Ubuntu ประกาศเป็นดิสโทรลินุกซ์รายใหญ่ค่ายแรก ที่จะเปลี่ยนจาก sudo มาใช้ sudo-rs ที่เขียนด้วยภาษา Rust เพื่อป้องกันช่องโหว่หน่วยความจำ

โครงการ sudo-rs ได้รับเงินสนับสนุนจาก Internet Security Research Group (ISRG) กลุ่มวิจัยด้านความปลอดภัยอินเทอร์เน็ต ที่พยายามเขียนซอฟต์แวร์โอเพนซอร์สสำคัญๆ ใหม่ด้วย Rust โดยนอกจาก sudo แล้วยังมีตัวอื่น เช่น su, zlib และ Rustls ด้วย

ทีมพัฒนา Ubuntu บอกว่า sudo-rs ถูกพัฒนาขึ้นเพื่อเป็นตัวทดแทน sudo แบบ drop-in คือเปลี่ยนมาใช้ได้ทันที ผู้ใช้ไม่รู้สึกถึงความแตกต่าง แต่บางฟีเจอร์ของ sudo ตัวเก่าที่ไม่ค่อยมีคนใช้มากนัก หรือเป็นฟีเจอร์ที่ล้าสมัยไปแล้วอาจจะไม่ถูกนำมาใช้กับ sudo-rs

ดราม่า Signalgate ที่บุคคลระดับสูงในรัฐบาลสหรัฐไปแชทคุยเรื่องสงครามใน Signal ยังไม่ทันลืมเลือน ก็เกิดดราม่าใหม่ขึ้นมาว่า TeleMessage แอพแชทเลียนแบบ Signal ที่บุคคลในรัฐบาลย้ายไปใช้แทน Signal ก็ถูกแฮ็กซ้ำอีก

ตอนนี้ TeleMessage ปิดบริการชั่วคราวแล้ว เพื่อสืบสวนสาเหตุของการแฮ็กที่เกิดขึ้น ทีมโฆษกของ TeleMessage ยืนยันการแฮ็ก และบอกว่ากำลังร่วมกับบริษัทที่ปรึกษาความปลอดภัยเพื่อสืบสวน

ห้างสรรพสินค้าในสหราชอาณาจักรหลายแห่งรายงานว่าถูกโจมตีไซเบอร์ โดยล่าสุดห้าง Harrods ยืนยันว่าถูกโจมตีเพื่อเข้าถึงระบบ แต่ยังสามารถดูแลความปลอดภัยได้ และต้องจำกัดการเชื่อมต่ออินเทอร์เน็ตเพื่อระมัดระวัง อย่างไรก็ดีตัวห้างยังให้บริการได้ รวมถึงบริการเว็บ harrods.com

ก่อนหน้านี้ Will Thomas ผู้เชี่ยวชาญความปลอดภัยไซเบอร์ออกมาระบุว่ากลุ่มมัลแวร์เรียกค่าไถ่ SCATTERED SPIDER กำลังไล่โจมตีกลุ่มค้าปลีกในสหราชอาณาจักร โดยกลุ่มนี้เคยแฮกบริษัทขนาดใหญ่จำนวนมาก เช่น Twilio, Cloudflare, RiotGames, Coinbase โดยมักเริ่มจากการโจมตีทั้งการทำ SIM swap หรือส่งลิงก์ phishing

Meta ประกาศเทคโนโลยี "Private Processing" เพื่อนำ Meta AI มาใช้กับแอปแชท WhatsApp มากขึ้น โดยยังปกป้องความเป็นส่วนตัวให้ผู้ใช้งานได้

Private Processing จะเป็นตัวเลือกที่ผู้ใช้งานต้องเปิดใช้งานเอง (opt-in) โดยนำ Meta AI มาเสริมความสามารถ เช่น การสรุปข้อความ หรือคำแนะนำการเขียนโต้ตอบ มีกระบวนการทำงานเพื่อปกป้องความเป็นส่วนตัว โดย Meta มีคลาวด์ที่เสริมความปลอดภัยแยกต่างหากสำหรับ Private Processing โดยเฉพาะ

