| 資安 | 藍牙 | 安全漏洞 | BrakTooth | PoC | 概念性驗證攻擊程式

藍牙漏洞BrakTooth的概念性驗證攻擊程式現身

今年8月底公開BrakTooth漏洞細節的研究人員,在本周(11/1)進一步將概念性驗證攻擊程式發布於GitHub平臺

2021-11-05

| ProxyShell漏洞 | Exchange Server | 勒索軟體 | Babuk | 資安 | 安全漏洞

駭客再開採Exchange Server ProxyShell漏洞以散布勒索軟體

思科在今年10月中發現,有駭客組織針對尚未修補ProxyShell漏洞的Exchange伺服器,發動勒索軟體攻擊

2021-11-04

| 美國網路安全暨基礎架構管理署 | CISA | 約束性作業指引 | BOD | 美國聯邦政府 | 安全漏洞 | 漏洞管理 | 漏洞修補

CISA要求美聯邦政府機關限時修補290項高風險軟硬體漏洞

美國網路安全暨基礎架構管理署(CISA)彙整了一批已被開採的高風險漏洞資料庫,要求聯邦政府各部會限期修補完成,並定期檢討更新內部漏洞管理程序

2021-11-04

| 資安 | 安全漏洞 | CVE-2021-22205 | GitLab

網路上還有3萬臺GitLab伺服器尚未修補4月公開的重大漏洞

漏洞風險等級為CVSSv3 10.0的CVE-2021-22205,同時出現在GitLab Community Edition(CE)與GitLab Enterprise Edition(EE)版本中,影響自11.9以來的所有版本

2021-11-03

| 統一碼 | Unicode | 安全漏洞 | CVE-2021-42574 | Trojan Source | 木馬源攻擊 | 資安

研究揭露新的木馬源攻擊,可於開源程式碼中注入不可見的安全漏洞

兩名劍橋大學研究人員發現藏匿在Unicode中的安全漏洞CVE-2021-42574,影響所有支援Unicode的程式語言,該漏洞將允許駭客於開源碼中、注入人類無法察覺的安全漏洞

2021-11-02

| Windows | 安全漏洞 | 資安 | CVE-2021-34484

Windows LPE漏洞修補不全,影響所有版本

向微軟通報本地權限升級(LPE)漏洞CVE-2021-34484的研究人員指出,8月釋出的官方修補只解決了問題表面,攻擊者仍可在已修補的Windows系統中擴大權限,執行管理員指令

2021-11-02

| 英特爾 | 機器程式開發 | AI | 程式碼缺陷 | 除錯 | 安全漏洞 | 資安

英特爾開源可偵測程式碼臭蟲的AI工具ControlFlag

英特爾開源程式碼分析工具ControlFlag,運用自我監督機器學習技術,能夠準確偵測程式碼中存在的缺陷,加快程式開發除錯工作

2021-10-22

| 微軟 | Patch Tuesday | 安全漏洞 | 修補 | 安全更新

微軟10月Patch Tuesday修補74個安全漏洞,包含一個已被開採的零時差漏洞

CVE-2021-40449漏洞存在於Win32k核心驅動程式,成功的開採將允許駭客讀取及寫入核心記憶體。卡巴斯基發現開採該漏洞的攻擊程式已衍生出許多變種,被駭客用來發動間諜行動

2021-10-13

| 白帽駭客 | 漏洞通報 | 電腦犯罪 | 修法 | 安全漏洞 | 漏洞揭露 | Bug Bounty

安全研究組織倡議修法保護白帽駭客

代表22國網路安全研究人員的法國非營利組織CyAN和零時差立法專案(Zero Day Legislative Project)倡議修改過時的電腦犯罪法令,讓通報安全漏洞資訊給廠商的研究人員,免於不合理的訴訟威脅

2021-10-13

| 蘋果 | 安全漏洞 | 資安 | CVE-2021-30883 | 安全更新

蘋果釋出iOS 15.0.2,修補已被開採的安全漏洞

iOS/iPadOS 15.0.2修補的安全漏洞CVE-2021-30883,可能會允許應用程式以核心權限執行任意程式,蘋果坦承該漏洞已被駭客用來發動攻擊

2021-10-12

| Apache HTTP Server | CVE-2021-41773 | 資安 | 修補 | 安全漏洞

Apache修補已被開採的資料外洩漏洞

9月中旬釋出的Apache HTTP Server 2.4.49含有已遭開採的資料外洩漏洞,Apache軟體基金會呼籲該版本用戶,儘速升級至10月5日發布的2.4.50版

2021-10-06

| Coinbase | 簡訊雙因素認證 | 簡訊雙因素驗證 | 2FA | 安全漏洞 | 資安

Coinbase的簡訊雙因素認證有漏洞,遭駭客移轉6千名用戶資產

駭客先透過網釣攻擊騙取Coinbase用戶帳密資料,再開採Coinbase以簡訊方式提供雙因素認證的安全漏洞,成功盜取至少6千名Coinbase用戶的加密貨幣資產

2021-10-04