| CVE-2021-30551 | Chrome | 零時差漏洞 | 微軟 | google | 安全漏洞

Google修補已被開採的Chrome漏洞

Google研判某一駭客組織近期同時開採了Windows與Chrome的零時差漏洞,供東歐或中東國家進行目標式攻擊

2021-06-10

| PuzzleMaker | 駭客集團 | 微軟 | google | Chrome | 安全漏洞

卡巴斯基:PuzzleMaker駭客串連Chrome與Windows 10漏洞對全球企業展開攻擊

卡巴斯基推測PuzzleMaker組織利用Google與微軟進行漏洞修補的空窗期,搶先一步掌握漏洞資訊鎖定多家企業發動攻擊

2021-06-09

| 微軟 | Patch Tuesday | 安全漏洞 | 資安 | CVE-2021-33742 | MSHTML | Trident | Microsoft Edge

微軟6月Patch Tuesday修補50個安全漏洞,有6個已被開採

已被開採的重大等級漏洞CVE-2021-33742藏匿在IE 11的排版引擎MSHTML, 雖然IE 11明年6月退役,但MSHTML仍會用於Edge瀏覽器的IE模式

2021-06-09

| CVE-2021-21985 | 資安 | 安全漏洞 | VMware | vCenter

VMware 5月底修補的軟體重大漏洞疑似發生開採行為

美國資訊安全暨基礎架構安全管理署(CISA)呼籲VMware vCenter Server以及VMware Cloud Foundation用戶儘速升級到最新版本軟體

2021-06-08

| 資安 | 安全漏洞 | SonicWall NSM | SonicWall網路安全管理員 | NSM 2.2.1

SonicWall修補網管軟體指令執行漏洞

SonicWall發布網路安全管理員NSM 2.2.1版,以修補編號CVE-2021-20026的漏洞,該漏洞影響本地部署版NSM,SaaS版不受影響

2021-06-01

| Rowhammer | DRAM記憶體 | 安全漏洞 | google | Half-Double

Google揭露新型態的Rowhammer記憶體漏洞技術:Half-Double可影響更遠的位元

過去大家對Rowhammer漏洞認知是,透過重覆造訪記憶體的某一列時,就能讓它的隔壁列(兩列)造成位元翻轉現象,但Google發現這項攻擊的影響範圍其實更大

2021-05-31

| FortiOS | Fortinet | FortiGates | APT | 資安 | 安全漏洞

FBI警告APT組織廣泛開採各類已知漏洞,廠商給修補但使用者無作為,等於坐等被入侵

近期再度發生地方政府沒修補IT產品已知安全漏洞,而被國家級駭客組織滲透竊資的攻擊事件,之前已對此示警的FBI,再度提醒各組織務必確認內部系統是否含有已知漏洞,有的話盡快更新至廠商提供的修補版本

2021-05-28

| PDF規格 | 安全漏洞 | 資安 | Ruhr-Universität Bochum | 認證簽章 | Certification Signatures

研究人員揭露PDF規格的兩個安全漏洞,將允許駭客偷偷竄改已認證文件內容

PDF規格定義了兩種型態的數位簽章,研究人員發現其中的認證簽章(Certification Signatures)有安全漏洞,能夠讓第三方變更已認證文件中的內容呈現,同時保留認證簽章的有效性,對此Adobe、Foxit與LibreOffice已完成修補

2021-05-27

| 比利時 | Exchange Server | 安全漏洞 | 資安 | 國安

比利時內政部網路也因Exchange Server漏洞遭駭

當比利時內政部試圖修補Exchange漏洞之際,除了發現因此被植入後門程式,官方還發現另外一起更嚴重的國安威脅

2021-05-27

| 安全漏洞 | 資安 | Chrome 91 | TLS | 10080傳輸埠

Chrome 91來了:可以凍結分頁群組,封鎖TLS 1.0/1.1與10080傳輸埠

Chrome 91正式禁用SSLVersionMin政策以及10080傳輸埠,管理員必須將伺服器全面升級到TLS 1.2,關閉10080傳輸埠則是為了緩解NAT Slipstreaming 2.0攻擊

2021-05-26

| 藍牙 | 安全漏洞 | Core | Mesh Profile | 藍牙技術聯盟 | Bluetooth SIG

藍牙的核心與Mesh規格含有7個安全漏洞,允許駭客冒充合法裝置

受到漏洞影響的業者中,Google預計藉由下一次Android安全更新完成修補,Microchip已發布修補計畫,其他業者截至5月25日中午前,尚未提供明確修補時程

2021-05-25

| CVE-2021-31166 | 安全漏洞 | HTTP協定堆疊 | 遠端程式攻擊 | Windows 10

鎖定Windows 10 HTTP協定漏洞的概念性驗證攻擊漏洞現身

微軟於今年5月修補的CVE-2021-31166,肇因於Windows在處理內含HTTP請求之網路封包的物件時,無法妥善追蹤指標,最嚴重的濫用可導致蠕蟲式的遠端程式攻擊

2021-05-18