ธนาคารแห่งประเทศไทย (ธปท.) บอกว่าพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 ได้รับการสนับสนุนจาก ธปท. ซึ่งร่วมมือกับหน่วยงานที่เกี่ยวข้องเพื่อเสนอความเห็น และปรับปรุงเนื้อหาให้มาตรการป้องกัน และปราบปรามอาชญากรรมทางเทคโนโลยีมีประสิทธิภาพมากขึ้น

หนึ่งในประเด็นของ พ.ร.ก. ไซเบอร์ คือการกำหนดให้สถาบันการเงิน ผู้ประกอบธุรกิจบริการการชำระเงิน ผู้ให้บริการโทรคมนาคม ผู้ให้บริการสื่อสังคมออนไลน์ และผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ยกระดับการดูแลลูกค้า และต้องร่วมรับผิดชอบต่อความเสียหายหากละเลยมาตรฐานที่หน่วยงานกำกับดูแลกำหนด จนส่งผลให้ลูกค้าได้รับความเสียหาย

SK Telecom ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายใหญ่ที่สุดในเกาหลีใต้ เริ่มกระบวนการเปลี่ยนซิมให้ผู้ใช้ทุกคน รวม 23 ล้านเลขหมาย หลังแฮกเกอร์โจมตีและดาวน์โหลดข้อมูลไปได้ขนาด 1GB โดยไม่มีข้อมูลชัดเจนว่าแฮกเกอร์ได้ข้อมูลอะไรไปบ้าง

ก่อนหน้านี้ SK Telecom เสนอให้บริการปกป้องซิมให้ผู้ใช้ โดยจะล็อกซิมเข้ากับเครื่องที่ใช้ลงทะเบียนโทรศัพท์ แต่กระบวนการนี้ก็สร้างความยุ่งยาก โดยเฉพาะลูกค้าที่เปลี่ยนโทรศัพท์เพื่อเดินทางต่างประเทศ สุดท้ายทางบริษัทจึงตัดสินใจเสนอทางเลือกเปลี่ยนซิมให้ลูกค้าทุกราย

ปัญหาสำคัญคือ SK Telecom มีซิมในสต็อกเพียงล้านกว่าชิ้นเท่านั้น และกำลังจัดซื้อเพิ่มเติมอีก 5 ล้านชิ้น ขณะที่จุดเปลี่ยนซิมนั้นเป็นร้านค้าของ SK Telecom ประมาณ 2,300 จุดทั่วประเทศ

Silent Push บริษัทความปลอดภัยไซเบอร์ รายงานถึงบริษัทในสหรัฐฯ 3 แห่งที่เปิดกิจการโดยเกาหลีเหนือ เพื่อเปิดรับสมัครงานนักพัฒนาสายคริปโต จากนั้นหลอกล่อด้วยวิธีต่างๆ ให้ผู้สมัครติดตั้งมัลแวร์เพื่อให้คนร้ายสามารถรีโมตเข้าเครื่องเหยื่อ หรือขโมยข้อมูลออกมาได้

ทาง Silent Push เรียกปฎิบัติการโจมตีนี้ว่า Contagious Interview โดยระบุว่ามีบริษัทในสหรัฐฯ สามบริษัทที่เป็นหน้าฉากในการเปิดรับสมัครงาน ได้แก่ Block Novas, Angeloper Agency, และ SoftGlide โดยมัลแวร์ที่ใช้งานมีสามกลุ่มได้แก่ BeaverTail, InvisibleFerret, และ OtterCookie

Europol หรือตำรวจของสหภาพยุโรปประกาศทลายบริการ phishing-as-a-service สร้างเว็บหลอกเอารหัสผ่านอย่างง่ายที่เปิดให้บริการมาหลายปี มีลูกค้ากว่าหมื่นราย รวมเว็บหลอกลวงมากกว่า 40,000 โดเมน

ลูกค้าแต่ละรายจ่ายค่าบริการเริ่มต้นเดือนละ 179 ดอลลาร์สหรัฐฯ หรือประมาณ 6,000 บาท จะสามารถสร้างเว็บหลอกลวงของธนาคารหรือไปรษณีย์ต่างๆ ทั่วโลกจากตัวเลือก 170 เว็บไซต์ได้ทันที นอกจากนี้ยังมีโปรแกรม LabRat สำหรับมอนิเตอร์เหยื่อว่าถูกหลอกหรือยัง เพื่อดึง OTP ล็อกอินขั้นตอนที่สองไปใช้งานได้ทันที

