5/9~5/15一定要看的資安新聞

《資通安全管理法》順利完成立院三讀,預計六月中旬總統正式公布,正式施行日期由行政院另定

延宕許久的《資通安全管理法草案》,也是列為民進黨團的優先法案之一,在5月11日召開的立法院院會中,依照民進黨送進委員會的資通安全法草案版本進行審查,順利完成三讀程序。一般而言,立法院完成三讀的條文會在一個月內送交總統宣讀後就正式實施,根據《資通安全管理法》第23條規定,正式施行日期將由資安主管機關行政院另外訂定公布。

行政院資安處處長簡宏偉則指出,2017年4月27日行政院院會通過行政院版的《資通安全管理法草案》,並於5月進到立法院完成一讀程序,迄今一年的時間可以順利完成三讀程序,也是因為各界對於資安的重要性都有共識,加上,《資通安全管理法》已經是國家發展資安重要的法規基礎,主管機關更可以據此規範攸關民眾權益的關鍵基礎設施業者的資安防護水準,「《資通安全管理法》是臺灣資安發展重要的里程碑。」簡宏偉說道。更多內容

 

臺灣HITCON再度入圍全球駭客攻防大賽DEF CON CTF決賽,8月於美國再戰全球

臺灣HITCON戰隊再度傳出好消息,由DEF CON CTF新的主辦單位OOO(Order-of-the-Overflow)初試啼聲,於5月12~5月13日舉辦的DEF CON CTF預賽中,臺灣HITCON戰隊不負眾望,再度獲得決賽資格。

不過臺灣HITCON戰隊CTF領隊李倫銓表示,這次主辦方OOO預計邀請全球25隊隊伍參加DEF CON CTF在今年8月9日~12日於美國拉斯維加斯舉辦的決賽,扣除之前DEF CON各大種子賽事的冠軍隊伍,是當然的入圍決賽成員外,另外也有另外一隊臺灣隊,是由交大Bamboofox、臺大Balsn、中央大學DoubleSigma以及中科院Kerkeryuan CTF戰隊等四隊聯軍組成的BFS,也極有可能成為臺灣第二隊入圍DEF CON CTF決賽的隊伍,預計一周內會公布名單。更多內容

 

LG旗艦手機遭爆有遠端程式碼執行漏洞,G4、G5及G6全中鏢

資安公司Check Point Research發現了LG所有的主流旗艦智慧型手機,其預設鍵盤皆存在兩個漏洞,允許駭客可以遠端執行程式碼,這些型號包括LG G4、LG G5和LG G6等較新的機型,而LG也在Check Point Research通報後,已於5月安全更新釋出了漏洞修補補丁

Check Point Research在數月前向LG揭漏了這兩個漏洞,這兩個漏洞可以讓駭客在LG行動裝置上以特殊權限遠端執行任意程式碼,以鍵盤記錄程式危害用戶的隱私。第一個漏洞造因於不安全的連線,LG的鍵盤支援各種語言,包括用戶自行定義的語言,而英文則為預設鍵盤。當安裝新語言或是更新現有語言鍵盤時,裝置會向伺服器請求語言檔案,但是裝置與伺服器的連線使用不安全的HTTP協定,因此用戶裝置極有可能受駭客進行中間人攻擊,下載了惡意檔案而非合法的語言檔案。更多內容

 

Google即將要求Android硬體商提供定期安全更新

近期 Google I/O開發者大會的眾多宣佈之中,有一項攸關Android裝置的安全性:Google即將要求Android裝置品牌業者定期為其售出的裝置提供安全更新。

9to5Google和 XDA Developer分別報導,Google Android平台安全部門主管David Kleidermacher在此次開發者大會上一場名為「What's new in Android Security」(下)的專題演說提到,Google透過Project Treble做了底層架構的改善,方便Android品牌商(OEM)們更容易派送安全修補程式。更多內容

 

研究人員發現首隻重開機後依舊可存活的IoT殭屍病毒

資安業者Bitdefender最近發現新版本的Hide and Seek(HNS)殭屍病毒,今年初才現身的HNS原本只是全球首個透過客製化P2P協定通訊的殭屍網路,但新的版本則讓它再多了一個全球第一的封號,成為全球首支在重開機之後還能存活的殭屍病毒。

