資安日報

【資安日報】10月30日,有人在2016年就利用永恆之藍漏洞,打造惡意軟體StripedFly,迄今仍有數萬臺電腦遭到感染

在2017年造成勒索軟體WannaCry大規模感染的永恆之藍漏洞,曾引發軒然大波,後續造成許多問題,也使得重視網路威脅情報武器化的議題,最近研究人員發現,有另一款利用該漏洞的惡意程式早在2016年就開始攻擊行動,直到最近才被發現

2023-10-30

CVE-2023-42846 | 蘋果 | iOS | MAC位置 | 漏洞

蘋果修補公開iOS裝置MAC地址長達3年的隱私漏洞

蘋果釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad及Apple Watch MAC位置的漏洞

2023-10-30

資安日報

【資安日報】10月27日,研究人員揭露新型攻擊手法iLeakage,可透過推測執行漏洞、用瀏覽器竊取蘋果裝置的用戶機密資訊

新型態的處理器推測執行漏洞iLeakage出現在iOS、iPadOS裝置,以及搭載M系列處理器的Mac電腦,攻擊者透過WebKit排版引擎的瀏覽器,就有機會偷取用戶的機密資訊

2023-10-27

google | AI | 漏洞獎勵 | 生成式AI

Google公布AI抓漏獎勵範圍,新增生成式AI類別

Google公開旗下AI產品的安全漏洞通報獎勵標準,徵求外界提供Google Bard等生成式AI服務的漏洞資訊

2023-10-27

醫療業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】醫療業企業資安風險圖(2023~2024)

社交工程手段對醫療業的威脅,超越了駭客攻擊的風險,與勒索軟體資安事件並列為醫療業未來一年的兩大首要風險。值得留意的是,假消息不實資訊事件的風險,開始快速提高,醫療業者未來一年也不能輕忽

2023-10-27

金融業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】金融業企業資安風險圖(2023~2024)

駭客攻擊和社交工程手段是金融業未來一年的兩大首要風險,而來自國家級攻擊組織的資安風險在今年大幅增加也是金融業未來一年的次要風險項目。隨著金管會再次鬆綁金融上雲規範,雲端供應商為跳板的攻擊,以及雲端服務資安事件的風險,可能會在2024年突然驟增,也必須留意

2023-10-27

iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長 | 一般製造業

【iThome 2023資安大調查系列2】一般製造業企業資安風險圖(2023~2024)

勒索軟體資安事件是一般製造業必須優先重視的首要資安風險,次要風險則有2項,包括了社交工程手段和釣魚網站的攻擊。來自駭客和商業郵件詐騙的風險比去年略低,但顧客資安事件和ChatGPT資安事件今年進入第一象限,成為衝擊高且發生風險高的項目

2023-10-27

高科技製造業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】高科技製造業企業資安風險圖(2023~2024)

未來一年,高科技製造業有四大首要風險,包括了勒索軟體資安事件、釣魚網站、社交工程手段和駭客的威脅,尤其,釣魚網站和社交工程手段是今年風險驟增的項目。值得注意的是,內部人員成為攻擊者的威脅,首度進入第一象限,也是高科技業者必須留意的高風險高衝擊項目

2023-10-27

蘋果 | WebKit | 蘋果Arm處理器 | iLeakage

iLeakage攻擊將迫使蘋果裝置外洩用戶機密資訊

研究人員發現只要透過WebKit瀏覽器,就能攻陷採用蘋果A系列與M系列處理器的裝置,竊取用戶登入憑證等個資

2023-10-27

iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】整體產業企業資安風險圖(2023~2024)

發生風險高且衝擊高的風險項目有10項,2023~2024年首要資安風險是勒索軟體資安事件和駭客,次要風險則是社交工程手段和釣魚網站的攻擊。企業也需要開始留意ChatGPT成為輔助攻擊工具的風險,另外,內部人員成為攻擊者的威脅也明顯增加了

2023-10-27

TetrisPhantom | UTetris | 隔離網路 | Air-gapped

亞太地區的政府機關遭到駭客組織發動TetrisPhantom攻擊,利用安全加密隨身碟散布惡意程式,入侵隔離網路

資安業者卡巴斯基提及鎖定受隔離系統(Air-Gapped)、針對加密隨身碟下手的攻擊行動TetrisPhantom,並指出該攻擊行動存在長達數年

2023-10-26

OAuth | Grammarly | Vidio | Bukalapak

Grammarly、Vidio、Bukalapak網路應用程式存在重大OAuth漏洞

資安業者Salt Security發現多個知名的網路應用程式存在OAuth漏洞,這些平臺包括:文法檢查服務Grammarly、印度影音串流服務Vidio,以及印尼電子商務網站Bukalapak

2023-10-26

資安日報

【資安日報】10月26日,研究人員揭露熱門網站服務的OAuth漏洞,攻擊者可架設另一個網頁服務來挾持用戶的登入資料

資安業者Salt Security於今年上半,發現Grammarly、Vidio、Bukalapak介接的OAuth身分驗證服務存在漏洞,攻擊者有機會利用使用者在其他服務的Token,破壞這些服務的帳號

2023-10-26

零時差漏洞 | 商業間諜 | 中國駭客 | 勒索軟體

2023Q3零時差資安漏洞激增,短短一個多月爆出20個零時差漏洞,特別是涉及底層漏洞似乎變多

在9月到10月上半,我們關注到,攻擊者挖掘零時差漏洞並利用於攻擊行動的情況,似乎變得更嚴峻。我們特別統計了這方面的資訊,發現在這短短30多天,看到多達20個零時差漏洞已被用於攻擊行動的消息,平均下來,幾乎是快要每兩天就有1個零時差漏洞

2023-10-25

資安日報

【資安日報】10月25日,6月iOS裝置零點擊攻擊調查結果出爐,駭客嚴格確認已滲透至真實環境,才開始植入惡意程式

卡巴斯基今年6月揭露針對iOS用戶而來的零點擊攻擊行動Operation Triangulation,該公司亦有員工的裝置被感染惡意程式,現在他們針對這起攻擊行動公布更為詳細的發生過程

2023-10-25