ผู้ใช้บัญชี Sec Reporter บนแพลตฟอร์ม Bugzilla ของ Mozilla รายงานถึงช่องโหว่ของบริการขายใบรับรองเข้ารหัส SSL.com ที่มีช่องโหว่ยืนยันตัวตนเจ้าของโดเมนผิดพลาด จนทำให้คนร้ายสามารถออกใบรับรองโดเมนอื่นๆ ที่ไม่ใช่เจ้าของได้

บั๊กนี้อาศัยกระบวนการยืนยันเจ้าของโดเมนแบบ email to DNS TXT นั่นคือการประกาศให้ติดต่ออีเมลใดๆ ที่ประกาศไว้ใน TXT record บน DNS อย่างไรก็ดี แทนที่ SSL.com จะออกใบรับรองให้กับโดเมนที่ประกาศ TXT record กลับออกใบรับรองของโดเมนในอีเมลแทน

ความผิดพลาดนี้ทำให้คนร้ายสามารถใช้อีเมลฟรีใดๆ แล้วออกใบรับรองของโดเมนใหญ่ๆ เช่น gmail.com, yahoo.com, หรือ icloud.com ได้ และใช้ดักฟังการสื่อสารของโดเมนเหล่านี้ในอนาคต

CISA หน่วยงานความมั่นคงไซเบอร์สหรัฐฯ ประกาศต่ออายุสัญญาดูแลฐานข้อมูล CVE กับ MITRE Corporation เรียบร้อยแล้ว หลังจากสัญญากำลังจะหมดอายุวันนี้

สัญญาดูแลฐานข้อมูลจะหมดอายุวันที่ 16 เมษายน แต่ทาง CISA ได้ขยายสัญญาในคืนวันที่ 15 เมษายน พร้อมกับขอบคุณผู้มีส่วนเกี่ยวข้องที่อดทน

ก่อนหน้านี้ CVE Foundation ออกมาประกาศว่าหากรัฐบาลสหรัฐฯ ไม่จ่ายค่าดูแลฐานข้อมูล CVE ก็จะย้ายโครงการมายังมูลนิธิเพื่อหาทุนและสร้างโครงสร้างมาดูแลต่อไป แต่ในเมื่อวันนี้รัฐบาลสหรัฐฯ จ่ายค่าดูแลโครงการต่อแล้วก็คงอยู่ในรูปแบบเดิมต่อไปอีกระยะหนึ่ง

กูเกิลอัปเดต Google Play services เวอร์ชัน 25.14 ให้กับผู้ใช้ Android ซึ่งรายการเปลี่ยนแปลงเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวในอัปเดตนี้ระบุว่า

[โทรศัพท์] ฟีเจอร์นี้จะช่วยให้อุปกรณ์รีสตาร์ทโดยอัตโนมัติหากถูกล็อกเป็นเวลา 3 วันติดต่อกัน

MITRE Corporation ผู้ดูแลเว็บไซต์ CVE.org บริการฐานข้อมูลช่องโหว่ซอฟต์แวร์ ส่งจดหมายเวียนถึงกรรมการ CVE ว่ารัฐบาลทรัมป์ไม่ต่อสัญญาว่าจ้างให้ดูแลฐานข้อมูล ส่งผลให้สัญญาจบลงในวันนี้ซึ่งอาจจะกระทบต่อการให้บริการต่อไป

CVE เป็นการให้หมายเลขประจำตัวช่องโหว่ เพื่อให้ติดตามอ้างอิงช่องโหว่ต่างๆ ได้ง่ายขึ้น เช่น ช่องโหว่ Shellshock คือ CVE-2014-6271, Heartbleed คือช่องโหว่ CVE-2014-0160 เดิมฐานข้อมูลนี้เป็นบริการของ MITRE ที่บริษัทติดตามช่องโหว่ต่างๆ แต่ภายหลังก็เป็นบริการสาธารณะที่ CISA หน่วยงานความปลอดภัยไซเบอร์สหรัฐฯ จ่ายเงินสปอนเซอร์ให้ทาง MITRE ดูแลให้

