新聞 Apache Log4Shell, Log4j, 安全漏洞, 資安, CVE-2021-44228

Apache Log4j驚爆近年最嚴重漏洞,殃及蘋果、微軟、推特重要服務,連美國國安局都受影響

針對影響開源日誌資料庫Log4j的安全漏洞CVE-2021-44228,Apache基金會建議企業立即升級到2.15.0版本,微軟證實這項漏洞影響Minecraft Java Edition,呼籲用戶更新軟體

2021-12-13

新聞 Frontier Software, 南澳洲政府, 資料外洩, 勒索軟體, conti, 資安, 網路攻擊

薪資軟體供應商遭駭,南澳洲至少3.8萬名公務員資料外洩

南澳洲政府坦承因薪資系統商Frontier Software被駭導致員工資料外洩,根據BleepingCompute取得的資訊,對Frontier Software下手的是Conti勒索軟體集團

2021-12-13

新聞 資安日報, 勒索軟體, WordPress, FeedBurner, Rust, BlackCat, QBot

【資安日報】2021年12月13日

上週甫被修補的日誌框架系統Apache Log4j的重大漏洞「Log4Shell」(CVE-2021-44228),傳出已有攻擊事故;汽車大廠Volvo疑似遭勒索軟體攻擊也引起關注

2021-12-13

新聞 CloudFlare, JavaScript, 腳本, CSP

Cloudflare正式推出Page Shield,可防禦惡意腳本攻擊提升網頁安全

Page Shield已經正式向所有用戶開放,其能夠掃描瀏覽器上執行的應用程式腳本,在發現惡意行為時發出警示

2021-12-13

新聞 AWS, 故障, 服務異常

AWS公布上周大規模故障原因:自動化擴充容量造成網路設備過載

針對美東服務區域在12月7日發生長達7小時的故障,AWS發現問題出在一個自動化的容量擴充程序導致網路設備過載

2021-12-13

新聞 資安警訊, 漏洞, 修補, 更新, Apache, Log4j

【資安警訊】 Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動,需儘速採取緩解措施

漏洞概要

漏洞編號:CVE-2021-44228
風險等級:CVSS 3.0評分10分(最嚴重10分) 
影響產品:Apache Log4j 2.0-beta9至2.14.1
解決方法:1. 安裝Apache推出的Log4j 2.15版 2. 使用較新版本的Java SDK(JDK),限制JNDI漏洞利用
​攻擊利用:已知攻擊手法與攻擊事件

2021-12-13

新聞 微軟, VS Code, Unicode

VS Code能突出顯示不可見Unicode字元,助用戶防禦Unicode欺騙攻擊

VS Code預設突出顯示,不常見且不可見Unicode字元,還有易混淆的字元,來減少開發者受Unicode欺騙攻擊的可能性

2021-12-14

新聞 Apache基金會, Log4j, Log4Shell, 安全漏洞, CVE-2021-44228

Apache Log4j漏洞開採活動早在官方公布9天前便開始,現已大舉展開

Cloudflare指出,Log4j日誌框架漏洞CVE-2021-44228的開採活動跡象,最早可推到12月1日,比漏洞公開揭露還早了9天,而Log4j的2.15.0版修補的推出約是在12月6日。

2021-12-14

新聞 Windows, 驅動程式, Dell, CVE-2021-21551, BYOVD, Bring Your Own Vulnerable Driver

Dell今年5月針對陳年漏洞發布的新版驅動程式,被質疑修補不全

安全廠商Rapid 7認為Dell今年5月發布的驅動程式dbutildrv2.sys,無法完全解決CVE-2021-21551漏洞,惡意程式仍然可能突破微軟的防護機制,在Windows核心執行任意程式碼

2021-12-14

新聞 AirTag, Android, Tracker Detect, 蘋果

蘋果發表Tracker Detect程式以避免Android用戶遭到AirTag追蹤

Tracker Detect程式可偵測到Android用戶身邊不屬於自己的AirTag或其它追蹤裝置,要求它發出聲音,檢視AirTag的序號與所有人資訊

2021-12-14

新聞 資安日報, 勒索軟體, 程式碼攻擊, Unicode欺騙, Python, BYOVD

【資安日報】2021年12月14日

Apache Log4j重大漏洞Log4Shell被用於攻擊行動的情形,其實早在2個星期前就跡象;而物流業者漢宏國際物流(Hellmann Worldwide Logistics)近日遭到網路攻擊,也值得留意後續發展

2021-12-14

新聞 iFixit, Surface, 維修, 微軟, 電子垃圾, 維修權

iFixit與微軟合作,於iFixit站上銷售Surface官方維修工具

微軟委託iFixit生產與銷售3款Surface維修工具,提供給iFixit Pro維修人員、微軟授權的服務供應商、微軟體驗中心以及商業客戶

2021-12-14

新聞 Teams, Android, 緊急電話, 臭蟲

研究人員找出Teams造成Android手機打不出緊急電話的原因

Esper資深技術編輯Mishaal Rahman等人認為,根本原因出在Android 10導入的PhoneAccount機制,一旦遇到2021年10月底版本的Teams App未登入的情況下,便會導致Android緊急電話服務異常

2021-12-14

新聞 Chrome, 零時差漏洞, CVE-2021-4102

Google緊急修補已被用來攻擊的Chrome漏洞

12月13日釋出的Chrome 96.0.4664.110,修補一項已被開採的V8 JavaScript引擎高風險漏洞

2021-12-14

新聞 MGM飯店集團, VR裝置, 招募, 職前訓練

MGM飯店讓面試者以VR裝置預覽新工作

明年起MGM飯店集團(MGM Resorts)將採用VR裝置讓面試者體驗工作內容和進行職前訓練,以降低新進人員離職率

2021-12-14

新聞 紅帽, RHEL, 映像檔, Image Builder, 混合雲, 安全更新

紅帽推出映像檔自動建置服務Image Builder

Image Builder可方便地建置部署至混合雲環境的映像檔,在安裝作業系統之後,還能藉由服務持續獲得安全更新

2021-12-15

新聞 Apache, Lucene, ElasticSearch, 搜尋引擎函式庫, Apache Lucene 9.0

開源全文檢索、搜尋函式庫Apache Lucene 9.0效能大幅提升

開發團隊對Apache Lucene 9.0的效能進行了大量最佳化,多個搜尋演算法的速度都獲得數倍提升

2021-12-15

新聞 政治大學金融科技研究中心, 金融科技, 身分驗證, 電子簽章, 金融科技發展路徑圖, 資料共享, 金管會, 開放銀行

政大明年4月發布數位金融服務管理規範研究新進度,將提出金融通用身分驗證發展建議

金管會委外政大研究單一數位金融服務管理規範的可行性,已聚焦多元數位身分驗證,進行金融場景、技術面與法規面的盤點與研究,政大計畫明年4月發布研究期中成果

2021-12-14