資安周報

資安周報, IT報告

資安一周[0426-0502]:上百萬臺路由器爆發RCE漏洞,一行指令就可繞過驗證機制;資安專家發現Volkswagen及Audi兩款車可以遠端駭入的漏洞

資安公司vpnMentor日前針對大量GPON(Gigabit Passive Optical Network)家用路由器進行分析,發現存在兩個嚴重漏洞,都可讓相關裝置淪為被駭客操控的傀儡網路;資安公司Computest研究人員發現,兩款德國車Volkswagen及Audi有多處漏洞,駭客可以透過漏洞,遠端操控麥克風、揚聲器以及GPS導航系統。

2018-05-02

資安周報, 臺灣資安大會, 機器人遭駭, 資安大調查

資安一週(0310~0316):第一屆臺灣資安館正式開幕,38家國產業者大秀資安軟實力

臺灣資安館展區,共集結了38家廠商,涵蓋人工智慧、威脅情資、大數據、數位金融、滲透攻防、威脅防護、機密保護、資安服務8個面向,展現國內資安產業的自主研發實力,同時展現我國資安產業的蓬勃發展

2018-03-20

IT報告, 資安周報, 資安法, 行政檢查

【資安周報第78期】資安法草案對行政檢查定義不清,引發諸多疑慮

《資安管理法草案》雖然大幅參考個資法架構,卻因行政檢查應有的程序和作法不足,引發立委審查法案時的質疑

2017-11-09

ADFS | 微軟 | 新聞 | 漏洞 | 資安

微軟ADFS含有可繞過多因素認證的安全漏洞

這項ADFS漏洞可使取得A員工帳號、密碼及第二認證因素的駭客,當以B員工的身份,輸入帳號、密碼及A員工的第二認證因素就能登入系統,前提是A與B在同一個AD組織中。

2018-08-16

Firefox | Web Security | 外掛程式 | 新聞 | 資安

Mozilla曾推薦的Firefox外掛Web Security遭懷疑會偷偷追蹤用戶

有網友首先質疑Web Security為何需要使用者授權與其他程式交換訊息,繼之其他人發現Web Security偷偷紀錄Firefox造訪的所有網頁,並傳送到特定IP位址,且以HTTP傳送。

2018-08-16

政府資料存取 | 新聞 | 澳洲 | 資安

澳洲政府以犯罪調查、反恐為由擬要求祕密存取國內外企業資訊

澳洲政府提出《2018年協助與存取法案》修正草案,希望提高該國執法及安全單位對本國及國外企業存取資訊的權力,以利案件調查蒐證需要,不僅可以公開存取資料,也有祕密存取資料的權力。

2018-08-16

MacOS High Sierra | 新聞 | 漏洞 | 資安

利用macOS High Sierra漏洞以虛擬點擊就能繞過安全機制

研究人員發現結合漏洞,駭客可以虛擬點擊方式繞過合成點擊的安全機制,可執行不受信賴的軟體,而不需要使用者點滑鼠。研究人員曾向蘋果通報這個漏洞並獲得修補,但現在發現該漏洞再次出現。

2018-08-16

Home Router | Iot Botnet | Palo Alto Networks | 新聞 | 資安

新型Mirai及Gafgyt惡意軟體現身,將鎖定家用路由器

資安業者Palo Alto Networks表示,近期出現以Mirai及Gafgyt惡意軟體衍生的殭屍網路活動,將利用IoT設備來針對特定網站發動DDoS攻擊。他們提醒使用者路由器密碼設定不要太容易,並注意設備韌體老舊的問題。

2018-08-15

微軟 | 新聞 | 零時差漏洞 | 資安

微軟修補兩個已被駭客開採的零時差漏洞

兩項零時差漏洞中,CVE-2018-8373影響包括IE 9、IE 10與IE 11,可讓駭客取得使用者權限執行任意程式,而CVE-2018-8414則能讓駭客透過電子郵件附加檔案或嵌入惡意檔案至網站,取得使用者權限並執行任意程式。

2018-08-15

HTTP | VPN | 新聞 | 資安

安全研究人員展示如何入侵VPN網路的HTTP流量

研究人員Ahamed Nafeez在黑帽及Def Con大會中展示如何利用VOracle攻擊,入侵基於OpenVPN的VPN服務,取得VPN服務的Session ID,能夠接管使用者的帳號,有機會變更使用者帳號的密碼。

2018-08-15

google | L1TF | 新聞 | 英特爾 | Cloud | 資安

Google剖析L1TF漏洞攻擊,強調已完成雲端漏洞防堵對策

L1TF漏洞有機會造成核心L1快取中的私密資料洩漏,Google已經在其雲端實行主機隔離措施,確保單一核心不被其他的虛擬機器共享。

2018-08-15

Instagram | 帳號挾持 | 新聞 | 資安

小心! 已有數百名IG用戶被駭,駭客竄改電話號碼及Email挾持帳號

過去一週陸續傳出IG帳號遭到挾持,即使啟用雙因素驗證仍被挾持,駭客甚至變更帳號的電話號碼、電子郵件,其中不乏名人受害。

2018-08-15

新聞 | 漏洞 | 處理器 | 資安

研究人員再爆第三個處理器推測執行旁路攻擊手法L1TF

研究人員揭露新的處理器推測執行旁路攻擊手法L1TF,英特爾進一步研究再發現兩個與L1TF有關的漏洞,開採漏洞可能使得駭客取得L1快取的資訊。

2018-08-15

新聞 | 資安一周 | 資安

資安一周第4期:主流mPOS與25款Android手機韌體都有安全漏洞

0808-0815一定要看的資安新聞  

2018-08-15

AWS | GoDaddy | S3 | 新聞 | 資安

GoDaddy的配置資訊在Amazon S3上全都露!? 竟是AWS業務闖的禍!

資安業者在Amazon S3上發現一個公開存取的儲存貯體,內含GoDaddy的相關資料,包括代管的2.4萬個系統名稱、OS、任務等資訊,Amazon證實該儲存貯體為內部一名業務所建立,以向客戶展示AWS的價格策略。

2018-08-14

Firefox | TLS 1.3 | 新聞 | 資安

Firefox正式支援TLS 1.3

IETF上周五釋出RFC8446,Firefox隨即在本周一宣佈Firefox已支援TLS 1.3,Firefox 61版支援草案28版,10月釋出Firefox將會加入正式版支援。

2018-08-14

ATM | FBI | 新聞 | 詐領 | 資安

FBI警告銀行近日歹徒將發動ATM無上限詐領攻擊

FBI對美國銀行發出警告,駭客近日可能針對銀行ATM發動詐領攻擊,先以惡意程式植入銀行網路及系統,竊取相關資訊後,取消ATM提款金額上限,再由歹徒持假造的提款卡至各地ATM詐領。

2018-08-14

DEF CON | 新聞 | 機器學習 | 程式作者 | 資安

【DEF CON 18】:靠機器學習就能準確辨識程式出自何人之手

研究者先利用GitHub公開程式碼建立抽象語法樹,以辨識程式作者的風格,100名作者中可辨識96名作者,即使增加至600名作者,成功辨識率也有83%。

2018-08-13