เมื่อวันพุธที่ 14 พฤษภาคม 2025 ที่ผ่านมา Google ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 4 รายการในเว็บเบราว์เซอร์ Chrome ซึ่งรวมถึงช่องโหว่หนึ่งในนั้นที่บริษัทพบว่ามีการนำไปใช้ในการโจมตีจริงแล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-4664 (คะแนน CVSS: 4.3) ถูกระบุว่าเป็นกรณีของการบังคับใช้ insufficient policy ในส่วนประกอบที่เรียกว่า Loader

ตามคำอธิบายของช่องโหว่ดังกล่าว ถูกระบุว่า "การบังคับใช้ Insufficient policy ในส่วน Loader ของ Google Chrome ในเวอร์ชันก่อนหน้านี้ 136.0.7103.113 ทำให้ผู้โจมตีจากภายนอกสามารถทำให้เกิดการรั่วไหลของ cross-origin data ผ่าน HTML page ที่ถูกสร้างขึ้นมาเป็นพิเศษได้"

Google ได้ให้เครดิตกับ Vsevolod Kokorin (@slonser_) นักวิจัยด้านความปลอดภัย ที่เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ดังกล่าวบน X เมื่อวันที่ 5 พฤษภาคม 2025 พร้อมระบุว่าบริษัททราบแล้วว่า มีการนำช่องโหว่ CVE-2025-4664 ไปใช้ในการโจมตีจริง

Kokorin ระบุบน X เมื่อต้นเดือนนี้ว่า "แตกต่างจากเบราว์เซอร์อื่น ๆ เพราะ Chrome ทำการประมวลผล Link header บน request ของ sub-resource และปัญหาคือ Link header สามารถกำหนด referrer-policy ได้ ซึ่งเราสามารถระบุค่า unsafe-url และดักจับ query parameters ทั้งหมดได้"

นักวิจัยระบุเพิ่มเติมว่า Query parameters อาจมีข้อมูลสำคัญที่สามารถนำไปสู่การยึดครองบัญชีของผู้ใช้ทั้งหมดได้ และข้อมูลของ Query parameter เหล่านี้สามารถถูกขโมยผ่านรูปภาพจากแหล่งภายนอกได้

ยังไม่ชัดเจนว่าช่องโหว่นี้ถูกนำไปใช้ในบริบทที่เป็นอันตรายนอกเหนือจากการสาธิตแบบ Proof-of-Concept (PoC) นี้หรือไม่ ช่องโหว่ CVE-2025-4664 นี้นับเป็นช่องโหว่รายการที่สองต่อจาก CVE-2025-2783 ที่ถูกพบว่ามีการนำไปใช้ในการโจมตีจริง

เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น ขอแนะนำให้ผู้ใช้ทำการอัปเดตเบราว์เซอร์ Chrome ของตนให้เป็นเวอร์ชัน 136.0.7103.113/.114 สำหรับ Windows กับ Mac และเวอร์ชัน 136.0.7103.113 สำหรับ Linux นอกจากนี้ ผู้ใช้เบราว์เซอร์อื่น ๆ ที่พัฒนาบนพื้นฐาน Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi ก็ควรอัปเดตแพตช์ทันทีเมื่อมีการปล่อยการอัปเดตออกมาเช่นกัน

ที่มา : thehackernews

Google ได้ตกลงจ่ายเงินประมาณ 1.4 พันล้านดอลลาร์ให้กับรัฐเท็กซัสของสหรัฐฯ เพื่อยุติคดีความ 2 คดีที่ถูกกล่าวหาว่าบริษัทได้ติดตามตำแหน่งที่อยู่ของผู้ใช้ และเก็บข้อมูลการจดจำใบหน้าโดยไม่ได้รับความยินยอม (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)

 

เมื่อวันที่ 08 พฤษภาคม 2025 ที่ผ่านมาทาง Google ได้ประกาศเปิดตัวมาตรการรับมือรูปแบบใหม่ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (Artificial Intelligence - AI) เพื่อป้องกันการหลอกลวงใน Chrome, Search และ Android (more…)

Google ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนสำหรับระบบ Android รวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 46 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีจริง (more…)

Blue Shield of California เปิดเผยว่าบริษัทประสบปัญหาการละเมิดข้อมูล หลังจากเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองของสมาชิก 4.7 ล้านคนไปยังแพลตฟอร์มการวิเคราะห์ และโฆษณาของ Google

