ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

2 ข่าว

บทเรียน Supply-Chain ที่ไม่มี CVE — Rocket.Chat ติดอยู่บน Node.js หมดอายุ จนการย้าย Meteor 3.0 ช่วยปลดล็อก

Meteor 3.0 migration helped Rocket.Chat move off end-of-life Node.js runtime
Rocket.Chat แพลตฟอร์มสื่อสารที่ได้รับการรับรอง DoD ATO ระดับ IL6 ติดอยู่บน Node.js 14 ที่หมดอายุตั้งแต่เมษายน 2566 เพราะเฟรมเวิร์ก Meteor ยังพึ่งไลบรารี node-fibers จนกระทั่ง Meteor 3.0 ออกในกรกฎาคม 2567 ถอด Fibers ย้ายไป async/await และรองรับ Node.js 20 กรณีนี้สะท้อนความเสี่ยง supply chain ที่ไม่มี CVE ไม่มี exploit แต่ runtime ที่ไม่มีการซัพพอร์ตสร้างความเสี่ยงด้าน audit แพตช์ และการเปิดเผยช่องโหว่ในระบบนิเวศปลายน้ำ

AI Agent ค้นพบ 21 Zero-Day ใน FFmpeg — บางช่องโหว่ฝังนาน 23 ปี ขณะ Chrome แพตช์ทุบสถิติ 429 บั๊ก

AI agent uncovers 21 zero-days in FFmpeg Chrome 429 bugs
บริษัท depthfirst ใช้ AI agent อัตโนมัติสแกนซอร์สโค้ด FFmpeg ราว 1.5 ล้านบรรทัด พบ 21 zero-day พร้อม PoC ด้วยต้นทุนเพียงราว 1,000 ดอลลาร์ บางช่องโหว่ฝังตัวมานาน 15-23 ปี ส่วนใหญ่เป็น heap/stack overflow ในสัปดาห์เดียวกัน Google ปล่อย Chrome 149 แพตช์ 429 ช่องโหว่ มากที่สุดในประวัติศาสตร์ ตัวร้ายแรงสุดคือ CVE-2026-10881 (CVSS 9.6) สะท้อนว่า AI กำลังเร่งการค้นพบช่องโหว่เร็วกว่าที่มนุษย์จะตามแก้ไหว