១. ព័ត៌មានទូទៅ ក្រុមហ៊ុន Mozilla​ បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដើម្បីដោះស្រាយចំណុចដែលងាយរងគ្រោះនៅក្នុងកម្មវិធី Firefox 100, Firefox ESR 91.9 និងThunderbird 91.9។ ២. ផលិតផលដែលរងផលប៉ះពាល់ – កម្មវិធី Firefox 108 – កម្មវិធី Firefox ESR 102.6 – កម្មវិធី Thunderbird 102.6 ៣. ផលវិបាក ការវាយលុកដោយជោគជ័យលើចំណុចខ្សោយនៃកម្មវិធីខាងលើនេះ អាចឱ្យអ្នកវាយប្រហារគ្រប់គ្រងប្រព័ន្ធដែលរងផលប៉ះពាល់។ ៤. អនុសាសន៍ណែនាំ ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអភិបាលគ្រប់គ្រងប្រព័ន្ធនិងអ្នកប្រើប្រាស់ទាំងអស់ធ្វើការអាប់ដេតកម្មវិធី Firefox ទៅកាន់កំណែចុងក្រោយបំបផុតជាបន្ទាន់តាមតែអាចធ្វើទៅបាន។ ៥. ឯកសារពាក់ព័ន្ធ https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/mozilla-releases-security-updates-thunderbird-and-firefox https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-52/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/

១. ព័ត៌មានទូទៅ ក្រុមហ៊ុនម៉ៃក្រូសូហ្វបានធ្វើការចេញផ្សាយនូវបញ្ជីចំនុចខ្សោយចំនួន 48 ដែលមានផលប៉ះពាល់ទៅដល់ផលិតផលរបស់ខ្លួនក្នុងចំណោមនោះមាន 8ចំណុច ត្រូវបានចាត់ទុកថាមានលក្ខណៈធ្ងន់ធ្ងរបំផុត។ ការវាយលុកដោយជោគជ័យទៅលើចំណុចខ្សោយធ្ងន់ធ្ងរទាំង 8 នេះ អាចអនុញ្ញាតឱ្យមានការដំណើរការកូដពីចម្ងាយ ដោយចោរបច្ចេកវិទ្យា ឬហេកគ័រ ចំណុចចខ្សោយទាំង 8 នោះ មានដូចខាងក្រោម៖ CVE-2022-44698: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Windows SmartScreen ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវ​ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មាន-វិទ្យា ឬហេកគ័រ អាចធ្វើការរំលងប្រព័ន្ធសុវត្ថិភាព (bypass mark) ពីការរឹតបណ្តឹងសន្តិសុខ និងអាចចូលប្រើប្រាស់នូវទិន្នន័យ ឬធ្វើការកែប្រែព័ត៌មាន នៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់បាន CVE-2022-44690, CVE-2022-44693: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Microsoft SharePoint Server ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យឱ្យបានត្រឹមត្រូវនៅពេលអ្នកប្រើប្រាស់ធ្វើការបញ្ចូលព័ត៌មាន ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ CVE-2022-41089: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Microsoft .NET Framework ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យឱ្យបានត្រឹមត្រូវនៅពេលអ្នកប្រើប្រាស់ធ្វើការបញ្ចូលព័ត៌មាន ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ CVE-2022-41076: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Microsoft PowerShell […]

