圖片來源: 

Google

1029-1104 一定要看的資安新聞

 

#漏洞攻擊

駭客串連Windows與Chrome漏洞發動攻擊

Google於10月22日揭露Windows作業系統的漏洞CVE-2020-17087,存在於系統核心的加密驅動程式CNG.SYS,屬於高風險漏洞。該公司亦表示,他們發現已有攻擊行動,駭客同時搭配舊版Chrome的FreeType漏洞CVE-2020-15999,發動沙箱逃逸(Sandbox Escape)攻擊。

微軟獲報後,預定於11月10日的每月例行修補發布更新軟體。至於CVE-2020-15999,Google已於10月20日推出Chrome 86.0.4240.111版修補。詳全文

 

#漏洞揭露

英特爾加密金鑰遭破,旗下處理器被植入惡意微碼可能性大增

資安研究員Maxim Goryachy,以及資安顧問公司Positive Technologies研究員Dmitry Sklyarov與Mark Ermolov等3人,宣布他們已經破解英特爾加密處理器修補程式的金鑰,意味著能解密該公司修補漏洞的微碼(Microcode),漏洞一旦遭到濫用,駭客甚至可以在該品牌的處理器植入自己的微碼。

這些研究人員指出,他們是利用3年前的韌體漏洞Intel SA-00086,來存取Red Unlock除錯模式,進而汲取微碼定序唯讀記憶體(MSROM)與執行反向工程。

不過,英特爾獲報後表示,依循他們生產指南設備的OEM業者,已在製造過程防堵攻擊所需的解鎖管道。研究人員也提及上述攻擊存在限制,那就是:電腦一旦重開機,攻擊者所部署的微碼也會隨之失效。詳全文

 

#漏洞攻擊

甲骨文WebLogic遠端程式碼執行漏洞遭駭客鎖定

企業軟體大廠甲骨文於10月底修補超過400個漏洞,但美國系統網路安全研究院(SANS Institute)指出,已有不明人士鎖定WebLogic的漏洞CVE-2020-14882展開掃描行動,他們呼籲用戶要儘速修補。

此漏洞存在於WebLogic的伺服器主控臺元件,CVSS風險評分3.1版為9.8分,受影響的WebLogic版本橫跨10.3.6.0.0至14.1.1.0.0。研究人員指出,這些漏洞掃描流量分別出現於中國聯通、美國Linode、摩爾多瓦MoviCloud,以及香港Datacamp等電信公司網路。詳全文

 

#漏洞揭露

HPE修補容器平臺及儲存軟體高風險漏洞

10月21日與23日,HPE發出2則安全公告,分別針對容器軟體Ezmeral、BlueData EPIC,以及儲存裝置3PAR StoreServ,修補CVSS風險評分近10分的重大漏洞。

該公司指出,Ezmeral出現的漏洞CVE-2020-7196,與處理Keberos密碼的方式不安全有關,使得密碼可被駭客攔截。而這個漏洞也存在於同樣以容器為基礎的大數據運算平臺BlueData EPIC。

針對儲存裝置上的漏洞CVE-2020-7197,則與3PAR StoreServ的管理主控臺(SSMC)有關,可讓遠端駭客繞過身分驗證流程。詳全文

 

#殭屍網路  #網站挾持  #漏洞攻擊

23萬網站被駭客挾持組成Botnet,多與站方未修補已知RCE漏洞有關

網頁應用程式防火牆業者Imperva,揭露自2019年11月出現的殭屍網路KashmirBlack,鎖定WordPress、Joomla,Drupal等9款知名網站內容管理系統(CMS)下手,攻擊的範圍遍及30個國家,估計至少有23萬個網站伺服器受害。

這些網站的共通點,是採用的內容管理系統沒有更新,存在已知漏洞,駭客藉此進一步控制網站伺服器。這些被濫用的漏洞有那些特性?多數允許攻擊者遠端執行任意程式碼(RCE),或者是上傳任意檔案。詳全文

圖片來源:Imperva

 

#物聯網資安  #智慧農業 

逾百個智慧灌溉系統未使用密碼保護

以色列資安業者Security Joes揭露,他們發現有上百個採用Motorola控制軟體ICC Pro的智慧灌溉系統,管理者帳號採用了預設的空白密碼,而使得這些系統曝露於網際網路,可被任何人竄改設定。然而,在該公司通報各國CERT的一個月後,還有78個系統仍然沒有設置密碼保護。

這些灌溉系統分布在何處?Security Joes表示,大多數位於以色列,其餘分散於全球各地。詳全文

圖片來源:ZDNet

 

#網路攻擊

臺灣虎航臉書疑遭駭客入侵而關閉

企業的臉書粉絲頁突然消失,有可能是遭到駭客攻擊。10月29日,蘋果日報自由時報聯合報等媒體報導,臺灣虎航的臉書粉絲頁遭到移除,他們向虎航確認,該公司發言人許致遠坦承確有此事,並表示是因為遭到駭客入侵所致。後來他們也於30日在網站上發出聲明,提醒用戶要防範可能因粉絲頁被駭所衍生的詐騙事件。目前該公司的粉絲頁已恢復運作。詳全文

 

#數位身分證

臺灣人權促進會針對數位身分證提出集體訴訟,資安疑慮、法源不足是民間團體質疑焦點

我國政府力推數位身分證,計畫於明年7月全面換發,民間團體屢屢對於政策與法源隱含的資安問題,呼籲內政部應修法或制訂專法來因應未果,臺灣人權促進會憤而召集民眾集體提出訴訟,並於11月2日首度於臺北高等行政法院開庭。然而,開庭後他們才從法官得知,內政部拒絕公開相關資料的原因,竟是政策尚在滾動式修正,內政部的代表一問三不知。

原告之一的臺灣人權促進會秘書長施逸翔引用中央研究院《數位時代下的國民身分證與身分識別政策白皮建議書》指出,內政部的政策不只存在資安風險,亦欠缺法律授權。再者,數位身分證的跨機關業務資料共享,沒有問責的規畫。詳全文

 

#國家資安政策

行政院擬在數位發展部設三級機關資安署

為了落實蔡英文總統的政見,近日行政院在推動組織改造之際,不僅將新設數位發展部,亦計畫把現在隸屬該單位幕僚機構的資通安全處,以及委外給資策會的技術服務中心,併入數位發展部旗下的資安署。然而,有資安專家對於成立資安署的作法感到質疑,認為此舉是明升暗降,而且可能會影響到日後公部門資安稽核的執行。詳全文

 

#資料外洩

人口普查首日傳出網路填報異常,民眾竟能看到他人個資

行政院主計總處的人口及住宅普查於11月1日開始,同日亦開放民眾自行上網申報。然而根據中央社蘋果日報自由時報等媒體報導,許多民眾反映該網站於上午出現無法存取的情況,有些民眾成功進入網頁後,卻出現陌生人的資料,也因此引發系統可能洩露全民個資的疑慮。

對此,主計總處發出聲明,坦承當日上午10時民眾登入系統後,的確出現資料顯現異常情形,他們獲報後於10時40分關閉系統、搶修,之後在下午3時重新開放。

 

 

更多資安動態

英國GDPR資料外洩事件再度輕判,萬豪酒店罰款僅原五分之一
即時通訊軟體連結預覽功能恐外洩用戶資料
駭客藉由配置錯誤的SonarQube竊取政府與企業的原始碼
Google員工個資外洩,起因是配合的法律事務所被駭


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement