท์หาผู้ใช้เพื่อเร่งให้เข้าเว็บปลอม
ใช้จิตวิทยาเพื่อให้เหยื่อตอบสนองทันทีโดยไม่ตรวจสอบ

คำเตือนจาก LastPass และผู้เชี่ยวชาญด้านความปลอดภัย
LastPass ยืนยันว่าไม่เคยขอรหัสผ่านหลักจากผู้ใช้
เตือนให้ผู้ใช้ตรวจสอบอีเมลที่น่าสงสัยและไม่คลิกลิงก์โดยไม่แน่ใจ
แนะนำให้ใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) เพื่อป้องกันการเข้าถึงบัญชี

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง: CryptoChameleon
เคยโจมตีแพลตฟอร์มคริปโตและใช้ LastPass เป็นส่วนหนึ่งของ phishing kit
ใช้โฮสต์ที่มีชื่อเสียงด้านการหลบเลี่ยงการตรวจสอบเพื่อสร้างเว็บปลอม
มีพฤติกรรมซ้ำแบบเดิม เช่น การโทรหาเหยื่อและใช้ข้อมูลปลอม

คำเตือนสำหรับผู้ใช้ LastPass และบริการจัดการรหัสผ่านอื่น ๆ
อย่ากรอกรหัสผ่านหลักในเว็บไซต์ที่ไม่ใช่ของ LastPass โดยตรง
หากได้รับอีเมลที่ดูน่าสงสัย ให้ตรวจสอบ URL และอย่าคลิกลิงก์ทันที
ควรเปิดใช้ MFA และตั้งค่าความปลอดภัยเพิ่มเติมในบัญชี
หากสงสัยว่าโดน phishing ให้รายงานไปที่ abuse@lastpass.com พร้อมแนบอีเมลหรือภาพหน้าจอ

https://www.csoonline.com/article/4079001/scammers-try-to-trick-lastpass-users-into-giving-up-credentials-by-telling-them-theyre-dead-2.html

“AI พลิกโฉมการเงิน: ที่ปรึกษากลยุทธ์ช่วยสถาบันการเงินรับมือความเสี่ยงยุคดิจิทัล”

ตอนนี้วงการการเงินกำลังเปลี่ยนแปลงครั้งใหญ่ เพราะ AI ไม่ได้แค่เข้ามาช่วยคิดเลขหรือวิเคราะห์ข้อมูลธรรมดา ๆ แล้วนะ มันกลายเป็นเครื่องมือหลักในการจัดการความเสี่ยง ป้องกันการโกง และตัดสินใจเชิงกลยุทธ์แบบที่มนุษย์ทำคนเดียวไม่ไหว

AI ในภาคการเงินตอนนี้ฉลาดมากถึงขั้นตรวจจับธุรกรรมที่น่าสงสัยได้แบบเรียลไทม์ วิเคราะห์ข้อมูลมหาศาลเพื่อหาความผิดปกติ และช่วยให้สถาบันการเงินตอบสนองต่อภัยคุกคามได้ทันที ที่เด็ดคือมันยังช่วยปรับปรุงการตัดสินใจเรื่องการลงทุน การให้เครดิต และการบริหารพอร์ตได้อย่างแม่นยำด้วย

แต่การจะใช้ AI ให้เวิร์กจริง ๆ ไม่ใช่แค่ซื้อระบบมาแล้วจบ ต้องมี “ที่ปรึกษากลยุทธ์ด้าน AI” มาช่วยวางแผนให้ตรงกับเป้าหมายธุรกิจ ตรวจสอบความเสี่ยงตั้งแต่ต้น และออกแบบระบบให้เข้ากับโครงสร้างเดิมขององค์กร

AI ช่วยจัดการความเสี่ยงและป้องกันการโกงในภาคการเงิน
วิเคราะห์ข้อมูลจำนวนมากเพื่อหาความผิดปกติ
ตรวจจับธุรกรรมที่น่าสงสัยแบบเรียลไทม์
ลดผลกระทบทางการเงินจากการโกงและช่วยให้ปฏิบัติตามกฎระเบียบ