១.ព័ត៌មានទូទៅ ក្រុមហ៊ុន Cisco បានបញ្ចេញបច្ចុប្បន្នភាពសន្ដិសុខដើម្បីជួសជុលចំណុចខ្សោយក្នុងផលិតផលរបស់ខ្លួនមួយចំនួន។ ហេកគ័រពីចម្ងាយអាចប្រើចំណុចខ្សោយទាំងនេះដើម្បីលួចចូលគ្រប់គ្រងប្រព័ន្ធប៉ះពាល់បាន។ អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធគួរត្រួតពិនិត្យអត្ថបទប្រឹក្សាខាងក្រោមនិងធ្វើបច្ចុប្បន្នភាពតាមការចាំបាច់៖ CVE-2022-20927 ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Cisco Adaptive Security Appliance និង Cisco Firepower Threat Defense (FTD) ដោយសារតែកម្មវិធីមានកំហុសឆ្គង boundary នៅក្នុង​​ SSL/TLS client។ ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការវាយប្រហារពីចម្ងាយបាន ដោយផ្ញើសំណើពិសេសទៅកាន់អង្គចងចាំបង្កឱ្យមានការខូចខាត និងប្រតិបត្តិកូដបំពាន នៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់បានដោយជោគជ័យ CVE-2022-20826 ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Cisco Secure Firewall 3100 ដោយ សារតែកម្មវិធីមានកំហុសឆ្គង logic errorនៅក្នុងដំណើរការ boot។ ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចមានសិទិ្ធចូលប្រើប្រាស់ និងប្រតិបត្តិកូដបំពាននៅលើ boot ដែលរងផលប៉ះពាល់បានដោយជោគជ័យ CVE-2022-20946 ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Cisco Firepower Threat Defense ដោយសារតែកម្មវិធីមានកំហុសឆ្គង boundary […]

១. ព័ត៌មានទូទៅ ក្រុមហ៊ុន OpenSSL​បាន​ចេញ​សេចក្តី​ណែនាំសន្តិសុខ​អំពីការធ្វើបច្ចុប្បន្នភាពទៅលើភាពងាយរងគ្រោះ ដើម្បីជួសជុលបិទចន្លោះប្រហោង (ចំនុចខ្សោយ) ​មាន​នៅ​ក្នុង​កម្មវិធី​ OpenSSL  3.0.0 ដល់ 3.0.6 មានកម្រិត​ធ្ងន់ធ្ងរ​ខ្លាំង។ តាមរយៈចំណុចខ្សោយនេះ ចោរព័ត៌មានវិទ្យា/ហេកគ័រ អាចធ្វើការវាយប្រហារពីចម្ងាយដោយដំណើរការអាសយដ្ឋានអ៊ីមែលនៅខាងក្នុងវិញ្ញាបនបត្រ X.509 ច្រើនលើសលប់ និងបន្តផ្ញើសំណើពិសេសទៅកាន់អង្គចងចាំបង្កឱ្យមានការខូចខាត និងប្រតិបត្តិកូដបំពាន នៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់បានដោយជោគជ័យ ។ ២. ផលិតផលដែលរងផលប៉ះពាល់                  – OpenSSL  3.0.0 ដល់ 3.0.6 ៣. ផលវិបាក ចោរព័ត៌មានវិទ្យា/ហេកគ័រ អាចវាយលុកចំណុចខ្សោយដែលមានក្នុងផលិតផលខាងលើនេះ ធ្វើឱ្យគាំងប្រព័ន្ធមានសិទ្ធិលួចមើលព័ត៌មានសំខានៗ ឬដំណើរការកូដពីចម្ងាយ ដើម្បីគ្រប់គ្រងប្រព័ន្ធដែលរងគ្រោះ។ ៤. អនុសាសន៍ណែនាំ ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអភិបាលគ្រប់គ្រងប្រព័ន្ធនិងអ្នកប្រើប្រាស់ទាំងអស់ធ្វើការអាប់ដេតជាបន្ទាន់តាមតែអាចធ្វើទៅបាន។ ៥. ឯកសារពាក់ព័ន្ធ https://www.jpcert.or.jp/english/at/2022/at220030.html https://www.openssl.org/news/secadv/20221101.txt

