SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา (more…)

ปัจจุบันมีเซิร์ฟเวอร์ CrushFTP กว่า 1,000 เครื่องที่เข้าถึงได้บนอินเทอร์เน็ติ ซึ่งมีช่องโหว่ระดับ critical ที่สามารถถูกโจมตีเพื่อเข้าควบคุมการใช้งานผ่านอินเทอร์เฟซเว็บในฐานะแอดมินได้ (more…)

VMware ได้แก้ไขช่องโหว่ Zero-Day 4 รายการใน VMware ESXi, Workstation, Fusion และ Tools ที่ถูกใช้โจมตีระหว่างการแข่งขัน Pwn2Own Berlin 2025 hacking contest ในเดือนพฤษภาคม 2025

(more…)

Google ได้ออกอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ระดับ Critical แบบ Zero-day ที่พบว่าผู้โจมตีกำลังใช้ในการโจมตีจริงอย่างต่อเนื่อง

โดย Google ยืนยันว่าช่องโหว่ CVE-2025-6558 กำลังถูกผู้โจมตีนำไปใช้ในการโจมตีจริง โดยได้ดำเนินการปล่อยแพตช์อัปเดตทันทีสำหรับทุกแพลตฟอร์มที่รองรับ

Google Chrome ได้รับการอัปเดตเป็นเวอร์ชัน 138.0.7204.157/.158 สำหรับระบบปฏิบัติการ Windows และ Mac และเวอร์ชัน 138.0.7204.157 สำหรับระบบปฏิบัติการ Linux

การอัปเดตนี้แก้ไขช่องโหว่ด้านความปลอดภัย 6 รายการ โดยช่องโหว่ที่ร้ายแรงที่สุดคือช่องโหว่แบบ zero-day ซึ่งกำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ กระบวนการอัปเดตจะทยอยปล่อยให้ผู้ใช้ในช่วงหลายวัน หรือหลายสัปดาห์ข้างหน้า ตามกระบวนการปรับใช้มาตรฐานของ Google

ช่องโหว่ Zero-day บน Google Chrome

ช่องโหว่ CVE-2025-6558 เกิดจาก incorrect validation of untrusted input ใน ANGLE และ GPU components ถูกพบ และรายงานโดย Clément Lecigne และ Vlad Stolyarov จากทีม Google’s Threat Analysis เมื่อวันที่ 23 มิถุนายน 2025

ความร่วมมือระหว่างนักวิจัยกับทีมรักษาความปลอดภัยภายในของ Google แสดงให้เห็นว่าช่องโหว่นี้อาจถูกพบจากการตรวจสอบภัยคุกคามขั้นสูง หรือจากการตอบสนองต่อเหตุการณ์การโจมตี

นอกจากช่องโหว่ Zero-Day แล้ว Google ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงอีก 2 รายการในการอัปเดตรอบนี้คือ CVE-2025-7656 โดยเป็นช่องโหว่ Integer Overflow ใน V8 ซึ่งเป็น JavaScript Engine ของ Chrome ถูกพบโดย Shaheen Fazim นักวิจัยด้านความปลอดภัย ช่องโหว่นี้ได้รับรางวัลตอบแทน 7,000 เหรียญสหรัฐ ซึ่งแสดงให้เห็นถึงผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของผู้ใช้

ช่องโหว่ระดับความรุนแรงสูงอีกรายการคือ CVE-2025-7657 โดยเป็นช่องโหว่ Use-After-Free ในฟังก์ชัน WebRTC ซึ่งรายงานโดยนักวิจัย jakebiles โดยช่องโหว่ประเภทนี้ อาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย หรือทำให้ระบบขัดข้องได้

Google เน้นย้ำว่า การเข้าถึงข้อมูลรายละเอียดของช่องโหว่จะยังคงถูกจำกัดไว้ จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตความปลอดภัย วิธีการนี้มีเป้าหมายเพื่อป้องกันไม่ให้ผู้โจมตีทำการ reverse-engineering แพตซ์ เพื่อพัฒนาเครื่องมือสำหรับการโจมตีช่องโหว่

บริษัทใช้แนวทางเดียวกันนี้กับช่องโหว่ที่ส่งผลกระทบต่อไลบรารีของ third-party ซึ่งถูกใช้งานในโครงการอื่น ๆ ด้วย

การอัปเดตนี้ยังรวมถึงการแก้ไขจากโครงการความปลอดภัยภายในของ Google ที่ดำเนินอยู่ต่อเนื่อง ซึ่งรวมถึงผลลัพธ์จาก AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer และ การทดสอบ AFL Framework เครื่องมือรักษาความปลอดภัยอัตโนมัติเหล่านี้จะสแกน codebase ของ Chrome อย่างต่อเนื่องเพื่อค้นหาช่องโหว่ที่อาจเกิดขึ้น