AI ช่วยตัดสินใจเชิงกลยุทธ์ด้วยข้อมูลเชิงลึก
วิเคราะห์แนวโน้มตลาดและคาดการณ์ผลลัพธ์ในอนาคต
ปรับปรุงการตัดสินใจเรื่องการลงทุนและการบริหารความเสี่ยง
ใช้ข้อมูลย้อนหลังและการวิเคราะห์เชิงคาดการณ์เพื่อเพิ่มประสิทธิภาพ

AI เพิ่มประสิทธิภาพการทำงานโดยอัตโนมัติ
ลดเวลาและข้อผิดพลาดจากงานซ้ำ ๆ เช่น การป้อนข้อมูลและการจัดทำรายงาน
ใช้ chatbot และผู้ช่วยเสมือนในการตอบคำถามลูกค้า
เพิ่มความเร็วในการให้บริการและลดต้นทุน

AI ช่วยปรับปรุงประสบการณ์ลูกค้าแบบเฉพาะบุคคล
วิเคราะห์พฤติกรรมลูกค้าเพื่อเสนอคำแนะนำที่ตรงใจ
สร้างแคมเปญการตลาดเฉพาะบุคคลเพื่อเพิ่มการมีส่วนร่วม
พัฒนาระบบ self-service ที่ตอบโจทย์ลูกค้าแต่ละราย

AI ช่วยให้สถาบันการเงินปฏิบัติตามกฎระเบียบได้ง่ายขึ้น
ตรวจสอบความปลอดภัยของข้อมูลและการเข้ารหัส
ปรับระบบให้สอดคล้องกับกฎหมายที่เปลี่ยนแปลง
ลดความเสี่ยงด้านกฎหมายและการละเมิดข้อมูล

บทบาทของที่ปรึกษากลยุทธ์ AI ในการเงิน
วางแผนการใช้ AI ให้สอดคล้องกับเป้าหมายธุรกิจ
ตรวจสอบความเสี่ยงและความปลอดภัยของระบบ AI
พัฒนาโซลูชัน AI ที่เหมาะกับความต้องการเฉพาะของแต่ละองค์กร
ปรับปรุงประสิทธิภาพของโมเดล AI อย่างต่อเนื่อง
เชื่อมต่อระบบ AI เข้ากับโครงสร้างเดิมขององค์กรอย่างราบรื่น

https://hackread.com/ai-financial-sector-consulting-navigate-risk/

“Typst 0.14 เปิดศักราชใหม่ของเอกสารดิจิทัล: เข้าถึงได้มากขึ้น ฉลาดขึ้น และสวยงามกว่าเดิม”

รู้ไหมว่า Typst ซึ่งเป็นเครื่องมือจัดหน้าเอกสารที่หลายคนใช้แทน LaTeX ตอนนี้ออกเวอร์ชันใหม่แล้ว—Typst 0.14! รอบนี้เขาไม่ได้มาเล่น ๆ เพราะอัปเดตครั้งนี้เน้นเรื่อง “การเข้าถึง” หรือ accessibility เป็นหลักเลยล่ะ

ลองนึกภาพว่าเราทำเอกสาร PDF แล้วคนที่ใช้ screen reader ก็สามารถเข้าใจเนื้อหาได้เหมือนกับคนที่มองเห็นปกติ—Typst ทำให้สิ่งนี้เป็นจริง เพราะตอนนี้มันสามารถใส่ tag ที่ช่วยให้โปรแกรมช่วยอ่านเข้าใจโครงสร้างของเอกสารได้โดยอัตโนมัติ แถมยังมีตัวเลือกให้ตรวจสอบว่าเอกสารของเราผ่านมาตรฐานสากลอย่าง PDF/UA-1 หรือเปล่าด้วยนะ