១. ព័ត៌មានទូទៅ        ក្រុមហ៊ុន Apple បានចេញសេចក្តីណែនាំសន្តិសុខអំពីការអាប់ដេតទៅលើចំណុចដែលងាយរងគ្រោះ ដើម្បីជួសជុលបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ជាច្រើនមានក្នុងផលិតផលរបស់ខ្លួននាខែវិច្ឆិកា ឆ្នាំ២០២២ ដែលមានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតហើយទាមទារឱ្យមានការយកចិត្តទុកដាក់និងមានវិធានការធ្វើការអាប់ដេតជាបន្ទាន់។ ២. ផលិតផលដែលរងផលប៉ះពាល់  –  iOS 16.1 –  macOS Monterey 12.6 ៣. ផលវិបាក ចោរព័ត៌មានវិទ្យា/ហេកគ័រ អាចវាយលុកចំណុចខ្សោយដែលមានក្នុងផលិតផលខាងលើនេះ ធ្វើឱ្យគាំងប្រព័ន្ធមានសិទ្ធិលួចមើលព័ត៌មានសំខានៗ ឬដំណើរការកូដពីចម្ងាយ ដើម្បីគ្រប់គ្រងប្រព័ន្ធដែលរងគ្រោះ។ ៤. អនុសាសន៍ណែនាំ អ្នកប្រើប្រាស់ត្រូវតែធ្វើការអាប់ដេតកម្មវិធីទៅកាន់កំណែថ្មីបំផុតនៃកម្មវិធី។ អ្នកប្រើប្រាស់អាចធ្វើការអាប់ដេតកម្មវិធីដោយខ្លួនឯងតាមរយៈការជ្រើសយកម៉ីនុយ Setting បន្ទាប់មកជ្រើសយកពាក្យ Software Update។ កម្មវិធីនេះអាចធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិនៅពេលមានការអាប់ដេតថ្មី (ប្រសិនបើកម្មវិធីត្រូវបានកំណត់មុខងារអាប់ដេតដោយស្វ័យប្រវត្តិ)។ សម្រាប់អ្នកប្រើប្រាស់កម្មវិធី –  iOS 1៦.១ អាចធ្វើការអាប់ដេតទៅកំណែ iOS 16.1.1 បាននៅលើឧបករណ៍  iPhone 8, iPad Pro (គ្រប់ម៉ូដែល), iPad Air ជំនាន់ទី៣​​ និង iPad ជំនាន់ទី៥, –  macOS Monterey […]

១. ព័ត៌មានទូទៅ នាពេលថ្មីៗនេះក្រុមហ៊ុន VMware បានចេញសេចក្តីណែនាំសន្តិសុខ (VMSA-2022-0028) បន្ទាន់មួយអំពីការទប់ស្កាត់ទៅលើភាពងាយរងគ្រោះ និងដើម្បីបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ចំនួន១ ដែលមាននៅក្នុងកម្មវិធី VMware Workspace ONE Assist (Assist)។ ចំណុចខ្សោយនេះមានលេខសម្គាល់ CVE-2022-31687 ជាប្រភេទដំណើរការរំលងប្រព័ន្ធសុវត្ថិភាព(bypass) មានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរ និងទទួលបានពិន្ទុ CVSSv3 9.8 អាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ដែលស្ថិតក្នុងបណ្តាញអាចធ្វើការរំលងប្រព័ន្ធសុវត្ថិភាព (bypass) ពីការរឹតបណ្តឹងសន្តិសុខ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ។ ២. ផលិតផលដែលរងផលប៉ះពាល់ VMware Workspace ONE Assist (Assist) ៣. ផលវិបាក ការវាយប្រហារដោយជោគជ័យលើចំណុចខ្សោយខាងលើនេះអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រលួចចូលក្នុងប្រព័ន្ធហើយអាចធ្វើការផ្លាស់ប្តូរ ឬលុបទិន្នន័យនិងបង្កើតគណនីថ្មីជាដើម និងអាចគ្រប់គ្រងលើប្រព័ន្ធទាំងមូលបានតែម្តង។ ៤. អនុសាសន៍ណែនាំ ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអ្នកគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ទាំងអស់ធ្វើការអាប់ដេតជាបន្ទាន់តាមដែលអាចធ្វើទៅបាន។ ៥. ឯកសារពាក់ព័ន្ធ –      https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/vmware-releases-security-updates –      https://www.vmware.com/security/advisories/VMSA-2022-0028.html

