| 資安 | 安全漏洞 | Chrome | 釋放後使用漏洞 | Use After Free | 安全更新

Google緊急修補兩個已被開採的Chrome零時差漏洞

這次Google修補了2個與釋放後使用(Use After Free)有關的漏洞,該類型漏洞名列Mitre調查今年度25個常見漏洞中的第7名,能造成程式當掉,也可用來執行任意程式

2021-10-01

| Apple Pay | 安全漏洞 | Visa | 信用卡 | 行動支付 | 數位支付 | 電子支付 | 資安

研究:Apple Pay含有Visa信用卡可被盜刷的安全漏洞

研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識

2021-10-01

| 海康威視 | Hikvision | 監視器 | CVE-2021-36260 | 安全更新 | 修補 | 資安 | 安全漏洞 | 韌體 | 韌體漏洞

監視攝影機業者Hikvision修補可接管設備的RCE漏洞

編號CVE-2021-36260的安全漏洞存在於眾多版本的Hikvision韌體,波及的設備包括IP攝影機及PTZ攝影機70餘款,以及部分網路監控主機(NVR)

2021-09-30

| 蘋果 | 安全漏洞 | 漏洞獎勵 | Bug Bounty | 資安 | 物件追蹤器 | AirTag | XSS攻擊

研究人員公開揭露蘋果Airtag遺失模式的安全漏洞

蘋果針對AirTag設計的遺失模式(Lost Mode)存在資安缺失,可能會被駭客用來欺騙拾金不昧者,在發現蘋果消極面對這項安全通報之後,貢獻者選擇對外公開漏洞資訊

2021-09-29

| 微軟 | 安全漏洞 | 資安 | Windows Platform Binary Table | WPBT | Windows

Eclypsium發現微軟的WPBT含有漏洞,允許駭客植入Rootkit

基於Windows內建的Windows Platform Binary Table(WPBT)接受已過期或被撤銷的憑證,這讓駭客得以打造惡意驅動程式,來建立或修改既有WPBT表格並指定Windows執行,還能躲過防毒軟體偵測

2021-09-27

| 蘋果 | 安全漏洞 | 零時差漏洞 | 資安 | iOS 12 | macOS Catalina

蘋果修補舊款裝置的零時差攻擊漏洞

9月23日釋出的iOS 12.5.5以及2021-006 Catalina,分別修補3個以及1個已遭駭客開採的安全漏洞

2021-09-24

| 資安 | 安全漏洞 | VMware | 安全更新 | vCenter Server | CVE-2021-22005

VMware督促用戶儘速修補重大的vCenter Server漏洞

基於9月21日安全更新修補的CVE-2021-22005,只要能夠透過網路存取vCenter Server的駭客就能開採,被VMware列為高度緊急的重大安全漏洞

2021-09-23

| 開源專案 | Apache OpenOffice | 資安 | 安全漏洞 | CVE-2021-33035 | dBase | DBF檔案格式

OpenOffice存在可被執行程式的漏洞

這項存在於開源碼專案OpenOffice的安全漏洞,之所以未被LGTM等常見掃瞄工具發現,研究人員推測這是因為LGTM主要檢查Python和JavaScript程式碼,而疏忽了漏洞所在的C++程式碼

2021-09-22

| MacOS | 安全漏洞 | Findert程式 | inetloc檔案 | 惡意檔案

macOS含有一個可用來執行任意程式的安全漏洞

獲得通報的漏洞仲介SSD Secure Disclosure表示,蘋果收到他們通知後選擇私下修補,但卻修補不完整,加上這項安全漏洞已出現概念性驗證程式,恐讓駭客有機可趁

2021-09-22

| CVE-2021-40444 | MSHTML | 微軟 | Office | 資安 | 安全漏洞

研究人員:Windows最新MSHTML漏洞比想像中危險

研究人員認為微軟對尚未修補的漏洞CVE-2021-40444所提出的緩解措施,恐怕無法抵擋網路上已蠢蠢欲動的駭客,而這項漏洞只要用戶端不慎開啟惡意Office文件就會觸發攻擊

2021-09-11

| 微軟 | ACI | Azure | 容器即服務 | CaaS | 安全漏洞 | Azurescape

微軟修補可在Azure上接管他人容器的Azurescape漏洞

存在於Azure容器即服務(CaaS)平臺的安全漏洞,可讓惡意使用者取得整個容器叢集的管理權,以執行惡意程式攻擊其它用戶的容器

2021-09-10

| 資安 | 安全漏洞 | Windows | RCE漏洞 | 微軟Office | 惡意文件 | 微軟 | MSHTML

Windows RCE漏洞已有鎖定Office用戶的攻擊,微軟緊急提供緩解指示

編號CVE-2021-40444的Windows遠端程式碼執行漏洞已經有攻擊活動,駭客可透過傳送惡意Office文件誘使用戶開啟以觸發攻擊,官方修補尚未出爐,使用者對不明來源的文件應提高警覺

2021-09-08