CA Browser Forum ผ่านมติ SC-081 ที่เสนอโดยแอปเปิล, Sectigo, กูเกิล, และมอซิลล่า ระบุให้จำกัดอายุใบรับรองเข้ารหัสเหลือไม่เกิน 47 วัน ภายในเดือนมีนาคม 2029

ข้อเสนอนี้เริ่มต้นโดย Clint Wilson วิศวกรผู้ดูแลโครงการ root certification authority ของแอปเปิล โดยข้อเสนอแรกระบุให้จำกัดเวลาเหลือ 45 วันแต่ก็มีการปรับแก้จนเป็น 47 วัน และขยายช่วงเวลาจากเดิมกำหนดเส้นตายไว้ปี 2027 เป็นปี 2029

ผลการลงคะแนนฝั่งเบราว์เซอร์เห็นด้วยทั้งหมด ขณะที่ฝั่ง CA เห็นด้วย 25 เสียง งดออกเสียง 5 เสียง ไม่มีคนโหวตค้าน

มตินี้รวมถึงการลดอายุการใช้ข้อมูลยืนยันเจ้าของชื่อ ให้เหลือเพียง 10 วัน ตามข้อเสนอเดิม ไม่มีการแก้ไขแต่อย่างใด

กูเกิลเปิดตัวชุดบริการความปลอดภัยครบวงจรในชื่อ Google Unified Security ที่งาน Google Cloud Next '25

Google Unified Security มีองค์กรประกอบ 5 ส่วนหลักคือ

สำนักข่าว Bloomberg อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าออราเคิลกำลังแจ้งลูกค้าถึงเหตุการณ์เซิร์ฟเวอร์ของบริษัทถูกแฮก และแฮกเกอร์ที่ใช้ชื่อบัญชี rose87168 ประกาศขายข้อมูลจากฐานข้อมูล LDAP รวม 6 ล้านรายการ โดยแหล่งข่าวระบุว่าออราเคิลแจ้งลูกค้าว่ากำลังให้ FBI และ CrowdStrike เข้ามาสอบสวนเหตุการณ์ครั้งนี้

ทาง BleepingComputer ได้รับตัวอย่างไฟล์จากแฮกเกอร์ พบว่าไฟล์ประกอบไปด้วยชื่อบัญชี, อีเมล, ชื่อจริง, และข้อมูลระบุตัวตนได้อื่นๆ รวมถึงรหัสผ่านที่แฮชไว้

แฮกเกอร์ทิ้งหลักฐานไว้บนเซิร์ฟเวอร์เมื่อวันที่ 1 มีนาคมที่ผ่านมา เป็นเครื่องยืนยันว่าเซิร์ฟเวอร์ถูกแฮกจริง

ไปรษณีย์ไทยออกมายอมรับว่าข้อมูลรั่วไหล หลังจากแฮกเกอร์ประกาศขายข้อมูลบน BreachForum เมื่อวันเสาร์ 29 มีนาคมที่ผ่านมา

ข้อมูลที่คนร้ายประกาศขาย มีทั้งหมด 19 ล้านรายการ น่าจะเป็นข้อมูลระบบ CRM โดยระบุ ชื่อ, นามสกุล, อีเมล, วันเกิด, ข้อมูลติดต่อ, สาขาที่ใช้บริการบ่อย, คะแนนสะสม, ข้อมูลการใช้บริการ

ทางไปรษณีย์ไทยระบุว่าได้ปิดช่องทางเข้าถึงข้อมูลนี้ จากนั้นแจ้งสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการข้อมูลส่วนบุคคล (สคส.) ตลอดจนดำเนินการทางด้านกฎหมายแล้ว

ที่มา - ไปรษณีย์ไทย

ไทยคือประเทศแรก ๆ ที่กูเกิลนำร่องใช้ฟีเจอร์ Google Play Protect ในปี 2024 เพื่อบล็อกความพยายามในการติดตั้งแอปที่อาจมีความเสี่ยงจากแหล่งที่มาที่ไม่รู้จักบนอินเทอร์เน็ต (sideloading) ซึ่งในประเทศไทยหน่วยงานที่ร่วมดำเนินงานกับกูเกิลก็คือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี)

