資安一周[0527-0602]：知名影音播放器爆漏洞，靠影片字幕就能駭進2億用戶裝置

重點新聞（05月27日-06月02日）

雄獅旅遊員工電腦遭駭，約36萬筆消費者個資外洩

雄獅旅遊於5月23日發布聲明解釋，公司內部員工電腦作業系統遭駭客入侵，造成36萬筆消費者個資外洩，包括姓名、聯絡電話和購買商品資料等。刑事局表示，雄獅旅遊的公司內部系統存在資安漏洞，才遭到駭客入侵，而且這些攻擊來源都是境外IP，大部分來自中國、香港和美國。但刑事局也強調，駭客可能利用Tor（洋蔥網路）或其他匿蹤服務的方式，隱匿真實的IP位址，不排除可能是國內駭客所發動的攻擊。目前，雄獅沒有說明發生損失後的補償措施細節。更多新聞

Google推出新行銷服務，民眾信用卡消費紀錄恐遭追蹤

Google於5月23日宣布，近期會推出鎖定企業行銷推廣的新服務，Google與第三方業者共同合作，透過用戶使用Android手機、YouTube、Google Maps、Gmail等服務，配合網路行銷工具AdWords，以及第三方資料業者提供的外部資料和用戶的信用卡消費紀錄等，確定企業網路行銷投資與店面消費之間的實際關聯，來判斷是否真的為其實體商店帶來有效的收入。由於，Google利用這項服務，來取得用戶的信用卡消費資料，引起外界對個資隱私保護的疑慮。電子隱私資訊中心執行長Marc Rotenberg認為，Google蒐集資料方式越來越侵入，呼籲政府必須要求Google和其他網路公司，公開揭露如何蒐集和利用用戶的資料。更多新聞

知名影音播放器爆漏洞，靠影片字幕就能駭進2億用戶裝置

資安公司Check Point研究團隊在5月23日揭露，駭客利用知名影音播放器VLC、Kodi、Popcorn-Time和strem.io的系統漏洞，可以在字幕中嵌入惡意程式，不需要取得任何管理權限，就能夠輕易地駭入用戶的電腦、智慧電視或行動裝置，來竊取資料或安裝勒索程式，估計影響超過2億個使用者。大多數資安公司將影片字幕視為正常的文字檔，因此，防毒軟體更難偵測到這種惡意入侵手法。目前，這四家公司已在官網發布更新來修補漏洞。更多資料

VMware發布工作站版更新，修補兩項函式庫載入漏洞

VMware於5月18日緊急修補2個產品上的漏洞CVE-2017-4915和CVE-2017-4916。Google Project Zero研究人員Jann Horn發現，Linux版VMware Workstation Pro與Player 12.x有一個不安全的函式庫載入漏洞（CVE-2017-4915），恐允許無授權的使用者利用ALSA音效驅動程式配置檔，來取得主機的Root權限，VMware評為「重要」等級的威脅。另一項威脅較低的「中級」漏洞CVE-2017-4916，恐讓駭客利用vstor2驅動程式中的NULL pointer dereference來發動DoS攻擊。更多資料

推特廣告服務分享機制出包，恐遭駭客冒用他人帳號發送推文和多媒體檔案

資安人員Kedrisec於2月底在HackerOne漏洞獎勵競賽中揭露了一項Twitter廣告服務的分享機制漏洞，恐讓駭客能冒用其他帳號來發文。Twitter廣告服務可以分享其他多媒體檔案，駭客可以竄改分享內容的user_id，改用其他用戶的推特帳號，就可以假借受害者的推特帳號來發文。推特已經在2月28日修補了這項漏洞。Kedrisec也因此獲得了7,560美元（約新臺幣22萬元）的漏洞獎金。更多資料

Samba驚爆7年漏洞，一行程式碼就可以遠端攻擊

開源檔案及列印共享服務Samba於5月24日發布了一個存在7年的漏洞（漏洞編號CVE-2017-7494），攻擊者僅寫入一行程式碼就能遠端執行惡意程式碼攻擊。首先，駭客傳送具寫入權限的共享檔案，利用已知的路徑上傳至Unix或Linux伺服器，再由伺服器來執行惡意程式，就可以鎖定受害電腦發動攻擊，影響範圍為Samba 3.5.0以上版本。

資安公司Rapid7研究人員調查發現，超過10.4萬臺電腦使用了有漏洞的Samba版本，其中有90%沒有可現成的修補程式。另外，近11萬臺使用139連接埠的電腦也受Samba漏洞影響，其中91%使用已經不受更新支援的版本。目前，Samba管理員已發布了完成修補的Samba 4.6.4, 4.5.10及4.4.14更新版本。更多資料

研究人員分析WannaCry勒索信，推測作者可能是華人

資安公司Flashpoint研究人員於5月25日分析發現，勒索蠕蟲WannaCry勒索信除了中文版之外，英文版的文法出現一個明顯的錯誤，以及其他語言的勒索信明顯是用Google翻譯來書寫，認為駭客可能來自中國華南地區、香港、新加坡或臺灣。研究人員指出了3項證據，第一，中文版本出現「禮拜」一詞，這個語法在中國華南地區、香港、臺灣、新加坡較常見。第二，「殺毒軟件」一詞是中國用法。第三，中文版本的勒索信內容比其他版本呈現更多的訊息，而且書寫格式不同。綜合以上三點，研究人員判斷駭客是會說中文的人。更多資料

Avast開發出勒索軟體BTCWare解密工具，可救5種變體加密的檔案

資安公司Avast研究人員Jakub Křoustek於5月24日公布，他們已經成功開發了勒索軟體BTCWare的解密工具，可以解除遭BTC的5種變體加密的檔案。研究人員指出，BTCWare在今年3月開始現身，至今已經發現了5種變體，包括theva、cryptobyte、cryptowin、btcware和onyon。過去BTCWare利用RC4來加密受害者檔案，直到今年5月，BTCWare已更改為使用AES-192來加密。Avast這款解密工具可以解開這兩種不同加密法。更多資料

Chrome出現WebRTC串流機制臭蟲，恐讓駭客暗中竊聽用戶行為

網路服務公司AOL資安研究人員Ran Bar-Zik近期指出，Google Chrome有一項臭蟲與WebRTC協定有關，原先Chrome在進行錄音、錄影時候，瀏覽器的工具列會顯示紅色圈圈的圖示，但在跳出式網頁中不會顯示工具列，也就不會顯示這個圖示。資安研究員解釋，駭客可利用惡意網站，要求用戶同意執行WebRTC串流，再誘拐使用戶開啟JavaScript的跳出視窗，就能在不需通知用戶的情況下啟用錄影和錄音，影響Chrome 57.0.2987以前版本。目前，Google回應，這並非Chrome漏洞，而是因Chrome桌面版才有的圖示，未來會增加許可確認來改善此狀況。更多新聞

美參議員提案要美國國土安全部舉辦漏洞獎勵計畫

美國參議員 Maggie Hassan、Rob Portman於5月25日向參議院提出，由於國土安全部（DHS）網路系統與國家安全有很緊密的關聯，為了保護DHS避免受到駭客的攻擊，也鼓勵白帽駭客能夠以合法公開的情況來找漏洞，提出了一項「The Hack DHS Act」法案（又名為S.1281法案），建議邀請白帽駭客協助DHS來發現系統漏洞，並且阻止可能受到外部攻擊者的威脅。更多資料

整理⊙黃泓瑜