แผนสุขภาพไม่แสวงหากำไรที่ให้บริการสมาชิกเกือบ 6 ล้านคนทั่วแคลิฟอร์เนีย ได้เผยแพร่ประกาศการละเมิดข้อมูลบนเว็บไซต์โดยระบุว่า ข้อมูลของสมาชิกที่ถูกเปิดเผยอยู่ในช่วงระหว่างเดือนเมษายน 2021 ถึงมกราคม 2024

วันนี้ พอร์ทัลประกาศการละเมิดข้อมูลของกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐอเมริกา โดยในอัปเดตโดยระบุว่า การรั่วไหลนี้ได้เปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองของสมาชิกกว่า 4.7 ล้านคน

จากประกาศดังกล่าว การเปิดเผยข้อมูลเกิดจากการตั้งค่าผิดพลาดของ Google Analytics บนเว็บไซต์บางแห่งของ Blue Shield ซึ่งทำให้ข้อมูลที่มีความสำคัญ อาจถูกแชร์กับแพลตฟอร์มโฆษณาของ Google และผู้ลงโฆษณา

โดยประกาศระบุว่า "เมื่อวันที่ 11 กุมภาพันธ์ 2025 Blue Shield ได้ค้นพบว่า ระหว่างเดือนเมษายน 2021 ถึงมกราคม 2024 การตั้งค่า Google Analytics ถูกกำหนดในลักษณะที่อนุญาตให้ข้อมูลสมาชิกบางส่วนถูกแชร์กับผลิตภัณฑ์โฆษณาของ Google, Google Ads ซึ่งน่าจะรวมถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองด้วย"

"Google อาจใช้ข้อมูลนี้ในการดำเนินการแคมเปญโฆษณาที่มุ่งเป้าไปยังสมาชิกแต่ละรายเหล่านั้น"

ประเภทข้อมูลที่ถูกเปิดเผยจากการตั้งค่าผิดพลาดประกอบด้วย:

ชื่อแผนประกัน
ประเภท และหมายเลขกลุ่ม
เมือง และรหัสไปรษณีย์
เพศ
ขนาดครอบครัว
รหัสประจำตัวที่ Blue Shield มอบหมายให้กับบัญชีออนไลน์ของสมาชิก
วันที่เคลมบริการทางการแพทย์ และผู้ให้บริการ, ชื่อผู้ป่วย และความรับผิดชอบทางการเงินของผู้ป่วย
เกณฑ์ และผลลัพธ์การค้นหา "ค้นหาแพทย์" (ที่ตั้ง, ชื่อแผน และประเภท, ชื่อ และประเภทของผู้ให้บริการ)

Blue Shield ระบุว่า ข้อมูลส่วนบุคคลอื่น ๆ เช่น หมายเลขประกันสังคม, หมายเลขใบขับขี่, ข้อมูลธนาคาร และข้อมูลบัตรเครดิต ไม่ได้ถูกเปิดเผยจากเหตุการณ์นี้

อย่างไรก็ตาม แนะนำให้สมาชิกเฝ้าระวังและตรวจสอบใบแจ้งยอดบัญชี และรายงานเครดิตอย่างใกล้ชิด เพื่อระบุการทำธุรกรรมที่ไม่ได้รับอนุญาต หรือกิจกรรมที่น่าสงสัย

องค์กรไม่ได้เสนอการบริการป้องกันการโจจรกรรมข้อมูลส่วนตัว และยังไม่ชัดเจนว่าจะมีการส่งการแจ้งเตือนให้กับสมาชิกที่ได้รับผลกระทบในอนาคตหรือไม่

นี่เป็นเหตุการณ์ทางด้านไอทีครั้งที่สองที่ถูกเปิดเผยโดย Blue Shield of California ในเวลาไม่ถึงหนึ่งปี

เมื่อปีที่แล้ว สมาชิกแผนสุขภาพเกือบหนึ่งล้านรายถูกขโมยข้อมูลโดยกลุ่มผู้โจมตีที่ใช้แรนซัมแวร์ BlackSuit ซึ่งเจาะระบบของผู้ให้บริการซอฟต์แวร์ขององค์กร Connexure (เดิมคือ Young Consulting)

 

ที่มา : bleepingcomputer.

