Secure by Design Alert | MOVEit | 零時差漏洞 | CVE-2023-34362 | 美國 | 軟體供應鏈 | SQL注入漏洞 | SQL injection | SQLi | Secure by Design | Security by Design | SSDLC

CISA督促業者在產品出貨前檢查SQL注入漏洞

有鑑於去年駭客利用MOVEit Transfer網頁應用程式的SQL注入漏洞發動大規模攻擊,美國政府發布Secure by Design Alert,呼籲技術製造商在產品出貨前,應審查程式碼是否含有SQL注入漏洞

2024-03-26

資安日報

【資安日報】3月25日,俄羅斯駭客APT29鎖定德國政黨散布惡意程式WineLoader

資安業者Mandiant針對俄羅斯駭客組織APT29最新一波攻擊行動提出警告,指出對方假冒特定政黨從事網路釣魚攻擊

2024-03-25

DRaaS | SnapMirror

結合多種資料保護與減量技術,NetApp雲端災難復原服務上線

去年第三季NetApp預告將推出災難復原即服務,今年3月正式上線,可保護在VMware環境執行的應用系統工作負載

2024-03-25

Windows Server

微軟緊急修補Patch Tuesday導致Windows Server當機的問題

針對3月例行更新提供的KB5035857及KB5035855,導致Windows Server因機器崩潰而造成服務停機問題,微軟緊急釋出例外非安全更新

2024-03-25

dormakaba | 電子鎖 | Saflok | 安全漏洞

超過300萬個dormakaba電子鎖有被解鎖之虞

Dormakaba超過300萬個RFID電子鎖含有安全漏洞,允許駭客利用一對偽造的鑰匙卡解鎖單一飯店所有房間,即使修補工作從去年11月開始進行,但涉及複雜的軟硬體更新,截至今年3月只完成36%進度

2024-03-25

資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 網釣攻擊 | CPU旁路攻擊

【資安週報】2024年3月18日到3月22日

在這一星期的漏洞新聞中,HTTP非同步傳輸框架Aiohttp於1月修補的漏洞遭利用的消息,需要特別留意;在重大資安新聞方面,以國際貨幣基金組織與富士通的遭駭最受關注,還有最新攻擊手法揭露,包括新型DoS攻擊手法Loop DoS、GoFetch微架構旁路攻擊

2024-03-25

IBM Telum | IBM LinuxOne | 機密運算 | 量子安全

提供3種預設組態,IBM大型主機系統推出更多入門款式

IBM針對Linux One大型主機第四代產品增加入門款式Express,可搭配16核心Telum處理器與1TB以內記憶體

2024-03-23

資安月報 | 資安週報 | 資安一周 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 惡意程式 | 法規遵循 | Secure by Design | 殭屍網路

【資安月報】2024年2月

以2024年2月的資安新聞而言,有兩起關於網路世界偽冒的事件,引發全球對於新興威脅的極大關注,一是有跨國公司遭遇Deepfake視訊會議被詐騙2億港幣,一是有中國公關公司架設超過100個WordPress網站,冒充世界各地新聞媒體散布對中國有利的訊息

2024-03-23

Apple | GoFetch | 加密

Apple M系列處理器允許攻擊者發動微架構旁路攻擊,竊取加密演算法機密金鑰

Apple的M1、M2和M3處理器易受GoFetch微架構旁路攻擊,允許攻擊者從加密演算法中竊取金鑰,研究人員已成功破解OpenSSL Diffie-Hellman、Go RSA,以及CRYSTALS-Kyber、CRYSTALS-Dilithium共4種加密演算法

2024-03-22

DevCore | AD安全 | WAF安全

DEVCORE資安研討會登場,揭露最新攻擊技術手法與企業資安破口

近日臺灣資安業者戴夫寇爾舉辦DEVCORE Conference 2024,這是一場純攻擊技術導向的資安研討會,目的是提供最新技術新知,促進國內產業了解最新攻擊技術與潛在威脅,其中AD層面與WAF層面是今年度大會的兩大重要焦點

2024-03-22

資安日報

【資安日報】3月22日,研究人員公布無限循環的阻斷服務攻擊手法Loop DoS

德國CISPA亥姆霍茲資訊安全中心研究人員揭露新型態的阻斷服務攻擊手法Loop DoS,目前已有5家廠商確認旗下產品曝露於相關漏洞當中

2024-03-22

GitHub | Copilot | CodeQL | Python

GitHub預覽程式碼掃描自動修復功能

GitHub在GitHub Advanced Security提供程式碼掃描自動修復功能,目前支援JavaScript、TypeScript、Java和Python,助開發者快速解決程式碼中的漏洞

2024-03-22

資安日報

【資安日報】3月21日,多組人馬鎖定TeamCity伺服器加密檔案、用於挖礦、部署後門程式

繼勒索軟體駭客組織「變臉(BianLian)」將TeamCity高風險漏洞用於攻擊行動,現在有更多駭客組織跟進,將其用於部署挖礦程式、後門程式等惡意軟體

2024-03-21

資安應變團隊 | 安全事件應變 | 資安事件應變 | CSIRT | 資安事件應變規畫 | TWCERT/CC | 資安管理疏失 | VPN | IR | Crest

【上市櫃資安事件背後的企業挑戰】導致資安事件常見問題是管理疏失,普遍組織高層仍缺乏事件應變團隊概念

臺灣企業頻頻遭駭客網路攻擊,背後有哪些隱憂與挑戰?我們特別關注兩個重點,一是近年資安事件發生,有哪些常見問題值得企業重視,一是面對資安事件,企業應變現況又是如何?資安專家指出,使用VPN卻沒有做好安全管理是常見主因,而在資安應變團隊與程序的建立上,至今許多企業高層仍對這方面缺乏概念

2024-03-21

資安日報

【資安日報】3月20日,研究人員針對行動應用程式開發平臺Firebase配置不當氾濫的現象提出警告

有研究人員對於行動與網頁應用程式開發平臺Firebase配置不當的情況進行調查,結果發現,有超過1,900萬個明文密碼遭到曝光

2024-03-20