กูเกิลบอกว่าจนถึงตอนนี้ Google Play Protect ช่วยบล็อกการติดตั้งแอปที่อาจมีความเสี่ยงไปแล้วกว่า 6.6 ล้านครั้ง บนอุปกรณ์ Android ในประเทศไทย 1.4 ล้านเครื่อง

อย่างไรก็ตาม มิจฉาชีพมักจะใช้วิศวกรรมสังคมในการหลอกลวงผู้ใช้ให้ปิด Google Play Protect และดาวน์โหลดแอปที่เป็นอันตรายจากแหล่งที่มาที่ไม่รู้จักบนอินเทอร์เน็ต

ไมโครซอฟท์มี Microsoft Security Copilot เป็น AI ช่วยวิเคราะห์หาช่องโหว่ความปลอดภัยมาตั้งแต่ปี 2023 ล่าสุดไมโครซอฟท์ออกมาโชว์ผลงานแล้วว่า Security Copilot ช่วยให้ค้นหาช่องโหว่ได้จริง

ช่องโหว่ที่ค้นพบในรอบนี้เจอกับซอฟต์แวร์ bootloader สายโอเพนซอร์สหลายตัว เช่น GRUB2 ที่นิยมใช้ในลินุกซ์, U-boot, Barebox (สองตัวหลังนิยมใช้ในระบบปฏิบัติการฝังตัว) แนวทางที่ไมโครซอฟท์ใช้คือให้ทีมวิจัยช่องโหว่ Microsoft Threat Intelligence สั่งพร็อมต์ให้ Security Copilot ไล่หาช่องโหว่ประเภท integer overflow ที่เป็นไปได้จากโค้ดของซอฟต์แวร์ bootloader เหล่านี้ แทนการนั่งไล่อ่านโค้ดเองด้วยมนุษย์

กูเกิลประกาศเพิ่มวิธีการเข้ารหัส (encryption) แบบใหม่ให้กับอีเมล Gmail แบบบัญชีองค์กร

วิธีเข้ารหัสอีเมลที่ใช้กันในปัจจุบัน คือ Secure/Multipurpose Internet Mail Extensions (S/MIME) ที่มักต้องใช้ปลั๊กอินหรือส่วนเสริมในการเข้ารหัส-ถอดรหัสทั้งฝั่งผู้ส่งและผู้รับ แอดมินไอทีองค์กรมีความยุ่งยากในการติดตั้ง ออกใบรับรองดิจิทัลให้ผู้ใช้เป็นรายคน รวมถึงการใช้งานของฝั่งผู้ใช้เองที่ยุ่งยาก ส่งผลให้การเข้ารหัสอีเมลไม่ได้แพร่หลายอย่างที่ควรจะเป็น

ซอฟต์แวร์ตระกูล Data Loss Prevention (DLP) ป้องกันความลับองค์กรรั่วไหล มักใช้เทคนิค DLL injection ฝังโค้ด (ไฟล์ DLL) ของซอฟต์แวร์ DLP ลงไปในซอฟต์แวร์ตัวอื่น เช่น เว็บเบราว์เซอร์ เพื่อมอนิเตอร์พฤติกรรมการเข้าเว็บของผู้ใช้งาน ว่าได้อัพโหลดข้อมูลขององค์กรลงไปหรือไม่ ไม่ว่าจะตั้งใจหรือไม่ก็ตาม

จากกรณี นายชยพล สท้อนดี สมาชิกสภาผู้แทนราษฎรกรุงเทพมหานคร พรรคประชาชน เปิดเผยปฏิบัติการ IO ของกองทัพในการอภิปรายไม่ไว้วางใจวันนี้ (25 มีนาคม 2568)

