駭客利用影片字幕檔,駭進用戶電腦

圖片來源: 

Check Point

重點新聞(05月27日-06月02日)

雄獅旅遊員工電腦遭駭,約36萬筆消費者個資外洩

雄獅旅遊於5月23日發布聲明解釋,公司內部員工電腦作業系統遭駭客入侵,造成36萬筆消費者個資外洩,包括姓名、聯絡電話和購買商品資料等。刑事局表示,雄獅旅遊的公司內部系統存在資安漏洞,才遭到駭客入侵,而且這些攻擊來源都是境外IP,大部分來自中國、香港和美國。但刑事局也強調,駭客可能利用Tor(洋蔥網路)或其他匿蹤服務的方式,隱匿真實的IP位址,不排除可能是國內駭客所發動的攻擊。目前,雄獅沒有說明發生損失後的補償措施細節。更多新聞

Google推出新行銷服務,民眾信用卡消費紀錄恐遭追蹤

Google於5月23日宣布,近期會推出鎖定企業行銷推廣的新服務,Google與第三方業者共同合作,透過用戶使用Android手機、YouTube、Google Maps、Gmail等服務,配合網路行銷工具AdWords,以及第三方資料業者提供的外部資料和用戶的信用卡消費紀錄等,確定企業網路行銷投資與店面消費之間的實際關聯,來判斷是否真的為其實體商店帶來有效的收入。由於,Google利用這項服務,來取得用戶的信用卡消費資料,引起外界對個資隱私保護的疑慮。電子隱私資訊中心執行長Marc Rotenberg認為,Google蒐集資料方式越來越侵入,呼籲政府必須要求Google和其他網路公司,公開揭露如何蒐集和利用用戶的資料。更多新聞

知名影音播放器爆漏洞,靠影片字幕就能駭進2億用戶裝置

資安公司Check Point研究團隊在5月23日揭露,駭客利用知名影音播放器VLC、Kodi、Popcorn-Time和strem.io的系統漏洞,可以在字幕中嵌入惡意程式,不需要取得任何管理權限,就能夠輕易地駭入用戶的電腦、智慧電視或行動裝置,來竊取資料或安裝勒索程式,估計影響超過2億個使用者。大多數資安公司將影片字幕視為正常的文字檔,因此,防毒軟體更難偵測到這種惡意入侵手法。目前,這四家公司已在官網發布更新來修補漏洞。更多資料

VMware發布工作站版更新,修補兩項函式庫載入漏洞

VMware於5月18日緊急修補2個產品上的漏洞CVE-2017-4915和CVE-2017-4916。Google Project Zero研究人員Jann Horn發現,Linux版VMware Workstation Pro與Player 12.x有一個不安全的函式庫載入漏洞(CVE-2017-4915),恐允許無授權的使用者利用ALSA音效驅動程式配置檔,來取得主機的Root權限,VMware評為「重要」等級的威脅。另一項威脅較低的「中級」漏洞CVE-2017-4916,恐讓駭客利用vstor2驅動程式中的NULL pointer dereference來發動DoS攻擊。更多資料

推特廣告服務分享機制出包,恐遭駭客冒用他人帳號發送推文和多媒體檔案

資安人員Kedrisec於2月底在HackerOne漏洞獎勵競賽中揭露了一項Twitter廣告服務的分享機制漏洞,恐讓駭客能冒用其他帳號來發文。Twitter廣告服務可以分享其他多媒體檔案,駭客可以竄改分享內容的user_id,改用其他用戶的推特帳號,就可以假借受害者的推特帳號來發文。推特已經在2月28日修補了這項漏洞。Kedrisec也因此獲得了7,560美元(約新臺幣22萬元)的漏洞獎金。更多資料

Samba驚爆7年漏洞,一行程式碼就可以遠端攻擊

開源檔案及列印共享服務Samba於5月24日發布了一個存在7年的漏洞(漏洞編號CVE-2017-7494),攻擊者僅寫入一行程式碼就能遠端執行惡意程式碼攻擊。首先,駭客傳送具寫入權限的共享檔案,利用已知的路徑上傳至Unix或Linux伺服器,再由伺服器來執行惡意程式,就可以鎖定受害電腦發動攻擊,影響範圍為Samba 3.5.0以上版本。

資安公司Rapid7研究人員調查發現,超過10.4萬臺電腦使用了有漏洞的Samba版本,其中有90%沒有可現成的修補程式。另外,近11萬臺使用139連接埠的電腦也受Samba漏洞影響,其中91%使用已經不受更新支援的版本。目前,Samba管理員已發布了完成修補的Samba 4.6.4, 4.5.10及4.4.14更新版本。更多資料

研究人員分析WannaCry勒索信,推測作者可能是華人

資安公司Flashpoint研究人員於5月25日分析發現,勒索蠕蟲WannaCry勒索信除了中文版之外,英文版的文法出現一個明顯的錯誤,以及其他語言的勒索信明顯是用Google翻譯來書寫,認為駭客可能來自中國華南地區、香港、新加坡或臺灣。研究人員指出了3項證據,第一,中文版本出現「禮拜」一詞,這個語法在中國華南地區、香港、臺灣、新加坡較常見。第二,「殺毒軟件」一詞是中國用法。第三,中文版本的勒索信內容比其他版本呈現更多的訊息,而且書寫格式不同。綜合以上三點,研究人員判斷駭客是會說中文的人。更多資料

Avast開發出勒索軟體BTCWare解密工具,可救5種變體加密的檔案

資安公司Avast研究人員Jakub Křoustek於5月24日公布,他們已經成功開發了勒索軟體BTCWare的解密工具,可以解除遭BTC的5種變體加密的檔案。研究人員指出,BTCWare在今年3月開始現身,至今已經發現了5種變體,包括theva、cryptobyte、cryptowin、btcware和onyon。過去BTCWare利用RC4來加密受害者檔案,直到今年5月,BTCWare已更改為使用AES-192來加密。Avast這款解密工具可以解開這兩種不同加密法。更多資料

Chrome出現WebRTC串流機制臭蟲,恐讓駭客暗中竊聽用戶行為

網路服務公司AOL資安研究人員Ran Bar-Zik近期指出,Google Chrome有一項臭蟲與WebRTC協定有關,原先Chrome在進行錄音、錄影時候,瀏覽器的工具列會顯示紅色圈圈的圖示,但在跳出式網頁中不會顯示工具列,也就不會顯示這個圖示。資安研究員解釋,駭客可利用惡意網站,要求用戶同意執行WebRTC串流,再誘拐使用戶開啟JavaScript的跳出視窗,就能在不需通知用戶的情況下啟用錄影和錄音,影響Chrome 57.0.2987以前版本。目前,Google回應,這並非Chrome漏洞,而是因Chrome桌面版才有的圖示,未來會增加許可確認來改善此狀況。更多新聞

美參議員提案要美國國土安全部舉辦漏洞獎勵計畫

美國參議員 Maggie Hassan、Rob Portman於5月25日向參議院提出,由於國土安全部(DHS)網路系統與國家安全有很緊密的關聯,為了保護DHS避免受到駭客的攻擊,也鼓勵白帽駭客能夠以合法公開的情況來找漏洞,提出了一項「The Hack DHS Act」法案(又名為S.1281法案),建議邀請白帽駭客協助DHS來發現系統漏洞,並且阻止可能受到外部攻擊者的威脅。更多資料

整理⊙黃泓瑜


Advertisement

更多 iThome相關內容