資安周報
WooCommerce | WordPress | 新聞 | 漏洞 | 資安
WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累
結合WooCommerce的檔案刪除漏洞,取得WooCommerce商店經理(Shop Manager)權限的駭客,再利用WordPress權限管理上的漏洞,可掌控WordPress網站並執行遠端程式攻擊。
2018-11-09
有鑑於部份網站要求使用者輸入電話號碼才能使用服務,但在未經同意下收費,今年12月釋出的Chrome 71起,將在用戶進入付費網頁之前提出警告訊息,以讓其決定是輸入電話號碼註冊,或是離開此頁。
2018-11-09
BCMUPnP_Hunter鎖定2013年即發現的博通UPnP漏洞,入侵家用路由器,360Netlab發現該殭屍網路已入侵10萬台路由器,涵蓋D-Link、Linksys、NetComm、ZTE、Zyxel及TP-Link等。
2018-11-08
Virtualbox | 新聞 | 零時差漏洞 | 資安
不滿業者態度,俄羅斯研究人員直接揭露VirtualBox零時差漏洞
一名俄羅斯研究人員因不滿業者處理態度,在GitHub上公開VirtualBox零時差漏洞,該漏洞可讓駭客繞過Guest OS限制,在Host OS上執行程式。
2018-11-08
媒體報導,中國公安已在上海、北京部署中國銀河水滴科技的步態辨識技術,運過2K監視攝影機,在50公尺的距離下,辨識使用者的身份,不受臉部掩藏、視角等限制。
2018-11-08
Windows 10 | 新聞 | 臭蟲 | 資安
一些用戶更新Windows 10後,安裝第三方程式後,發現無法變更Windows預設的檔案關聯格式,例如將.txt檔案改Notepad++的格式,無法永久變更檔案的關聯設定,系統還是會預設以「小作家」開啟。
2018-11-08
Apache Struts | 新聞 | 漏洞 | 資安
特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險
漏洞存在於Apache Struts 2所使用的Commons FileUpload 1.3.2函式庫上,導致遠端程式攻擊,儘管在2016年便已修補,但Apache今年10月釋出Struts 2.3.36時仍使用含漏洞的函式庫版本,呼籲用戶儘快更新。
2018-11-07
HSBC在10月發現該銀行線上帳戶遭到未授權存取,可能外洩的帳戶資訊,包括用戶姓名、地址、電話號碼、電子郵件位址,以及帳戶號碼、餘額、交易紀錄等資料,目前已暫停受影響帳戶的線上存取服務,並通知用戶。
2018-11-07
gate.io | StatCounter | 供應鏈攻擊 | 新聞 | 資安
供應鏈攻擊又一例:駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io
駭客先入侵Gate.io所使用的網路流量分析服務StatCounter,在StatCounter上植入惡意的JavaScrip,將比特幣轉帳位址竄改為駭客控制的加密貨幣錢包。
2018-11-07