ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

13 ข่าว

PuTTY 0.84 แก้ช่องโหว่ SSH KEX Crash และ Telnet Prompt Spoofing — อัปเดตด่วนสำหรับทุกองค์กร

PuTTY 0.84 released with fixes for SSH KEX crash ECDSA double-free RSA and Telnet spoofing vulnerabilities
PuTTY เวอร์ชัน 0.84 เปิดตัวพร้อมแพตช์ช่องโหว่ความปลอดภัยหลายรายการ รวมถึงบัก ECDSA ที่ทำให้ SSH handshake crash ได้ก่อน host key validation (ตั้งแต่เวอร์ชัน 0.71), Double-free ใน RSA key exchange ที่เปิดช่อง DoS (เวอร์ชัน 0.72–0.83) และ Telnet trust sigil bypass ที่ทำให้ผู้ใช้อาจป้อนรหัสผ่านให้ server ปลอมโดยไม่รู้ตัว ทั้งหมดสามารถถูก exploit โดย MITM attacker หรือ malicious server ก่อนที่ host key จะได้รับการยืนยัน

MiniPlasma — PoC ยกระดับสิทธิ์เป็น SYSTEM บน Windows 11 ที่แพตช์แล้ว เพราะ Microsoft แก้ช่องโหว่ปี 2020 ไม่สมบูรณ์

MiniPlasma Windows Zero-Day SYSTEM Privilege Escalation cldflt.sys
นักวิจัยชื่อ Chaotic Eclipse ปล่อย PoC ช่องโหว่ MiniPlasma ที่ยกระดับสิทธิ์จาก user ธรรมดาเป็น SYSTEM บน Windows 11 ที่อัปเดตแพตช์ล่าสุดแล้ว ช่องโหว่อยู่ใน cldflt.sys (Cloud Filter driver) เดิมเคยถูกรายงานโดย Google Project Zero ในปี 2020 เป็น CVE-2020-17103 และ Microsoft อ้างว่าแก้ไขแล้วในธันวาคม 2020 แต่พบว่าแพตช์ไม่สมบูรณ์หรือถูกย้อนกลับ ยังคง exploit ได้บน Windows 11 ปัจจุบัน

Pwn2Own Berlin 2026 — แฮ็กเกอร์โชว์ 39 Zero-Day ใน Windows 11, Exchange และ AI รวมเงินรางวัลกว่า 900K ดอลลาร์

Pwn2Own Berlin 2026 Zero-Day Hacking Competition
Pwn2Own Berlin 2026 จบ 2 วันแรกด้วยการค้นพบ 39 ช่องโหว่ zero-day เงินรางวัลรวมกว่า 908,750 ดอลลาร์ ไฮไลต์คือ Orange Tsai จาก DEVCORE chain 3 bugs เจาะ Exchange ได้ RCE as SYSTEM รับ 200K ดอลลาร์ นอกจากนี้ยังมีการเจาะ AI coding agents อย่าง Cursor และ OpenAI Codex สำเร็จ สะท้อนว่าแม้แต่เครื่องมือ AI ก็ยังมีจุดอ่อนด้านความปลอดภัย