ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

3 ข่าว

Roundcube ออกเวอร์ชัน 1.7 อุดช่องโหว่ Stored XSS แบบ Zero-Click 2 รายการ — แค่เปิดอ่านอีเมลก็ถูกขโมย session

Roundcube 1.7 patches two zero-click stored XSS vulnerabilities
Roundcube ปล่อยเวอร์ชัน 1.7 แก้ช่องโหว่ 6 รายการ รวมถึง Stored XSS ระดับวิกฤต 2 ตัวที่ทำงานแบบ zero-click ไม่ต้องให้เหยื่อคลิก CVE-2026-54432 เกิดจากการแสดงชนิดไฟล์ (MIME type) ของไฟล์แนบโดยไม่กรอง ทำให้สคริปต์รันทันทีที่หน้าเตือนโหลด ส่วน CVE-2026-54433 อยู่ในเอนจินแสดงข้อความแบบ plain-text แค่เปิดอ่านเมลก็ถูกฝังสคริปต์เงียบ ๆ ทั้งคู่เปิดทางขโมย session และเข้าถึงกล่องเมลโดยไม่ต้องมีปฏิสัมพันธ์ นักวิจัยแนะนำให้อัปเดตด่วนกว่ารอบแพตช์ปกติ

Citizen Lab เผยอดีตสมาชิกรัฐสภายุโรปถูกเจาะด้วยสปายแวร์ Pegasus ขณะสอบสวนการใช้สปายแวร์

europe iam pegasus spyware citizen lab european parliament member investigating spyware was hacked with pegasus a
Citizen Lab เผยว่า นาย Stelios Kouloglou อดีตสมาชิกรัฐสภายุโรปที่นั่งในคณะกรรมการสอบสวนการใช้สปายแวร์ ถูกเจาะโทรศัพท์ด้วย Pegasus ซ้ำหลายครั้งช่วงปี 2565–2566 ผ่านช่องโหว่ zero-click PWNYOURHOME ใน HomeKit ของ Apple การวิเคราะห์ทางนิติวิทยาศาสตร์ชี้ว่าผู้โจมตีอาจเข้าถึงเอกสารลับและการประชุมของคณะกรรมการ นับเป็นสมาชิก PEGA คนแรกที่ถูกยืนยันว่าเป็นเหยื่อ Pegasus ขณะปฏิบัติหน้าที่

รัสเซียอ้างพบสปายแวร์ต่างชาติฝังในมือถือเจ้าหน้าที่ระดับสูง — FSB เผยปฏิบัติการจารกรรมผ่านโครงสร้าง IT ระดับโลก

Russia says foreign spyware found on high-ranking officials mobile phones
หน่วยงานความมั่นคงกลางรัสเซีย (FSB) อ้างว่าได้ขัดขวางปฏิบัติการจารกรรมไซเบอร์ขนาดใหญ่ที่ฝังสปายแวร์ขั้นสูงในมือถือของเจ้าหน้าที่รัฐระดับสูง โดยกล่าวหาว่าหน่วยข่าวกรองต่างชาติเป็นผู้อยู่เบื้องหลัง มัลแวร์สามารถดึงข้อมูลสำคัญ ดักการสื่อสาร และแอบบันทึกเสียง/วิดีโอ FSB ระบุผู้โจมตีอาศัยโครงสร้างพื้นฐานของผู้ให้บริการ IT และโทรคมนาคมระดับโลก แม้ไม่เปิดเผย IoC หรือชื่อมัลแวร์ แต่ความสามารถสอดคล้องกับสปายแวร์ระดับรัฐอย่าง Pegasus หรือ Predator ที่มักใช้ zero-click exploit