| 海康威視 | Hikvision | 監視器 | CVE-2021-36260 | 安全更新 | 修補 | 資安 | 安全漏洞 | 韌體 | 韌體漏洞

監視攝影機業者Hikvision修補可接管設備的RCE漏洞

編號CVE-2021-36260的安全漏洞存在於眾多版本的Hikvision韌體,波及的設備包括IP攝影機及PTZ攝影機70餘款,以及部分網路監控主機(NVR)

2021-09-30

| 資安 | 漏洞檢測 | Android | Java | Mariana Trench | MT | 開源 | 臉書 | 程式碼分析工具

臉書開源Android、Java App漏洞檢查工具

臉書打造自動化分析工具以加快程式檢查和漏洞偵測,其中最新對外開源的Mariana Trench(MT)可用來分析數千萬行程式碼規模的Android和Java App

2021-09-30

| Portpass | 疫苗護照 | 加拿大 | 資料外洩 | 資安

加拿大疫苗護照Portpass含有資料外洩漏洞

Portpass是由加拿大某家私人企業所開發,並非政府版疫苗護照,這起資安事件發生後,Portpass行動程式已呈現網路錯誤的狀態,官網也被關閉

2021-09-29

| 1Password | Fastmail | Masked Email | 電子郵件位址 | 資安 | 郵件安全防護

1Password推出可產生隨機電子郵件位址的Masked Email服務

同時使用1Password和Fastmail的用戶可使用隨機產生的電子郵件位址訂閱或註冊服務,並轉寄至指定的Fastmail郵件信箱,萬一隨機位址被駭就能直接關閉

2021-09-29

| 蘋果 | 安全漏洞 | 漏洞獎勵 | Bug Bounty | 資安 | 物件追蹤器 | AirTag | XSS攻擊

研究人員公開揭露蘋果Airtag遺失模式的安全漏洞

蘋果針對AirTag設計的遺失模式(Lost Mode)存在資安缺失,可能會被駭客用來欺騙拾金不昧者,在發現蘋果消極面對這項安全通報之後,貢獻者選擇對外公開漏洞資訊

2021-09-29

| Mozilla | 擴充程式 | 程式商店 | Safepal Wallet | 惡意程式 | 資安

Firefox惡意擴充程式Safepal Wallet清空了使用者的加密貨幣錢包

一名受害者指控Mozilla未做好把關,容許偽裝成加密錢包Safepal Wallet的惡意擴充程式在Firefox官方商店上架,導致他的加密錢包被盜轉一空

2021-09-28

| 變形程式碼簽章 | 垃圾軟體 | OpenSUdpater | Windows | 資安 | 惡意程式 | EoC marker

惡意程式使用新的簽章手法躲避Windows檢查

Google發現名為OpenSUdpater的垃圾軟體家族,透過變造簽章讓Window系統誤認為合法程式,還能躲過安全產品的偵測

2021-09-28

| 微軟 | 安全漏洞 | 資安 | Windows Platform Binary Table | WPBT | Windows

Eclypsium發現微軟的WPBT含有漏洞,允許駭客植入Rootkit

基於Windows內建的Windows Platform Binary Table(WPBT)接受已過期或被撤銷的憑證,這讓駭客得以打造惡意驅動程式,來建立或修改既有WPBT表格並指定Windows執行,還能躲過防毒軟體偵測

2021-09-27

| 蘋果 | iOS 15安全漏洞 | 漏洞獎勵 | Bug Bounty | Gamed 0-Day漏洞 | 資安

不滿蘋果漏洞處理態度,研究人員公布iOS 15等4漏洞資訊

研究人員IllusionOfChaos宣稱早在今年上半,便向蘋果通報4項影響作業系統的安全漏洞,但截至上周釋出的iOS 15.0,蘋果只修補了其中1項漏洞,而且並未提及漏洞的揭發是來自IllusionOfChaos的貢獻

2021-09-27

| 蘋果 | 安全漏洞 | 零時差漏洞 | 資安 | iOS 12 | macOS Catalina

蘋果修補舊款裝置的零時差攻擊漏洞

9月23日釋出的iOS 12.5.5以及2021-006 Catalina,分別修補3個以及1個已遭駭客開採的安全漏洞

2021-09-24

| BulletProofLink | 網釣即服務 | 微軟 | 網路釣魚 | 黑色產業 | 網釣攻擊 | 資安 | 駭客

微軟揭露一次可操作30萬個子網域的BulletProofLink網釣即服務

Microsoft 365 Defender威脅情報團隊推測,BulletProofLink的經營者也許是透過危害網站的DNS,來創造規模龐大的網釣網域,藉此發展租賃或訂閱制的套裝服務

2021-09-23

| 資安 | 安全漏洞 | VMware | 安全更新 | vCenter Server | CVE-2021-22005

VMware督促用戶儘速修補重大的vCenter Server漏洞

基於9月21日安全更新修補的CVE-2021-22005,只要能夠透過網路存取vCenter Server的駭客就能開採,被VMware列為高度緊急的重大安全漏洞

2021-09-23