資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 勒索軟體, Log4Shell, WordPress, 供應鏈攻擊, 網路釣魚, Lazarus, APT41, Winnti

【資安週報】2022年1月17日至22日

臺灣本週傳出首例SIM卡挾持(SIM Swapping)的攻擊事故引起關注;此外,WordPress延伸功能軟體出現漏洞、甚至是被駭客植入後門的情況,也有數起事件

2022-01-22

資安週報, 資安一周, 資安周報, IT周報, 勒索軟體, Log4Shell

【資安週報】2022年1月10日至14日

不只是大家努力修補,而是政府開始要求,並召集各大廠研議對策Log4Shell漏洞的威脅仍在蔓延,其中又以針對VMware Horizon遠端工作平臺的情況特別頻繁;而這個漏洞也再度引起開源軟體安全議題的討論──不只是大家努力修補,而是政府開始要求,並召集各大廠研議對策

2022-01-15

資安週報, 資安一周, 資安周報, IT周報, 勒索軟體, Log4Shell

【資安週報】2022年1月3日至7日

Log4Shell漏洞從2021年12月延燒至今,態勢似乎沒有趨緩,美國聯邦貿易委員會(FTC)特別針對此事的公告,點名企業若是因該漏洞造成的資料外洩,將會採取法律行動究責。此外,也有資安業者提醒企業要做好長期抗戰的準備

2022-01-08

惡意程式 | dnSpy | 資安

dnSpy出現惡意版,瞄準開發者及資安研究人員

駭客透過GitHub、搜尋廣告等管道,散布含有惡意程式碼的逆向工程工具dnSpy

2022-01-11

資安日報 | 勒索軟體 | 資料外洩 | Google Voice | Rug Pull | Log4Shell

【資安日報】2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

鎖定遠端工作平臺VMware Horizon,並針對尚未修補Log4Shell漏洞的伺服器下手的攻擊行動再度傳出;此外,Google提供的網路電話服務Google Voice,也成為歹徒用來挾持用戶帳號的管道,而使得美國聯邦調查局(FBI)特別提出警告

2022-01-10

量子電腦 | AWS | 後量子加密 | 量子抵抗 | 量子運算 | 加密技術 | 資安

量子抵抗不是企業未來式

當越來越多應用上雲,各式各樣在雲端流動的資料全靠加密技術來確保,一想到日後都有被解密的可能性,難怪引起AWS等雲端巨頭高度關注,不得不趁早投入量子技術的研發

2022-01-10

Norton 360 | Avira | 挖礦軟體 | NortonLifeLock

Norton 360、Avira在用戶電腦安裝挖礦軟體惹議

NortonLifeLock宣稱防毒軟體Norton 360內建的挖礦功能,只有用戶同意時才會啟用、也能將之關閉,但有用戶抱怨根本無法關閉挖礦功能

2022-01-10

FIN7 | FBI | BadUSB

認真防疫卻可能被當成USB攻擊目標?收到打著感謝與防疫指引名義附贈的隨身碟要當心,FBI警告BadUSB攻擊再起

美國過去半年來陸續有運輸、保險業及國防工業廠商,接到以Amazon感謝函及政府防疫指引等名義,提供內含惡意USB拇指碟的包裹,FBI指出已有組織受害,各產業應提高警覺

2022-01-10

封面故事 | Log4j | Log4Shell | 10年來最嚴重漏洞 | 超級資安漏洞

可俘虜數十億臺系統與設備!超級資安漏洞風暴正在席捲全球

Log4j的運用遍及世界各地與多種產業,若不及時修補高風險資安漏洞Log4Shell,等同任人宰割,因為攻擊者將如入無人之境,深入企業網路環境與多種IT系統胡作非為

2022-01-10

瑞士 | 國防 | 通訊程式 | IM | 傳訊程式 | Threema | WhatsApp | Telegram | Signal

瑞士軍方禁用所有外來傳訊程式

擔心WhatsApp、Telegram與Signal等境外傳訊程式,開發商可能得配合政府要求提供用戶通訊資料,瑞士媒體報導當地軍人自今年起,只能使用當地開發的Threema,不得使用其它傳訊程式

