1220-1226一定要看的資安新聞

 

#虛擬化技術 #Windows Sandbox

微軟Windows Sandbox來了! 桌面環境也能建立可拋棄式沙箱

今年8月時,業界傳言,微軟為了防範不安全軟體在桌機上執行,Windows企業版可能加入名為InPrivate Desktop的安全功能,讓管理員啟動可拋棄式沙箱,建立應用程式一次性執行的安全環境,而近日微軟終於揭露該功能,並且宣布推出,名為Windows Sandbox。

微軟並解釋,其底層是運用了微軟的Hypervisor虛擬化技術,並且結合硬體虛擬化技術,達到作業系統核心隔離的目的。特別的是,微軟也針對硬體資源有限的桌面環境特別優化,且內建在Windows 10專業版、企業版,不用另外掛載VHD就可執行。更多內容 圖片來源/微軟

 

#資安趨勢預測 #趨勢科技

年底將至,2019資安預測趨勢科技提出3大警示

圖片來源/擷取自趨勢科技報告

資安公司趨勢科技發布2019年的資安威脅趨勢預測,當中提出三大警示重點:首先是帳戶資料外洩,遭盜用詐騙事件將不斷增加,當中特別提到帳密填充攻擊(Credential Stuffing),也就是一般所謂的撞庫攻擊手法,會利用大量外流的電子郵件地址和密碼,並透過自動化得方式來嘗試入侵;第二點,是網路釣魚攻擊手段將取代漏洞攻擊套件,成為主要攻擊手法,並預期2019年網路釣魚惡意網域,將持續暴增。最後,則是工控環境網路威脅方面,他們預期,管理SCADA系統的HMI,其漏洞將持續成為主要攻擊目標。更多內容

 

#提權漏洞 #華碩 #技嘉

華碩與技嘉的驅動程式遭爆含有特權提升漏洞

圖片來源/擷取自SecuraAuth官方網站

SecureAuth Labs在本月18日,揭露了華碩與技嘉的驅動程式含有多個涉及權限提升(Elevation of Privilege)的安全漏洞,允許不具權限的使用者獲得特權,若成功利用將可於本地端執行任意程式。

該資安業者指出,可用來控制電腦機殼上彩色LED燈效的軟體Asus Aura Sync當中,所使用的GLCKIo與Asusgio驅動程式含有3個安全漏洞;至於技嘉的漏洞,則是存在於主機板及AORUS系列顯示卡出貨的GPCIDrv與GDrv兩款驅動程式。

面對上述安全性弱點,SecureAuth Labs已與華碩、技嘉溝通了幾個月,但至今兩家業者對漏洞的修補仍不完全,SecureAuth Labs則在本周公布相關漏洞資訊。更多內容

 

#RCE漏洞 #IE瀏覽器

微軟緊急修補IE的遠端攻擊漏洞,Google證實有駭客已用於目標式攻擊

圖片來源/擷取自微軟官方網站

微軟在本月19日,緊急修補了影響IE瀏覽器9、10、11版的遠端程式碼執行(Remote code execution)漏洞,此一編號為CVE-2018-8653的漏洞,將允許駭客掌控系統權限,自遠端執行任意程式,而且已被駭客開採。而且,駭客只需透過電子郵件或其他方式,誘導IE用戶造訪可利用該漏洞的網站,便能執行攻擊。此一漏洞是由Google所提報,同時該公司也發現,已有駭客透過該漏洞執行目標式攻擊。更多內容

 

#網路釣魚 #中國網軍

中國駭客入侵歐盟通訊網路,竊取歐盟成員之間的外交電報

美國網路安全業者Area 1 Security警告,中國駭客已成功入侵歐盟28個會員國之間的通訊網路COREU,竊取了眾多的外交電報。資安公司還發布了報告來說明分析過程。Area 1 Security指出,這起行動是由中國政府所主導,由中國人民解放軍的戰略支援部隊負責執行,他們已找到中國駭客行動的特徵,顯示除了COREU之外,針對聯合國及美國勞工聯合會(AFL-CIO)的攻擊行動,也是同一批駭客的傑作。更多內容

 

