資安日報

【資安日報】9月6日,瀏覽器的開發工具元件成駭客竊取資料管道,研究人員揭露惡意軟體Chaes新一波攻擊行動

資安業者Morphisec揭露第4代惡意程式Chaes的攻擊行動,當中最特別的部分,就是駭客濫用了Chrome的開發工具(DevTools)來竊取機密資料

2023-09-06

個資 | 隱私 | 汽車 | Mozilla

Mozilla:25款汽車品牌車主的隱私與資料安全堪慮

Mozilla檢驗了全球25款汽車品牌的隱私政策,發現這些汽車品牌透過各式聯網裝置蒐集到大量車主個資,但提供給車主的隱私保護機制卻付之闕如

2023-09-06

Atlas VPN Linux | 零時差漏洞 | Atlas VPN

Atlas VPN的零時差漏洞可外洩用戶真實IP

Atlas VPN Linux客戶端1.0.3新版遭外界踢爆含有零時差漏洞,發現漏洞者原本要通報官方但聯繫無果,轉而在Reddit平臺公布漏洞細節與概念性驗證攻擊程式,才獲得Atlas VPN正視並著手修補漏洞

2023-09-06

資安日報

【資安日報】9月5日,瀏覽器的安全設計不良再加上網站漏洞讓惡意擴充程式有機可乘,挖掘用戶機密資料

有研究人員發現,市面上的瀏覽器並未落實最小權限等防護措施,導致擴充套件有機會從網站的原始碼內容當中,取得使用者輸入的資料

2023-09-05

國科會 | LLM | TAIDE | 可信任AI | Llama 2

國產可信任AI對話引擎TAIDE開放測試申請,初期聚焦辦公室4大應用

由國科會號召打造的TAIDE計畫有新進展,這個專為臺灣打造的生成式AI對話引擎,將在9月開放公部門應用測試的申請,10月就會提供測試帳號,初期可幫助執行中英翻譯、自動摘要、寫Email,以及出題目產生文章等任務,後續將持續跟與會單位探討及發想更多應用可能性

2023-09-05

XDR | Threat Detection and Response | AI資安 | EASM | 外部攻擊面管理

結合XDR、攻擊面管理、生成式AI,趨勢資安整合平臺大躍進

經過多年的發展,趨勢科技陸續發展各種資安解決方案,也將這些產品與服務整合為單一平臺,今年中正式擴充攻擊面管理與生成式AI輔助功能

2023-09-04

資安日報

【資安日報】9月4日,Adobe應用程式開發平臺ColdFusion重大漏洞被用於部署挖礦軟體、後門程式

一個半月前被揭露的數個Adobe ColdFusion重大漏洞,近期有研究人員提出警告,相關的攻擊行動仍然持續出現,駭客將此類伺服器拿來挖礦

2023-09-04

GitLab | google | DevOps | CI/CD

Google、GitLab深化合作提升DevOps與軟體供應鏈安全

GitLab和Google雲端整合DevOps和供應鏈安全功能,使專案開發更簡潔、安全,並支援完整的軟體開發生命周期管理

2023-09-04

瀏覽器 | 擴充程式 | 資料外洩 | 安全漏洞 | DOM | 憑證 | 密碼

瀏覽器的安全設計再加上網站漏洞,讓擴充程式可存取使用者密碼等機密資料

研究人員指出坊間主要瀏覽器的粗粒度權限模型(Coarse-Grained Permission Model)違反兩項安全設計準則,再加上網站上的輸入欄位含有安全漏洞,將足以讓駭客藉由瀏覽器擴充程式取得使用者所輸入的機密資料

2023-09-04

資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 間諜程式 | 木馬後門

【資安週報】2023年8月28日到9月1日

本週傳出Juniper在8月中修補的一項漏洞,近期已有針對性攻擊行動出現,在重要攻擊活動與事件上,多家資安業者揭露不少事件均是鎖定臺灣政府與企業的攻擊活動,值得特別留意

2023-09-04

Zero Trust | 零信任戰略 | 國家級網路安全 | 政府零信任架構 | 數位發展部 | 資安院 | 網站韌性 | 雲原生 | FIDO

政府零信任架構推動有成,數位部首度公布內部導入經驗,資安院揭2023年上半最新進展

近年數位發展部積極推動不分內外網的網路架構,零信任架構的身分鑑別,以及建立網站韌性,他們是如何做?在8月底舉行的數位政府高峰會上,該單位資訊處副處長周智禾公開了他們的實務經驗。同時,資安院副院長吳啟文也公布政府零信任架構推動的最新進展,第二階段「設備鑑別」即將有產品方案通過驗證

2023-09-01

資安日報

【資安日報】9月1日,AI程式碼編譯網站Sourcegraph證實遭遇網路攻擊,起因是工程師提交程式碼出錯,導致Token外洩而被奪權

8月31日AI程式碼編譯網站Sourcegraph證實,他們的網站管理員權限遭到濫用,攻擊者拿來存取其系統底層的大型語言模型(LLM),影響該網站運作

2023-09-01

Barracuda | CVE-2023-2868 | UNC4841 | ESG

中國駭客組織鎖定Barracuda郵件閘道漏洞攻擊政府機關、電信業者

資安業者Mandiant再度針對Barracuda郵件安全閘道(ESG)零時差漏洞攻擊公布新的調查結果,指出自駭客自去年10月開始,就進行數次大規模攻擊,其中最值得留意的部分,是Barracuda公布漏洞後發生的2波攻擊行動

2023-09-01

FlyGram | Signal Plus Messenger | Telegram | Signal | BadBazaar

中國駭客利用木馬化的Signal、Telegram應用程式散布間諜軟體BadBazaar

研究人員發現安卓間諜軟體BadBazaar的攻擊行動,中國駭客組織假借提供即時通訊軟體Signal、Telegram的第三方App,於Google及三星的市集上散布惡意程式

2023-08-31

Earth Estries | Zingdoor

駭客組織Earth Estries鎖定臺灣在內的多國政府機關、科技業者,從事網路間諜活動

研究人員揭露今年年初駭客組織Earth Estries發起的網路間諜活動,主要目標是包含臺灣在內的多個政府機關,以及科技業者

2023-08-31