นอกจากนี้ยังมีของใหม่อีกเพียบ เช่น การรองรับ PDF เป็นภาพโดยตรง (เหมาะมากกับคนที่มีกราฟิกซับซ้อน), การจัดย่อหน้าแบบละเอียดถึงระดับตัวอักษร (character-level justification), และการส่งออก HTML ที่ฉลาดขึ้นเยอะ

ที่น่าสนใจคือ Typst ยังใช้ไลบรารี PDF ใหม่ที่ชื่อว่า “hayro” ซึ่งเขียนด้วยภาษา Rust ทั้งหมด ทำให้การประมวลผล PDF เร็วและเสถียรมากขึ้นอีกด้วย

การเข้าถึง (Accessibility) เป็นค่าเริ่มต้นใน Typst 0.14
เอกสาร PDF ที่สร้างจาก Typst จะมี tag สำหรับ screen reader โดยอัตโนมัติ
รองรับการใส่คำอธิบายภาพ (alt text) สำหรับรูปภาพและแผนภาพ
มีโหมดตรวจสอบความเข้ากันได้กับมาตรฐาน PDF/UA-1 เพื่อให้เอกสารเข้าถึงได้จริง

รองรับ PDF เป็นภาพ (PDFs as images)
สามารถแทรกไฟล์ PDF เป็นภาพในเอกสารได้โดยตรง
รองรับการแสดงผลในทุกฟอร์แมต เช่น PDF, HTML, SVG, PNG
ใช้ไลบรารี “hayro” ที่เขียนด้วยภาษา Rust เพื่อประมวลผล PDF

การจัดย่อหน้าแบบละเอียด (Character-level justification)
ปรับระยะห่างระหว่างตัวอักษรเพื่อให้ย่อหน้าดูสมดุล
เป็นฟีเจอร์ที่ LaTeX ยังไม่มีในตอนนี้
ช่วยให้การจัดหน้าเอกสารดูเป็นมืออาชีพมากขึ้น

การส่งออก HTML ที่ฉลาดขึ้น (Richer HTML export)
รองรับ element เพิ่มเติม เช่น footnotes, citations, outlines
มีระบบ typed HTML interface สำหรับเขียน HTML ด้วย Typst ได้ง่ายขึ้น
เตรียมเปิดให้ใช้งานในเว็บแอปเร็ว ๆ นี้

การอัปเกรดที่ราบรื่น (Migration & Compatibility)
มีระบบช่วยตรวจสอบความเข้ากันได้ของเอกสารเก่ากับเวอร์ชันใหม่
แจ้งเตือนเมื่อมีเวอร์ชันใหม่ และให้เลือกอัปเกรดได้ในเว็บแอป

https://typst.app/blog/2025/typst-0.14/

ข้อมูลลูกค้า Toys "R" Us ถูกขโมยและเผยแพร่บนเว็บมืด – เสี่ยงโดนฟิชชิ่งและขโมยตัวตน.

Toys "R" Us Canada เผชิญเหตุข้อมูลรั่วไหลครั้งใหญ่ หลังแฮกเกอร์ขโมยข้อมูลลูกค้าและนำไปเผยแพร่บนเว็บมืด โดยข้อมูลที่ถูกขโมยประกอบด้วยชื่อ, ที่อยู่, อีเมล และเบอร์โทรศัพท์ของลูกค้าบางส่วน แม้จะไม่มีรหัสผ่านหรือข้อมูลบัตรเครดิตหลุดออกไป แต่ก็ยังเสี่ยงต่อการถูกฟิชชิ่งและขโมยตัวตนได้

บริษัทได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เพื่อวิเคราะห์เหตุการณ์ และยืนยันว่าเป็นเพียง “บางส่วนของข้อมูลลูกค้า” ที่ถูกขโมย พร้อมทั้งเสริมระบบป้องกันเพิ่มเติม และแจ้งเตือนลูกค้าที่ได้รับผลกระทบแล้ว

Toys "R" Us ยังแจ้งเตือนให้ลูกค้าระวังอีเมลหลอกลวงที่อ้างว่าเป็นบริษัท และไม่ควรคลิกลิงก์หรือเปิดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ

ข้อมูลที่ถูกขโมย
ชื่อ, ที่อยู่, อีเมล, เบอร์โทรศัพท์
ไม่มีรหัสผ่านหรือข้อมูลบัตรเครดิต
เสี่ยงต่อการถูกฟิชชิ่งและขโมยตัวตน

การตอบสนองของบริษัท
ว่าจ้างผู้เชี่ยวชาญด้านไซเบอร์เพื่อวิเคราะห์เหตุการณ์
ยืนยันว่าเป็นข้อมูลลูกค้า “บางส่วน”
แจ้งเตือนลูกค้าที่ได้รับผลกระทบ
เสริมระบบป้องกันเพิ่มเติม

คำแนะนำสำหรับลูกค้า
ระวังอีเมลหลอกลวงที่อ้างว่าเป็น Toys "R" Us
อย่าคลิกลิงก์หรือเปิดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ
ตรวจสอบบัญชีและกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนตัว

https://www.techradar.com/pro/security/toys-r-us-customer-data-swiped-and-leaked-online-heres-what-we-know

OCCT v15 เพิ่มฟีเจอร์ตรวจจับเสียง Coil Whine โดยไม่ต้องใช้ไมโครโฟน – เปลี่ยนเสียงรบกวนให้กลายเป็นเครื่องมือวิเคราะห์

OCCT โปรแกรม stress test ยอดนิยมสำหรับพีซี ได้เปิดตัวเวอร์ชัน 15 พร้อมฟีเจอร์ใหม่สุดอัจฉริยะที่ช่วยตรวจจับเสียง “coil whine” โดยไม่ต้องใช้ไมโครโฟนเลย ฟีเจอร์นี้ใช้เทคนิคการโหลดระบบด้วย “สามเสียงที่กำหนดไว้ล่วงหน้า” เพื่อเปลี่ยนเสียงรบกวนจากอุปกรณ์ให้กลายเป็นเสียงที่มีรูปแบบเฉพาะ ทำให้ผู้ใช้สามารถแยกแยะได้ง่ายว่าเสียงนั้นมาจากส่วนไหนของเครื่อง เช่น การ์ดจอ เมนบอร์ด หรือ PSU

Coil whine (เสียงคอยล์หวีด) คือเสียงแหลมสูงหรือเสียงฮัมที่เกิดจากการสั่นของขดลวด (coil) หรือชิ้นส่วนตัวเหนี่ยวนำ (inductor) ภายในอุปกรณ์อิเล็กทรอนิกส์ เช่น การ์ดจอ เมนบอร์ด หรือแหล่งจ่ายไฟ (PSU) เมื่อมี กระแสไฟฟ้าความถี่สูง ไหลผ่าน

ฟีเจอร์นี้เหมาะมากสำหรับผู้ที่ใช้งานในพื้นที่เสียงรบกวนสูง เช่น อินเทอร์เน็ตคาเฟ่ หรือออฟฟิศที่มีหลายเครื่อง เพราะเสียง coil whine จะถูก “ดึงออกมา” ให้เด่นชัดขึ้นจากเสียงแวดล้อม

ฟีเจอร์ใหม่ใน OCCT v15
ตรวจจับเสียง coil whine โดยไม่ต้องใช้ไมโครโฟน
ใช้การโหลดระบบด้วยเสียงที่กำหนดไว้ล่วงหน้า
เปลี่ยนเสียงรบกวนให้กลายเป็นเสียงที่มีรูปแบบเฉพาะ
ช่วยให้แยกแยะแหล่งที่มาของเสียงได้ง่ายขึ้น

เหมาะกับสถานการณ์แบบไหน
พื้นที่เสียงรบกวนสูง เช่น อินเทอร์เน็ตคาเฟ่หรือออฟฟิศ
ผู้ใช้ที่ไม่สามารถใช้ไมโครโฟนได้
ช่วยตรวจสอบว่าเสียงที่ได้ยินเป็น coil whine หรือปัญหาอื่น