2022-01-10

十年來最嚴重的資安漏洞!Log4Shell來襲

在2021年進入尾聲之際,Java應用程式記錄程式庫Log4j的資安漏洞Log4Shell浮上檯面,因允許遠端執行任意程式碼,而被公認具有高度風險,再加上許多系統、雲服務與軟硬體系統都可能正在使用未修補的Log4j版本,以及濫用漏洞的網路攻擊活動相繼出現,使得全球IT與OT環境再度因通用軟體元件的漏洞而陷入重大危機。

2022-01-10

封面故事 | Log4j | Log4Shell | 10年來最嚴重漏洞 | 超級資安漏洞 | Log4Shell漏洞處理 | Log4Shell修補

與時間賽跑!Log4Shell修補迫在眉睫

由於Log4Shell漏洞可能存在各種系統與設備之中,必須盡快進行相關的盤點、修補,以及持續偵測與阻擋濫用此項資安弱點的行為

2022-01-10

封面故事 | Log4j | Log4Shell | 10年來最嚴重漏洞 | 超級資安漏洞

Log4Shell影響的企業IT解決方案摘要

經過將近1個月的盤點與修補,多家IT廠商紛紛公布受到Log4Shell漏洞影響的解決方案,但這只是冰山一角。單從我們目前整理的9家廠商盤點出來的產品與服務清單摘要來看,就難以想像這些公司背後需投入多少資源,才能徹底解決問題

2022-01-10

資安週報 | 資安一周 | 資安周報 | IT周報 | 勒索軟體 | Log4Shell

【資安週報】2022年1月3日至7日

Log4Shell漏洞從2021年12月延燒至今,態勢似乎沒有趨緩,美國聯邦貿易委員會(FTC)特別針對此事的公告,點名企業若是因該漏洞造成的資料外洩,將會採取法律行動究責。此外,也有資安業者提醒企業要做好長期抗戰的準備

2022-01-08

Log4Shell漏洞 | H2資料庫 | 遠端程式碼執行漏洞 | RCE漏洞

H2資料庫發現類似Log4Shell的漏洞

基於開源Java SQL資料庫H2含有遠端程式碼執行(RCE)漏洞,即便目前還無法確認該漏洞的風險值,但有資安業者建議用戶盡快升級到最新2.0.206版

2022-01-07

資安日報 | NCC | 小米 | 勒索軟體 | 資料外洩 | 雲端資料庫配置不當

【資安日報】2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

國家通訊傳播委員會(NCC)針對小米Mi 10T 5G手機發出警告,因為該產品可能過濾令中國政府不悅的詞彙,恐有回傳資料給中國政府之虞;有研究人員針對Java程式語言常用的遠端方法呼叫(RMI)協定提出警告,呼籲IT人員留意相關組態

2022-01-07

加密貨幣 | 詐騙 | 網路犯罪 | 金融犯罪 | 勒索軟體 | 洗錢

犯罪集團的虛擬貨幣錢包去年進帳140億美元,創紀錄

2021年加密貨幣非法交易中,有高達半數是來自所謂的「拉地毯」(Rug Pull)詐騙,專案開發者吸引投資者大量買進後,再宣布放棄專案捲款潛逃

2022-01-07

小米 | NCC | 內容過濾

NCC警告小米Mi 10T 5G手機有敏感政治詞彙檢查功能,恐有回傳資訊疑慮

NCC委託TTC檢測在臺販售的小米Mi 10T 5G手機,發現7款手機內建App,包括小米瀏覽器、小米視頻等,會自遠端伺服器下載敏感詞彙比對檔案,涉及政治團體、社會運作、政治人物、宗教等,且有阻絕連網或回傳瀏覽行為的疑慮。

2022-01-06