資安
資安周報
我國公部門被揭露遭到中國駭客攻擊的情況,本月下旬已有2起;再者,則是可被濫用於提升權限的Windows漏洞PrintNightmare,以及Kaseya供應鏈攻擊事故,相關的消息在本月也不斷有所進展
2021-07-28
資安 | HTTPS-only | 上網安全 | Chrome
預計8月底問世的Chrome 93將正式提供HTTPS-Only模式,會在使用者造訪不支援HTTPS網站時跳出示警訊息
2021-07-02
google | Scorecards | 開源專案 | 軟體供應鏈 | 資安
開源專案軟體安全掃描工具Scorecards更新擴大檢驗項目
依循Google提出的了解、預防和修復框架,Scorecards推出第2版,現在會檢驗開源專案是否採用程式碼審查工具,以及CI/CD系統的配置等,評估專案的安全性
2021-07-02
零接觸 | Zero Touch | 無摩擦 | Frictionless | 零摩擦 | 資安 | 數位轉型 | 一起抗疫靠IT
「零摩擦」並不只局限在資安兼顧便利的應用上,我認為,面對其他的IT系統使用,甚至是所有的工作流程,都可以運用這樣的概念來思考如何調整
2021-07-02
繼上個月美國燃油供應商遭到勒索軟體攻擊之後,大型肉品業者JBS美國分公司本月也受害被迫中斷生產。此外,本月有新的攻擊手法被揭露,同樣相當值得各界留意
2021-07-02
俄國駭客組織Fancy Bear藉由開採CVE 2020-0688與CVE 2020-17144等Microsoft Exchange安全漏洞,或者是使用外洩/購買的憑證來進入受害組織,也建立了一個Kubernetes叢集,執行大規模暴力破解攻擊
2021-07-02
微軟公布去年底通報給Netgear的路由器韌體漏洞細節,可能導致帳號密碼外洩或使駭客得以劫持整臺系統。Netgear已於去年12月,針對漏洞完成修補並釋出安全公告
2021-07-02
安全漏洞 | Patch Tuesday | Windows列印緩衝處理服務 | Print Spooler | CVE-2021-1675 | PrintNightMare
Windows列印多工緩衝處理器遭低估的RCE漏洞出現PoC
微軟6月修補Windows列印多工緩衝處理器的安全漏洞,如今這項漏洞被證實從權限升級漏洞提高成遠端程式碼執行漏洞,網路上已出現概念驗證攻擊程式,可在已修補6月更新的Windows環境下開採這項漏洞,代表微軟提供的修補不夠完備
2021-07-01
美國網路安全及基礎設施安全局(CISA)的網路安全評估工具(CSET)納入新模組,旨在協助組織診斷自身資安體質是否足夠健全,以應付勒索軟體攻擊
2021-07-01
群暉 | FIDO | SaaS公有雲服務 | DSM 7.0 | C2 Backup | C2 Transfer | C2 Identity | C2 Password
群暉NAS設備支援FIDO應用,今年下半將推身分存取等SaaS服務
近期NAS大廠群暉正式推出NAS作業系統DSM 7.0新版,除了針對產品服務登入安全,提供FIDO實體安全金鑰與專屬驗證App登入的支援,並導入HSM強化數位簽章安全,他們並宣布第三季將推SaaS雲端服務,包含C2 Backup、C2 Transfer、C2 Identity與C2 Password。
2021-07-01
Google Play | 兩步驟驗證 | 開發者 | 帳號安全 | 2-Step Verification
8月起Google Play新開發者必須提供更多的身分資訊,採用兩步驟驗證
新進開發者需要額外提供帳號型態是個人或組織、聯絡人姓名以及實際地址資料,Google也會驗證開發者的電子郵件及電話號碼.既有的開發者也必須在年底前完成相關程序
2021-06-30