ทางพรรคประชาชน ได้เปิดเอกสารทั้งหมดที่ใช้ในการอภิปรายออกสู่สาธารณะด้วย เอกสารชุดนี้ทำให้เราเห็นโครงสร้างองค์กร Cyber Team ของกองทัพ ที่มีหน่วยต่างๆ แบ่งหน้าที่รับผิดชอบกัน, คำสั่งที่เซ็นแต่งตั้งกำลังพล, ยุทธศาสตร์ทั้งเชิงรุก "ใส่ร้ายเป้าหมาย" และเชิงรับ "ตอบโต้ประเด็น", มีรายชื่อเพจ IO ของกองทัพที่ทำงานเผยแพร่ข่าวสารตามวาระที่กำหนด

นอกจากปฏิบัติการด้านข้อมูลข่าวสาร (IO) แล้ว การโจมตีของกองทัพยังมีประเด็นด้านเทคโนโลยี มีข้อมูลที่น่าสนใจคือ

วันนี้ระหว่างการอภิปรายไม่ไว้วางใจนายกรัฐมนตรี นายชยพล สท้อนดี สมาชิกสภาผู้แทนราษฎรกรุงเทพมหานคร พรรคประชาชน เปิดเผยถึงรายงานคณะทำงานความมั่นคงพิเศษในการโจมตีเป้าหมายรูปแบบต่างๆ แบ่งเป็นสี่แนวทาง ได้แก่ การสแปมข้อความไปยังช่องทางต่างๆ, รายงานบัญชีเพื่อหวังให้บัญชีถูกระงับ, ส่งลิงก์ฟิชชิ่งล่อล่วงผ่านข้อความ, และเจาะรหัสผ่านด้วยการสุ่มรหัสผ่าน

รายงานที่เผยมาระบุว่า Cyber Team นี้ค้นหาข่าวกรองไซเบอร์โดยอาศัยการตรวจสอบข้อมูลที่เคยหลุดมาก่อนของเป้าหมาย เช่น พบข้อมูลรหัสผ่านของ คุณสฤณี อาชวานันทกุล ในแพลตฟอร์มต่างๆ แม้จะเป็นรหัสผ่านที่ใช้ไม่ได้แล้วแต่ก็เป็นแนวทางในการยิงรหัสผ่าน (brute force) เป้าหมายต่อไป

ทีมวิจัยความปลอดภัยของ Wiz รายงานถึงชุดช่องโหว่ CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, และ CVE-2025-1974 เรียกรวมๆ ว่า IngressNightmare เป็นช่องโหว่ของ Ingress NGINX Controller ที่ได้รับความนิยมสูง

Ingress NGINX เป็นโครงการโอเพนซอร์สภายใต้ Kubernetes ทำหน้าที่สร้าง reverse proxy ให้กับบริการภายในของ Kubernetes ปัญหาคือ Controller เปิด Admission Webhook ให้เข้าถึงได้โดยไม่ต้องล็อกอิน และเมื่อผู้ใช้ยิงคำสั่ง AdmissionReview เข้าไปแล้ว NGINX Controller จะตรวจคอนฟิกด้วยคำสั่ง nginx -t

ไมโครซอฟท์เปิดตัว Microsoft Security Copilot ในปี 2023, ออกตัวจริงในปี 2024 มาถึงวันนี้ปี 2025 ก็ประกาศฟีเจอร์ใหม่ Agentic AI จำนวน 11 รูปแบบ เพื่อช่วยงานตรวจสอบความปลอดภัยด้านต่างๆ

ความน่าสนใจคือ Security Copilot agent ที่เปิดตัว มี agent ของไมโครซอฟท์เอง 6 ตัว และ agent ของพาร์ทเนอร์ภายนอกอีก 5 ตัว ที่มาสร้างระบบ agent บนแพลตฟอร์ม Security Copilot

ทีมวิจัยความปลอดภัยไซเบอร์ของกูเกิล ออกมาเรียกร้องให้วงการไอทีสร้างมาตรฐานความปลอดภัยของหน่วยความจำ (memory safety standards)

กูเกิลบอกว่าตอนนี้เราเห็นการสร้างภาษาโปรแกรมที่เป็น memory-safety มากขึ้นเรื่อยๆ ทั้งภาษาใหม่แบบ Kotlin, Rust หรือซับเซ็ตของภาษาเก่า เช่น Safe Buffers for C++ ซึ่งพิสูจน์แล้วว่าช่วยลดช่องโหว่ด้านหน่วยความจำลงได้มาก