ผู้ใช้ควรอัปเดตเบราว์เซอร์ Chrome เป็นเวอร์ชันล่าสุดทันที ซึ่งโดยปกติ Chrome จะอัปเดตอัตโนมัติ แต่ผู้ใช้สามารถตรวจสอบได้ด้วยตนเองโดยไปที่เมนูการตั้งค่าของ Chrome และเลือก "About Google Chrome" เนื่องจากช่องโหว่ CVE-2025-6558 กำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ การชะลอการอัปเดตอาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยงด้านความปลอดภัยอย่างร้ายแรง

การค้นพบช่องโหว่ zero-day นี้ แสดงให้เห็นถึงการต่อสู้ระหว่างนักวิจัยด้านความปลอดภัย และผู้โจมตีที่ยังคงดำเนินไปอย่างต่อเนื่องในระบบของเบราว์เซอร์

ที่มา : cybersecuritynews

 

พบช่องโหว่ Zero-Day ระดับ Critical ซึ่งถูกพบใน default controller ของ Salesforce อาจทำให้มีการเปิดเผยข้อมูลผู้ใช้หลายล้านรายคน จากการใช้งานหลายพันครั้งทั่วโลก (more…)

ชุดโปรแกรมสำหรับทดสอบการโจมตี (Proof-of-Concept: PoC) สำหรับช่องโหว่ Zero-Day ระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet หลายรายการ ทำให้เกิดข้อกังวลเร่งด่วนเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายขององค์กร

ช่องโหว่นี้มีหมายเลข CVE-2025-32756 มีคะแนน CVSS ที่ 9.8 โดยทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านช่องโหว่แบบ stack-based buffer overflow

ช่องโหว่นี้อยู่ในกระบวนการประมวลผลพารามิเตอร์คุกกี้ AuthHash ภายใน endpoint /remote/hostcheck_validate ซึ่งพบในผลิตภัณฑ์ของ Fortinet หลายรายการ

(more…)

เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)

เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานด้านความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า Commvault กำลังเฝ้าระวังกิจกรรมภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายไปยังแอปพลิเคชันที่โฮสต์อยู่ในสภาพแวดล้อม Microsoft Azure ของบริษัท (more…)

Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการ ในเบราว์เซอร์ของ Firefox ที่อาจถูกใช้ในการเข้าถึงข้อมูลสำคัญ หรือเรียกใช้โค้ดที่เป็นอันตรายบนระบบของเหยื่อได้

ช่องโหว่ทั้งสองรายการนี้ ถูกใช้ในการโจมตีแบบ Zero-Day ในงาน Pwn2Own Berlin โดยมีรายละเอียดดังนี้ :

CVE-2025-4918 – ช่องโหว่ Out-of-bounds access ขณะประมวลผล Promise objects ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript Promise object ได้
CVE-2025-4919 – ช่องโหว่ Out-of-bounds access ในขณะที่ทำการปรับปรุงประสิทธิภาพของ Optimizing linear sums ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript object ได้ โดยการทำให้ Array index sizes เกิดความสับสน

การโจมตีที่ประสบความสำเร็จโดยอาศัยช่องโหว่ใดช่องโหว่หนึ่ง อาจทำให้ผู้ไม่หวังดีสามารถอ่าน หรือเขียนข้อมูล Out-of-bounds ของหน่วยความจำได้ ซึ่งสามารถนำไปใช้ในการเข้าถึงข้อมูลสำคัญที่ปกติไม่สามารถเข้าถึงได้ หรือทำให้เกิดการเสียหายของหน่วยความจำ (memory corruption) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายบนระบบได้

ช่องโหว่ดังกล่าว ส่งผลกระทบต่อเบราว์เซอร์ Firefox ในเวอร์ชันดังต่อไปนี้ :

Firefox ทุกเวอร์ชันก่อนหน้า 138.0.4 (รวมถึง Firefox สำหรับ Android ด้วย)
Firefox Extended Support Release (ESR) ทุกเวอร์ชันก่อนหน้า 128.10.1
Firefox ESR ทุกเวอร์ชันก่อนหน้า 115.23.1

Edouard Bochin และ Tao Yan จากบริษัท Palo Alto Networks ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ CVE-2025-4918 ส่วนการค้นพบช่องโหว่ CVE-2025-4919 นั้นเป็นผลงานของ Manfred Paul

ช่องโหว่ทั้งสองรายการนี้ ได้ถูกนำมาสาธิตการโจมตีในงานแข่งแฮ็กเกอร์ Pwn2Own Berlin เมื่อสัปดาห์ที่ผ่านมา ซึ่งผู้ค้นพบช่องโหว่แต่ละคนจะได้รับเงินรางวัล 50,000 ดอลลาร์สหรัฐ

เนื่องจากเว็บเบราว์เซอร์ยังคงเป็นช่องทางยอดนิยมในการแพร่กระจายมัลแวร์ ผู้ใช้งานจึงควรอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้

Mozilla ระบุว่า “ไม่มีการโจมตีใดสามารถ break out ออกจาก sandbox ได้ ซึ่งเป็นสิ่งสำคัญในการควบคุมระบบของผู้ใช้ ถึงแม้ว่าผลกระทบจากการโจมตีครั้งนี้จะถูกจำกัด แต่ Mozilla ก็แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบทุกคนให้ทำการอัปเดต Firefox โดยเร็วที่สุด"

ที่มา : thehackernews.