ความรู้เกี่ยวกับ coil whine
เกิดจากการสั่นของขดลวดแม่เหล็กไฟฟ้าเมื่อมีไฟฟ้าไหลผ่าน
มักเกิดในอุปกรณ์ที่มีการโหลดไฟสูง เช่น GPU, PSU, เมนบอร์ด
เสียงอาจเปลี่ยนไปตามระดับการโหลด เช่น เล่นเกมที่ FPS สูง

https://www.tomshardware.com/pc-components/gpus/occt-version-15-adds-coil-whine-detection-that-doesnt-require-a-microphone-popular-stress-tester-gets-genius-new-feature-to-silence-your-pc

เซิร์ฟเวอร์ AI ผลิตในฮิวสตันของ Apple เริ่มจัดส่งแล้ว – รองรับ Private Cloud Compute เพื่อความเป็นส่วนตัวสูงสุด

Apple ประกาศเริ่มจัดส่งเซิร์ฟเวอร์ AI ที่ผลิตในโรงงานใหม่ที่เมืองฮิวสตัน สหรัฐอเมริกา โดยเซิร์ฟเวอร์เหล่านี้จะถูกนำไปใช้ในระบบ Private Cloud Compute (PCC) ซึ่งเป็นโครงสร้างพื้นฐานด้าน AI ที่เน้นความปลอดภัยและความเป็นส่วนตัวของผู้ใช้เป็นหลัก

PCC ถูกออกแบบมาให้ทำงานร่วมกับอุปกรณ์ของผู้ใช้ เช่น iPhone หรือ Mac โดยเมื่ออุปกรณ์ต้องส่งคำขอไปยังคลาวด์ ข้อมูลจะถูกส่งไปยังระบบปฏิบัติการแบบ clean-room ที่ไม่มีการเก็บข้อมูล ไม่มีการติดตาม และไม่มีหน่วยความจำถาวร หลังจากประมวลผลเสร็จ ข้อมูลจะถูกลบออกทันที

Apple ยังเปิดให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจสอบระบบ PCC ได้ผ่าน Virtual Research Environment และจะเผยแพร่ภาพของระบบปฏิบัติการที่ใช้ในแต่ละเซิร์ฟเวอร์ เพื่อให้ตรวจสอบความปลอดภัยได้อย่างโปร่งใส

แม้จะยังไม่เปิดเผยว่าเซิร์ฟเวอร์ใช้ชิปอะไร แต่คาดว่าเป็น Apple Silicon รุ่นใหม่ที่พัฒนาต่อจากซีรีส์ M โดยเน้นการประมวลผล AI แบบไฮบริด คือทำงานบนอุปกรณ์ก่อน แล้วค่อยส่งต่อไปยัง PCC เมื่อจำเป็น

การเปิดตัวเซิร์ฟเวอร์ AI ของ Apple
ผลิตในโรงงานใหม่ที่ฮิวสตัน สหรัฐอเมริกา
ใช้ในระบบ Private Cloud Compute (PCC)
รองรับการประมวลผล AI แบบไฮบริด (on-device + cloud)
เน้นความปลอดภัยและความเป็นส่วนตัวของผู้ใช้

ความปลอดภัยของ PCC
ใช้ระบบปฏิบัติการแบบ clean-room ไม่มีการเก็บข้อมูล
ไม่มีหน่วยความจำถาวร ไม่มี telemetry
ลบข้อมูลทันทีหลังประมวลผล
เปิดให้ตรวจสอบผ่าน Virtual Research Environment

ความคาดหวังและผลกระทบ
เป็นส่วนหนึ่งของแผนลงทุน $600 พันล้านในสหรัฐฯ
ช่วยขยายขีดความสามารถของ Apple Intelligence
ไม่พึ่งพาฮาร์ดแวร์จากผู้ผลิตรายอื่น
ท้าทายแนวทางของ Microsoft และ Google ที่ใช้ GPU-heavy cloud

https://www.tomshardware.com/desktops/servers/apples-houston-built-ai-servers-now-shipping