【資安日報】4月10日,特斯拉客戶關係管理系統TRT出現漏洞,前員工電子郵件信箱可註冊外部人員帳號,重新取得相關權限
研究人員針對去年底通報的特斯拉客戶關係管理系統Tesla Retail Tool漏洞公布細節,指出攻擊者可針對該系統內外人士分類不夠明確的情況,透過前員工電子郵件信箱來取得有關權限
2023-04-10
Amazon | Flipper Zero | 禁令
繼巴西政府以助長犯罪為由,拒絕Flipper Zero的設備認證請求後,Amazon也認定這款滲透測試工具屬於該平臺禁售的側錄裝置,要求賣家下架
2023-04-10
為避免公部門IP位址遭電信營運商挾持事件重演,荷蘭計畫明年底讓所有政府IT系統導入資源公鑰基礎設施(RPKI)標準
2023-04-10
蘋果 | 零時差漏洞 | CVE-2023-28205 | CVE-2023-28206
蘋果緊急修補iOS、iPadOS及macOS Ventura 2零時差漏洞
蘋果警告4月7日修補的二項漏洞皆已出現實際攻擊行動,其中的越界寫入漏洞可讓惡意應用程式以核心權限執行任意程式碼
2023-04-10
推特 | 演算法 | 惡意屏蔽攻擊 | CVE-2023-23218
研究人員Federico Andres Lois發現推特的推薦演算法存在漏洞,能讓有心人士發動類似阻斷服務(denial of service)的攻擊,造成目標帳號的名譽評分降低
2023-04-10
【資安日報】4月7日,英國數位ID驗證解決方案業者OCR Labs曝露開發環境組態,恐波及英國、澳洲金融業者
研究人員揭露數位ID驗證解決方案業者OCR Labs網站上的不安全配置,當中曝露了開發環境的組態檔案(ENV),導致該公司採用的多項服務與API秘密可能因此曝光
2023-04-07
惡意擴充程式Rilide鎖定Chromium瀏覽器以竊取加密貨幣
偽裝成合法Google Drive擴充功能的Rilide,專門攻擊基於Chromium的瀏覽器用戶,企圖盜取其加密資產
2023-04-07
The Register、Tom's Hardware等媒體引述南韓當地媒體Economist的消息,指出三星員工在不清楚ChatGPT使用規範下,為了工作之便直接將半導體設備、程式碼相關資訊上傳給ChatGPT進行處理,導致三星的內部機密資料外洩
2023-04-07
路透社報導引述9名前特斯拉員工的說法,宣稱至少從2019年到2022年之間,特斯拉員工可以看到客戶車內攝影機拍攝到的影像,甚至在內部通訊平臺上互相分享
2023-04-07
【資安日報】4月6日,網際網路上尚未修補已知漏洞的應用系統,超過1,500萬個
有資安業者針對美國網路安全暨基礎設施安全局(CISA)近年列管的已被利用漏洞名單(KEV)進行調查,結果發現,網路上至少有1,500萬個應用系統,曝露於名單裡的部分漏洞
2023-04-06
HP | 印表機 | CVE-2023-1707 | 資訊揭露漏洞 | FutureSmart | IPSec
HP公告產品重大漏洞CVE-2023-1707,影響安裝FutureSmart 5.6並啟用IPsec的雷射印表機,目前尚未有修補程式,建議使用者降級FutureSmart版本以暫時緩解攻擊風險
2023-04-06
資安廠商Check Point發現新型勒索軟體Rorschach透過使用極高效率的混合加密法,只花不到5分鐘即可完成檔案加密,速度比去年聲名狼藉的勒索軟體LockBit v3更快
2023-04-06
Veritas Backup Exec | 勒索軟體 | Alphv | BlackCat
安全公司Mandiant發現Veritas Backup Exec 21.2版所修補的3項安全漏洞,在去年出現實際攻擊行動,駭客組織利用這些漏洞對執行Backup Exec的Windows伺服器植入勒索軟體ALPHV
2023-04-05