ในวันแรกของการแข่งขัน Pwn2Own Berlin 2025 นักวิจัยด้านความปลอดภัยได้รับรางวัล 260,000 เหรียญสหรัฐ หลังจากประสบความสำเร็จในการสาธิตการโจมตีช่องโหว่แบบ zero-day สำหรับ Windows 11, Red Hat Linux และ Oracle VirtualBox

Red Hat Enterprise Linux สำหรับ Workstations เป็นระบบแรกที่ถูกโจมตีสำเร็จในหมวดการยกระดับสิทธิ์บนเครื่อง โดยทีมวิจัย DEVCORE ที่ใช้ชื่อว่า Pumpkin ได้ใช้ช่องโหว่ประเภท integer overflow เพื่อโจมตี และรับเงินรางวัล 20,000 ดอลลาร์

โดย Hyunwoo Kim และ Wongi Lee ก็สามารถเข้าถึงสิทธิ์ root บนอุปกรณ์ Red Hat Linux ได้เช่นกัน ซึ่งใช้การโจมตีแบบ use-after-free ร่วมกับช่องโหว่ information leak แต่หนึ่งในช่องโหว่ที่ใช้ในการโจมตีนั้นเป็นช่องโหว่ N-day

จากนั้น Chen Le Qi จาก STARLabs SG ได้รับรางวัล 30,000 ดอลลาร์สหรัฐ จากการนำเสนอการโจมตีแบบผสมผสาน โดยใช้ช่องโหว่ use-after-free ร่วมกับ integer overflow เพื่อยกระดับสิทธิ์เป็น SYSTEM บนระบบ Windows 11

Windows 11 ถูกโจมตีอีกสองครั้งเพื่อให้ได้สิทธิ์ระดับ SYSTEM โดย Marcin Wiązowski ใช้ช่องโหว่ out-of-bounds write และในส่วนของ Hyeonjin Choi ได้สาธิตช่องโหว่ type confusion แบบ zero-day

ทีม Prison Break ได้รับเงินรางวัล 40,000 ดอลลาร์ หลังจากสาธิตการโจมตีที่ใช้ช่องโหว่ integer overflow เพื่อ escape ออกจาก Oracle VirtualBox และรันโค้ดบนระบบปฏิบัติการได้สำเร็จ

Sina Kheirkhah จาก Summoning Team ได้รับรางวัลอีก 35,000 ดอลลาร์สหรัฐ จากการโจมตีแบบ zero-day บน Chroma ร่วมกับการใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วใน Triton Inference Server ของ Nvidia ในขณะที่ Billy และ Ramdhan จาก STARLabs SG ได้รับเงินรางวัล 60,000 ดอลลาร์ หลังจากสามารถโจมตีผ่าน Docker Desktop และรันโค้ดบนระบบปฏิบัติการได้ โดยใช้ช่องโหว่ use-after-free แบบ zero-day

การแข่งขันแฮ็กในงาน Pwn2Own Berlin 2025 มุ่งเน้นไปที่เทคโนโลยีระดับองค์กร และหมวดหมู่ AI จัดขึ้นที่กรุงเบอร์ลินระหว่างวันที่ 15 ถึง 17 พฤษภาคม ภายในงานประชุม OffensiveCon

ในวันที่สองของการแข่งขัน นักวิจัยด้านความปลอดภัยจะพยายามเจาะระบบด้วยช่องโหว่แบบ zero-day บน Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Red Hat Enterprise Linux for Workstations และ Oracle VirtualBox

หลังจากมีการสาธิต และเปิดเผยช่องโหว่ zero-day ภายในงาน Pwn2Own แล้ว vendors มีเวลา 90 วันในการออกแพตช์ หรืออัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ใน products ซอฟต์แวร์ และฮาร์ดแวร์ของตน

ผู้เข้าแข่งขัน Pwn2Own จะมุ่งเป้าโจมตีไปที่ products ที่มีการอัปเดตแบบ fully patched ในหมวดต่าง ๆ เช่น AI, web browser, virtualization, local privilege escalation, servers, enterprise applications, cloud-native/container และ automotive categories ซึ่งจะมีเงินรางวัลมูลค่ากว่า 1,000,000 ดอลลาร์สหรัฐ

อย่างไรก็ตาม ในขณะที่ Tesla Model 3 ปี 2024 และ Tesla Model Y ปี 2025 (เวอร์ชั่น bench-top) ถูกกำหนดไว้เป็นเป้าหมายในการแข่งขันด้วย แต่จนถึงเริ่มการแข่งขันยังไม่มีผู้ใดที่มาลงทะเบียนโจมตีเป้าหมายเหล่านี้เลย

 

ที่มา : bleepingcomputer.