#零時差漏洞 #Windows

漏洞研究員SandboxEscaper再公開Windows零時差漏洞,還附上PoC

代號SandboxEscaper的獨立安全研究人員,公布了Windows的零時差漏洞,並直接在網路上公開概念性驗證攻擊程式。該漏洞位於Windows的MsiAdvertiseProductA函式,欠缺適當的驗證,將允許駭客強制安裝應用程序,以系統權限複製任何檔案,並讀取檔案內容。更多內容

 

#資訊科技法案 #印度

印度政府將允許10個機構監控境內的任何電腦

印度內政部網路及資訊安全部門上周發布一項命令,將允許10個執法與情報機構,攔截、監控及解密境內任何電腦所儲存或接收的資訊。此一命令是源自於該國「資訊科技法案」(Information Technology Act)第69節,當中闡明:當印度的主權、國防、國家安全、外交、公共秩序,受到危害,或為了避免受到危害時,得以要求任何機構監控運算裝置。

而且,服務供應商或電腦所有人都必須遵循此一命令,提供上述單位所要求的資訊,否則就必須支付罰款或面臨最高7年的有期徒刑。更多內容

 

#量子電腦危機

量子電腦的迅速發展,資安攻防思維將出現重大變革

量子電腦的發展應用,讓人們擁有許多想像與期待,同時也衍生了資安的威脅。趨勢科技全球核心技術部資深協理GasGas,在最近臺灣駭客協會所舉辦的活動中,彙整量子運算可能帶來的突破。他認為,量子電腦將會在未來幾年裡,帶來資安攻防的重大變革,我們不得不關注接下來的發展趨勢。

舉例來說,量子運算現在的應用面向,其實包含的範圍相當多,不過最主要的部分,還是與破解加密演算法有關的整數分解與搜尋加速,以及量子機器學習等,而在量子運算當中,用來執行整數分解的Shor演算法,若用在分析基於整數分解的RSA演算法,所需解開的時間僅在數秒之間。更多內容

 

#點擊劫持漏洞 #臉書

手機版臉書遭人發現存在點擊劫持漏洞,但臉書一度拒絕修補

安全研究人員揭露行動版臉書App上,存在點擊劫持(Click hijacking)漏洞,用戶可能不慎上鈎而成為散布垃圾訊息的幫兇。臉書一度認為這是mobile_iframe參數提供的功能,並非漏洞,但研究人員指出,就算這是一項功能,也是實作非常差的功能,因為攻擊者可輕易用它來操弄臉書用戶,在其動態牆上分享非出於自身意願的內容,造成更重大損害,例如讓高知名度的人,在臉書上散佈有惡意程式的文件和釣魚網站。而在國外媒體報導之後,臉書已經在App增加點擊劫持的偵測,並要求用戶確認,是否要分享該連結。更多內容

 

更多資安動態

FBI大執法,一舉掃蕩15個DDoS租賃服務網站
美國司法部起訴兩名涉及入侵45家美國科技公司與政府組織的中國駭客
德國用戶向Amazon請求自己的個資,結果多拿到1,700個別人的Alexa錄音檔
以桌遊模擬國家當局資安攻防!捷克資安專家首度在臺舉行相關演練
蘋果發表政府透明度報告,德國政府上半年請求資料次數世界第一
無人機闖入迫使英國第二大機場Gatwick關閉
NASA驚爆伺服器遭駭客入侵,過去12年員工個資恐遭外流
美報告:軍方導彈系統安全防護不足,漏洞未補,未加密傳輸及多因素驗證
美海軍二款作戰用App爆重大漏洞,一年半前通報卻遭忽視
凍結兩個多月後,Windows 10 1809版終於重新開放!但僅限手動下載
Chrome 72釋出Beta版,增加公開類別域、使用者觸發查詢API
新版Firefox Focus提供更多隱私控制,可啟用Cookie同時避免跨站追蹤
Chrome OS將加入螢幕鎖定無法讀取新USB裝置的安全功能
政府應為雲端服務建立相關規範!雲端安全聯盟促使新加坡當局制訂COIR指南
及早防患於未然,國家資安防護範圍以ISP網路為前線
GCP釋出存取核准、更新存取透明度服務,讓企業對雲端資料有更高的掌控力
兩年前被Twitter輕忽的臭蟲遭到駭客成功利用,洩漏用戶的國碼


Advertisement

更多 iThome相關內容