แฮ็กเกอร์ทำการโจมตีอย่างชาญฉลาด โดยใช้อีเมลปลอมที่ดูเหมือนว่าถูกส่งมาจาก Google ซึ่งผ่านการตรวจสอบความถูกต้องทั้งหมดแล้ว แต่ก็จะนำผู้ใช้ไปยังหน้าเว็บไซต์ปลอมที่สร้างขึ้นเพื่อขโมยข้อมูลการเข้าสู่ระบบ (more…)

เมื่อวันอังคารที่ผ่านมา (22 เมษายน 2025) Google เปิดเผยว่า จะไม่เสนอ standalone prompt สำหรับคุกกี้ของ third-party ในเบราว์เซอร์ Chrome อีกต่อไป ซึ่งเป็นส่วนหนึ่งของโครงการ Privacy Sandbox (more…)

พบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับความรุนแรงสูงสุด ที่ส่งผลกระทบต่อ Apache Parquet ทุกเวอร์ชัน

CVE-2025-30065 (คะแนน CVSSv4 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Deserialization of Untrusted Data ใน Apache Parquet ทำให้ Hacker ที่มี Parquet files ที่สร้างขึ้นมาเป็นพิเศษ สามารถเข้าควบคุมระบบเป้าหมาย ขโมย หรือแก้ไขข้อมูล หยุดการทำงานของระบบ หรือสร้างเพย์โหลดอันตราย เช่น แรนซัมแวร์ได้ (more…)

Google กำลังทำการเข้าซื้อกิจการครั้งใหญ่ที่สุดในประวัติศาสตร์ของบริษัท โดยเข้าซื้อบริษัทด้านความปลอดภัยบนระบบคลาวด์ Wiz ด้วยจำนวนเงินมูลค่า 32 พันล้านดอลลาร์

Google ระบุในวันนี้ว่า "การเข้าซื้อกิจการครั้งนี้เป็นการลงทุนของ Google Cloud เพื่อเร่งตอบสนองต่อสองแนวโน้มในยุค AI คือ 1. การเพิ่มความปลอดภัยในระบบคลาวด์ และ 2. ความสามารถในการใช้คลาวด์หลากหลายรูปแบบ (multicloud)"

Google ยังเสริมอีกว่าการเข้าซื้อกิจการครั้งนี้ ยังต้องรอการอนุมัติจากหน่วยงานกำกับดูแล โดยมีวัตถุประสงค์เพื่อมอบ "แพลตฟอร์มความปลอดภัยที่ครอบคลุม" (comprehensive security platform) ที่จะช่วยรักษาความปลอดภัยให้กับ modern IT environments แก่ลูกค้า

Thomas Kurian CEO ของ Google Cloud ระบุว่า การนำบริการคลาวด์ของพวกเขามารวมเข้ากับ Wiz จะช่วย "กระตุ้นการใช้งานความปลอดภัยทางไซเบอร์บนระบบ multicloud, การนำระบบ multicloud มาใช้ รวมถึงการแข่งขัน และการเติบโตในอุตสาหกรรม cloud computing"

Assaf Rappaport CEO ของ Wiz ระบุว่า บริษัทจะยังคงเป็นแพลตฟอร์ม multicloud ที่เป็นอิสระแม้หลังจากการเข้าซื้อกิจการเสร็จสิ้น และจะยังคงทำงานร่วมกับบริษัทคลาวด์อื่น ๆ เช่น Amazon Web Services (AWS), Microsoft Azure และ Oracle Cloud

ความเคลื่อนไหวในครั้งนี้เกิดขึ้นเพียงสามปีหลังจากที่ Google เข้าซื้อกิจการ Mandiant ด้วยมูลค่า 5.4 พันล้านดอลลาร์ และเกิดขึ้นเพียงเจ็ดเดือนหลังจากบริษัทพยายามเข้าซื้อกิจการ Wiz ด้วยข้อเสนอมูลค่า 23 พันล้านดอลลาร์ แต่ไม่สำเร็จ

นอกจากนี้ ที่ผ่านมา Google ยังได้เข้าซื้อกิจการที่เกี่ยวข้องกับความปลอดภัยอื่น ๆ ได้แก่ VirusTotal (ในเดือนกันยายน 2012) และ Siemplify (ในเดือนมกราคม 2022)

ที่มา : thehackernews