新版HNS開採了更多的漏洞,以感染更多的IPTV監視器,還能辨識其中兩款監視器以利用預設憑證入侵,此外,它還會掃描附近的遠端登錄(Telnet)服務,企圖展開暴力破解,成功登錄後還能限制23埠的存取能力以避免被其它惡意程式挾持。更多內容

 

Meltdown漏洞未解,Ubuntu社群提案放棄支援i386硬體

Ubuntu社群重要成員Bryan Quigley在ubuntu-devel郵件列表向社群提出了停止支援i386的提案。事實上,這個問題已被討論多次,因為現在多數硬體都已支援x86-64,再加上i386上的Meltdown漏洞並沒有被完全修補,因此Bryan Quigley提案,乾脆趁這次一舉決定放棄支援i386,而社群也討論了對Arm 32位元停止支援的可能性。

Bryan Quigley提到,現在消費者可以買到不支援Amd64(Intel64)的i386硬體已經越來越少,在十年前製造商就不再生產這些規格的設備,而且上游的生產支援也都已經停止了。由於最近Ubuntu 18.04釋出,評估產品、團隊以及支援的意願,支援期限約落在在2021年或是2023年,在那時候這些老舊機器也都是接近20年的機器了,因此社群開始重新省視i386硬體支援的問題。更多內容

 

Google:微軟Edge瀏覽器的ACG安全功能有缺陷

Google Project Zero團隊近期發表一研究報告,指出微軟於Windows 10 Creators Update中替Microsoft Edge所部署的「任意程式碼防護」(Arbitrary Code Guard, ACG)機制並不足以防範高明的駭客突破瀏覽器的沙箱,駭客得以透過攻擊Edge中的JIT伺服器而繞過各種安全機制。

當ACG被應用在Edge的內容程序(Content Process)時,便無法於程序中分配新的可執行記憶體或變更現有的可執行記憶體,讓已取得瀏覽器內容程序某些能力的駭客更難展開程式攻擊。Edge中另有一個「代碼完整性防護」( Code Integrity Guard,CIG)機制,規定所有進入內容程序的DLL檔案都必須通過驗證,以及Windows中用來限制應用程式所執行之程式碼來源的「內容流防衛」(Content Flow Guard,CFG)機制,它們共同保障了Edge的安全性。更多內容

 

RSA資安調查:僅4成7的組織會在第一時間修補安全漏洞

在今年4月於美國舉行的RSA安全會議(RSA Conference)上,主辦單位針對與會的155個資安專家進行了問卷調查,顯示出只有47%的組織會在第一時間修補安全漏洞,另有5.2%說一年只修補一到兩次。

該調查詢問了組織中最不安全的技術,有24.5%認為是雲端架構與應用,23.2%覺得是IoT裝置,還有20%填了行動裝置,另有14.8%認為是網路應用,資料庫及自家資料中心則分別佔了12.9%與4.5%。更多內容

 

傳IBM將禁止全球員工使用可攜式儲存裝置

The Register最近報導,IBM將在未來幾周禁止全球員工使用各種的可攜式儲存裝置,包括USB、SD卡或外接硬碟。

根據報導,IBM在某些區域早就實施了此一政策,但預計在未來幾周將該政策部署至全球據點。原因是這些可攜式裝置可能會遭到濫用或遺失,造成IBM在財務與名譽上的損失,因而決定儘可能減少受到影響的機會,並建議員工使用同步與分享服務來移轉資料。更多內容

 

GDPR當前,傳蘋果開始移除將用戶地點資訊賣給他人的app

GDPR規定實施在即,9to5mac報導,蘋果可能已經動手移除會將用戶地點資訊分享或銷售給第三方單位的app。

報導指出,過去幾天來已有數家app開發商接獲蘋果以電子郵件通知其app有違反蘋果規定的行為而施以「重新評估」的處分,已將app從App Store下架。更多內容


Advertisement

更多 iThome相關內容