១. ព័ត៌មានទូទៅ ក្រុមហ៊ុន Adobe បានចេញសេចក្តីណែនាំសន្តិសុខអំពីការធ្វើបច្ចុប្បន្នភាពទៅលើភាពងាយរងគ្រោះដើម្បីជួសជុលបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ជាច្រើន ក្នុងផលិតផលរបស់ខ្លួននាខែតុលា ឆ្នាំ២០២២ ដែលមានបញ្ហាសុវត្ថិភាព ធ្ងន់ធ្ងរបំផុត ហើយទាមទារឱ្យមានការយកចិត្តទុកដាក់ និងមានវិធានការធ្វើបច្ចុប្បន្នភាពជាបន្ទាន់។ ២. ផលិតផលប៉ះពាល់ កម្មវិធី  Adobe Illustrator | APSB22-56 – Adobe Illustrator 2022 កំណែចាប់ពី 26.4 និងកំណែមុននេះ – Adobe Illustrator 2021 កំណែចាប់ពី 25.4.7 និងកំណែមុននេះ ៣. អនុសាសន៍ណែនាំ អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រង ត្រូវតែធ្វើបច្ចុប្បន្នភាពកម្មវិធីទៅកាន់កំណែថ្មីចុងក្រោយបំផុត។ អ្នកប្រើប្រាស់អាចធ្វើបច្ចុប្បន្នភាពកម្មវិធីដោយខ្លួនឯងតាមរយៈការជ្រើសយកម៉ីនុយ Help បន្ទាប់មកជ្រើសយកពាក្យUpdates។ កម្មវិធីអាចធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិនៅពេលមានការអាប់ដេតថ្មី (ប្រសិនបើកម្មវិធីត្រូវបានកំណត់កាធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ)។ សម្រាប់អ្នកគ្រប់គ្រង IT (គួរអនុវត្តដូចខាងក្រោម): ទាញយកកម្មវិធីតាមតំណ ftp://ftp.adobe.com/pub/adobe/ ឬទាញយកនូវកំណែជាក់លាក់មួយដែលបានចេញផ្សាយ ធ្វើបច្ចុប្បន្នភាពតាមវិធីសាស្ត្រដែលអ្នកចូលចិត្តដូចជា AIP-GPO, Bootstrapper, SCUP / SCCM (window) […]

១. ព័ត៌មានទូទៅ ក្រុមហ៊ុនម៉ៃក្រូសូហ្វបានធ្វើការចេញផ្សាយនូវបញ្ជីចំនុចខ្សោយចំនួន ៦២ ដែលមានផលប៉ះពាល់ទៅដល់ផលិតផលរបស់ខ្លួនក្នុងចំណោមនោះមាន ៩ចំណុច ត្រូវបានចាត់ទុកថាមានលក្ខណៈធ្ងន់ធ្ងរបំផុត។ ការវាយលុកដោយជោគជ័យទៅលើចំណុចខ្សោយធ្ងន់ធ្ងរទាំង ៩ នេះ អាចអនុញ្ញាតឱ្យមានការដំណើរការកូដពីចម្ងាយ ដោយចោរបច្ចេកវិទ្យា ឬហេកគ័រ ចំណុចចខ្សោយទាំង ៩ នោះ មានដូចខាងក្រោម៖ CVE-2022-41049, CVE-2022-41091: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Windows Mark of the Web functionality ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវ​ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការរំលងប្រព័ន្ធសុវត្ថិភាព (bypass) ពីការរឹតបណ្តឹងសន្តិសុខ និងអាចចូលប្រើប្រាស់នូវទិន្នន័យ ឬធ្វើការកែប្រែ  ព័ត៌មាន នៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់បាន CVE-2022-41073: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Microsoft Windows Print Spooler service ​ដោយសារតែកម្មវិធីមានកំហុសឆ្គង​ boundary នៅក្នុងប្រព័ន្ធ Trigger memory។ ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការវាយប្រហារពីចម្ងាយបាន ដោយផ្ញើសំណើពិសេសទៅកាន់អង្គចងចាំបង្កឱ្យមានការខូចខាត និងប្រតិបត្តិកូដបំពាន នៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់បានដោយជោគជ័យ CVE-2022-41125: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី […]